A abordagem inovadora da Sophos para usar pontuação negativa para reduzir significativamente o risco de identificar incorretamente informações confidenciais.
Um desafio que as organizações encontram ao implementar a prevenção contra perda de dados (DLP) é garantir a precisão da solução. O mecanismo Sophos DLP está disponível como um SDK por meio da equipe de vendas OEM e oferece uma solução de segurança de dados multiplataforma fácil de integrar para aqueles que desejam implementar recursos DLP em seus produtos e levá-los ao mercado rapidamente.
O SophosLabs fornece uma biblioteca abrangente de definições de dados confidenciais, oferecendo detecção no dia do lançamento para todos os tipos comuns de informações de identificação pessoal (PII), bem como dados financeiros e de saúde. Embora muitas soluções DLP dependam da correspondência de padrões como base, o Sophos DLP tem mais de 400 padrões de pesquisa e usa pontuação negativa para reduzir significativamente os erros.
Desafios e soluções de correspondência de padrões
Vamos examinar como funciona a correspondência de padrões para informações de cartão de crédito.
Ao armazenar números de cartão de crédito, eles são simplesmente representados como números de 16 dígitos. No entanto, os documentos também podem conter valores de 16 dígitos não relacionados: números de peça, números de série ou outros elementos que podem ser identificados erroneamente como números de cartão de crédito.
Para resolver esse problema, o Sophos DLP inclui dígitos de verificação para validar se um número de 16 dígitos é realmente um número de cartão de crédito válido. No entanto, mesmo depois de usar a fórmula do dígito de verificação, ainda há 10% de chance de que uma correspondência de padrão aleatório cause um falso positivo.
A Sophos usa validações com falha como contexto estatístico, o que reduz significativamente os falsos positivos sem a necessidade de modificar a biblioteca de correspondências de padrões. Para conseguir isso, a lógica DLP foi modificada para reduzir a pontuação para cada correspondência de padrão que falha na validação.
Com o mais recente mecanismo de análise de conteúdo da Sophos, estamos usando 100% das informações disponíveis na validação de dígitos de verificação para aumentar significativamente a precisão.
Métodos de pesquisa DLP comparados
Agora, vamos dar uma olhada em três diferentes abordagens de pontuação de correspondência de padrão aplicadas a um documento com números aleatórios.
O primeiro método, somente correspondência de padrão, é o mais simples e rápido, mas não possui supressão de falsos positivos e, portanto, é altamente não confiável.
Ele funciona procurando um padrão específico de valores, como o padrão de um número de cartão de crédito típico: <4 dígitos><espaço><4 dígitos><espaço><4 dígitos><espaço><4 dígitos>
Muitos outros produtos DLP reduzem os falsos positivos exigindo que uma frase específica (como “Cartão de crédito”) esteja presente nas proximidades. No entanto, em situações do mundo real, essas frases convenientes geralmente estão ausentes, resultando em muitas detecções perdidas (também conhecidas como falsos negativos).
O segundo método, validação de dígitos de verificação, geralmente evita 90% dos resultados de correspondência de padrão individual, tornando-o mais resistente a falsos positivos. No entanto, ainda fornecerá falsos positivos em 10% das correspondências de padrão aleatório. Se exposto a resultados de correspondência de string semelhantes o suficiente, um falso positivo pode ser inevitável.
Nossa abordagem, Sophos DLP com pontuação negativa, não apenas considera os resultados de correspondência de padrão que possuem dígitos de verificação válidos, mas também os 90% de correspondências de padrão aleatório que possuem dígitos de verificação inválidos.
Esses resultados anteriormente ignorados agora são usados como evidência de que são correspondências aleatórias. Essa abordagem transforma a fraqueza da validação do dígito de verificação em uma força, pois quanto mais dados semelhantes houver em um documento, maior a probabilidade de qualquer detecção de falso positivo ser evitada.
O futuro brilhante do DLP
Nos últimos anos, houve uma mudança das redes corporativas tradicionais para soluções hospedadas na nuvem que usam abordagens de confiança zero.
Como resultado, o DLP tornou-se um componente chave das soluções modernas de rede e segurança, incluindo Secure Access Service Edge (SASE), Security Service Edge (SSE) e Cloud Access Security Brokers (CASB).
Um estudo mostra que as empresas bem-sucedidas em estabelecer confiança digital têm maior probabilidade de experimentar taxas de crescimento anual de pelo menos 10% em suas receitas e resultados. As tecnologias DLP são, portanto, um aspecto crucial da convergência de rede em nuvem e segurança em nuvem.
A Sophos oferece recursos comprovados e avançados de DLP para integração com produtos de segurança de parceiros OEM, aplicativos SaaS e infraestrutura de segurança. Os parceiros OEM podem se beneficiar da abordagem exclusiva da Sophos para Data Loss Prevention (DLP), que elimina as suposições envolvidas na implementação do DLP em suas soluções de segurança.
Além de oferecer suporte a uma coleção abrangente de listas de controle, a Sophos também permite a personalização para governança de segurança de dados específica relacionada a PCI DSS, HIPAA e outros requisitos regulatórios que dão suporte aos esforços de conformidade dos parceiros OEM.
Se você deseja aproveitar os avanços mais recentes da Sophos em Data Loss Prevention (DLP) para aprimorar suas soluções ou infraestrutura de segurança, entre em contato com nossa equipe de OEM para obter mais orientações.
do original em: https://news.sophos.com/en-us/2023/01/24/sophos-dlp-enhancements-improve-detection-for-oem-partners/