¿Qué es la coincidencia exacta de datos (EDM)?

¿Qué es EDM en ciberseguridad?

El objetivo de la EDM, al igual que el de la DLP, es proteger los datos confidenciales, como la información de identificación personal (PII), de su exposición a Internet. La protección de dicha información se hace más difícil a medida que las organizaciones adoptan servicios en la nube, donde la gestión de funciones de seguridad como los permisos, la seguridad de los puntos finales y la corrección aumentan el riesgo de una organización de sufrir una configuración errónea, la principal causa de las violaciones de datos en la nube.

La coincidencia exacta de datos es un método de clasificación de datos que constituye un elemento fundamental de DLP. Normalmente, los sistemas DLP utilizan la coincidencia de patrones para identificar los datos que necesitan protegerse. Un sistema de DLP controlará datos como números de tarjetas de crédito, números de cuenta, números de la Seguridad Social (SSN), etc., en función de los tipos de registros que el administrador seleccione para su protección y de las políticas asociadas a ellos.

EDM ayuda a que estos valores permanezcan protegidos sobre una base exacta en lugar de tangencial, lo que significa que el valor en sí tiene su propio protocolo de seguridad en lugar de que un grupo de valores sea tratado como uno solo. Este esquema ayudará a los equipos de seguridad a reducir la cantidad de falsos positivos (o notificaciones innecesarias) que reciben.

¿Cómo funciona la coincidencia exacta de datos?

EDM individualiza los datos confidenciales procedentes de fuentes de datos estructuradas, como bases de datos u hojas de cálculo, y luego observa si se intenta trasladar dichos datos individualizados e impide que se compartan o transfieran de manera inapropiada. Si una sola transacción parece sospechosa, la DLP conectada a EDM cerrará el acceso a todas las entradas de ese tipo de información confidencial personalizada, como el número de una tarjeta de crédito.

Comienza con texto simple de una base de datos o una hoja de cálculo que contiene los registros confidenciales. Los datos de estos registros se ofuscan, normalmente mediante hashing (es decir, las cadenas de datos se acortan y cifran algorítmicamente) y luego se almacenan dentro de la solución de DLP. A continuación, se aplican los mismos algoritmos a todo el tráfico saliente. Así, cuando el tráfico al que se aplique el hash coincida con los hashes almacenados, se bloqueará la transferencia o se activará una alerta.

¿Por qué es importante la EDM?

Pongamos el ejemplo de un número de tarjeta de crédito: una simple supervisión del tráfico en busca de números de tarjetas de crédito puede activar alertas cada vez que alguien de la organización utilice una tarjeta de crédito por cualquier motivo. Por tanto, se puede prohibir a un empleado que realice una compra en línea durante su descanso, y el administrador de seguridad recibirá una alerta.

En este caso, la alerta sería un "falso positivo", llamado así porque el sistema detectó con precisión un intento de enviar datos de tarjetas de crédito, pero la actividad no suponía ningún riesgo para la organización. Con EDM, solo los números concretos de tarjetas de crédito que una empresa almacena en sus bases de datos (como los de sus clientes o socios) activarían las alertas. Un empleado que realice una compra no activaría una alerta, ni tampoco un contador que esté pagando facturas.

Aclaremos que la mayoría de los falsos positivos son positivos reales, lo que significa que el motor de detección hizo su trabajo e identificó contenidos que coinciden con una política. Sin embargo, el contenido no supone un riesgo para la empresa en el contexto en que se está utilizando. Los falsos positivos tienen consecuencias: no causan daño directo, pero bloquean el sistema. Mientras los administradores descartan cientos de falsos positivos cada semana, quizá más, dedican menos tiempo a investigar las alertas legítimas.

Ventajas de la EDM

La DLP ya establece protocolos para ayudar a las organizaciones a mantener sus datos seguros, pero la coincidencia exacta de datos permite a las organizaciones detectar y proteger valores de datos específicos. Sin embargo, cuando se trata de seleccionar una plataforma de calidad, debe tener en cuenta ciertas características. Algunas de las ventajas de una plataforma EDM eficaz incluyen:

Inspección y cumplimiento en línea

Una DLP en la nube con EDM puede inspeccionar todo el tráfico de red en línea, tanto si los usuarios están dentro como fuera de la red, lo que aumenta la precisión de la detección de incidentes de pérdida de datos y elimina casi por completo los falsos positivos. La EDM con inspección SSL nativa y aplicación de políticas asegura todo el tráfico de aplicaciones y usuarios, proporcionando una mayor seguridad y una mayor visibilidad.

Capacidad en la nube

Al aprovechar la escalabilidad de la nube, los clientes pueden individualizar y cotejar hasta mil millones de celdas de datos en cualquier momento. Tratar de implementar una solución de este tipo en las instalaciones solo producirá limitaciones de rendimiento debido a la naturaleza de consumo intensivo de recursos de esta tecnología.

Control granular de políticas

Con EDM y políticas altamente personalizables, una DLP nativa de la nube puede detectar y detener la transferencia de una coincidencia exacta con un registro concreto a partes o servicios no autorizados. Esta técnica elimina los falsos positivos, mejorando tanto la postura de seguridad como la productividad del administrador.

Está claro que la EDM puede dar soporte a una gran variedad de casos de uso de la DLP, pero solo existe un proveedor de DLP basado en la nube y con la capacidad de proteger a los usuarios independientemente de su ubicación y de los dispositivos que utilicen, con principios Zero Trust. Ese proveedor es Zscaler.

Coincidencia exacta de datos y DLP de Zscaler

No debe confundirse con Exact Data Match ofrecido por Microsoft, Zscaler Exact Data Match es una operación intensiva de almacenamiento y computación, que requiere una plataforma altamente escalable que pueda adaptarse a sus necesidades de procesamiento.

Debido a que Zscaler Cloud DLP con EDM está construido sobre una arquitectura de nube multiusuario global, detecta y bloquea los intentos de enviar datos protegidos sin importar dónde se conecte el usuario o qué aplicaciones se estén utilizando. No hay impacto en la conectividad o el rendimiento debido a la enorme presencia global de Zscaler (más de 150 puntos de servicio), y el portal de administración centralizado de Zscaler proporciona visibilidad en tiempo real de los incidentes.

La mayoría de los sistemas de DLP no pueden inspeccionar el tráfico cifrado, lo que les impide ver la mayor parte del tráfico empresarial. Pero Zscaler Cloud DLP es parte de la plataforma integrada Zscaler Zero Trust Exchange™, que inspecciona todo el tráfico, incluido el tráfico cifrado. Zscaler es el único proveedor de servicios de seguridad que ofrece dicha funcionalidad como un servicio distribuido en la nube.

Con Zscaler EDM, puede individualizar e identificar miles de millones de celdas de sus datos confidenciales únicos, almacenar esos datos en la nube de Zscaler y detener la pérdida de datos a nivel mundial y a escala. Zscaler también le ayuda a maximizar la protección de su información a medida que cumple con las normativas del sector, como la HIPAA para datos sanitarios e historiales médicos, así como normativas de privacidad de datos como la RGPD.

Al aprovechar un amplio conjunto de funciones, como EDM, aprendizaje automático, control del tipo de archivo y política DLP granular que sigue al usuario, Zscaler Cloud DLP simplifica el cumplimiento de las normativas regionales. También puede ayudar a mejorar su postura de seguridad, reducir la frustración del usuario final derivada de transacciones bloqueadas innecesariamente y darle a sus equipos tiempo para investigar y abordar incidentes reales de pérdida de datos en lugar de buscar una aguja en un pajar de falsos positivos.