Extrusion Prevention
Copyright © Shutterstock / hafakot
Was ist Extrusion Prevention?
Extrusion Prevention (auch Exfiltrationsverhinderung genannt) ist die Praxis, Datenlecks (Datenverletzungen) zu stoppen, indem ausgehender Netzwerkverkehr gefiltert und verhindert wird, damit nicht autorisierte Pakete außerhalb des Netzwerks gelangen. Im Gegensatz dazu warnt das sogenannte Extrusion Detection lediglich vor dem Vorhandensein eines Problems, das untersucht werden sollte.
Netzwerkadministratoren, die für die sichere Verwaltung von Daten verantwortlich sind, stehen vor beispiellosen Herausforderungen, wenn es darum geht, den Fluss proprietärer Daten in privaten und öffentlichen Netzwerken zu steuern. Eine katastrophale Verletzung der Daten durch proprietäre Informationen kann erhebliche negative Auswirkungen auf den Marktanteil, die Marke, die finanzielle Leistungsfähigkeit sowie die gesetzlichen Auflagen haben.
Datenverlust und Datenverletzung
Die englischen Audrücke “Data Loss” (Datenverlust) und “Data Leak” (Datenverletzung) hängen eng zusammen und werden daher häufig vertauscht.
Der Datenverlust “Data Loss” ist ein Fehlerzustand in Informationssystemen, bei dem Informationen durch Fehler oder Vernachlässigung bei der Speicherung, Übertragung oder Verarbeitung zerstört werden. Informationssysteme implementieren Sicherungs- und Notfallwiederherstellungsgeräte und -Prozesse, um einen Datenverlust zu verhindern oder verlorene Daten wiederherzustellen.
Die Datenverletzung “Data Leak” ist die vorsätzliche oder unbeabsichtigte Veröffentlichung sicherer oder privater/vertraulicher Informationen in einer nicht vertrauenswürdigen Umgebung.
Kategorien von Extrusion Prevention
Die technologischen Mittel zur Bewältigung von Datenverlusten können in folgende Kategorien unterteilt werden:
Übliche Sicherheitsmaßnahmen wieFirewalls, Intrusion Detection-Systeme und Antivirensoftware sind allgemein verfügbare Produkte, die Computer gegen Angriffe von Außenstehenden und Insidern schützen. Die Verwendung einer Firewall verhindert beispielsweise den Zugriff von Außenstehenden auf das interne Netzwerk und ein Einbruchsicherungssystem erkennt Eindringversuche. Insider-Angriffe können durch Antivirus-Scans verhindert werden, die Trojaner erkennen, die vertrauliche Informationen senden sowie durch die Verwendung von Thin Clients, die in einer Client-Server-Architektur arbeiten, ohne dass persönliche oder vertrauliche Daten auf einem Clientgerät gespeichert sind.
Fortgeschrittene Maßnahmen einer Extrusion Prevention verwenden Algorithmen für maschinelles Lernen und zeitliches Denken zur Erkennung eines anomalen Zugriffs auf Daten (z.B. Datenbanken oder Informationsabfragesysteme) oder eines anomalen E-Mail-Austauschs, Honeypots zum Erkennen autorisierter Personen mit böswilligen Absichten und einer auf Aktivitäten basierenden Verifizierung (z.B. Erkennung der Tastendruckdynamik) und Überwachung der Benutzeraktivität zur Erkennung eines ungewöhnlichen Datenzugriffs.
Designierte Systeme erkennen und verhindern unberechtigte Versuche, vorsätzlich oder unabsichtlich sensible Daten zu kopieren oder zu senden, hauptsächlich von Mitarbeitern, die zum Zugriff auf die sensiblen Informationen berechtigt sind. Um bestimmte Informationen als sensible einzustufen, verwenden sie Mechanismen wie exakte Datenübereinstimmung, strukturierte Datenabdrücke, statistische Methoden, Regel- und reguläre Ausdrücke, veröffentlichte Lexika, konzeptionelle Definitionen und Schlüsselwörter.
Extrusion Prevention-Typen
Netzwerk
Die Netzwerktechnologie (Data in Motion) wird normalerweise an Netzwerkausgangspunkten in der Nähe des Umkreises installiert. Es analysiert den Netzwerkverkehr, um vertrauliche Daten zu erkennen, die gegen die Sicherheitsrichtlinien verstoßen. Mehrere Sicherheitskontrollpunkte können Aktivitäten melden, die von einem zentralen Verwaltungsserver analysiert werden.
Endpunktsysteme
Endpunktsysteme (Data in Use) werden auf internen Endbenutzer-Workstations oder -Servern ausgeführt. Wie bei netzbasierten Systemen kann die endpunktbasierte Technologie sowohl die interne als auch die externe Kommunikation ansprechen. Es kann daher verwendet werden, um den Informationsfluss zwischen Gruppen oder Nutzertypen zu steuern. Sie können auch die Kommunikation per E-Mail und Instant Messaging steuern, bevor sie das Unternehmensarchiv erreichen, sodass eine gesperrte Kommunikation in einer nachfolgenden rechtlichen Entdeckungssituation nicht erkannt wird.
Weitere Typen finden sich in der Datenidentifikations-Methode und Datenlecksuche-Methode.
Sie haben noch Fragen?
