Was ist Exact Data Match (EDM)?
Was ist Exact Data Match (EDM)?
Exact Data Match (EDM) ist eine wichtige Komponente der Data Loss Prevention (DLP), eines Sicherheitsansatzes, der Geschäftsinformationen und andere sensible Daten vor dem Zugriff durch Dritte schützen soll. Im Untersuchungsbericht zu Datenschutzverletzungen von 2019 stellte Verizon fest, dass an etwa 34 Prozent der Sicherheitsverletzungen interne Akteure entweder unbeabsichtigt oder missbräuchlich beteiligt waren. Aus diesem Grund bleibt DLP eine wichtige Komponente der Unternehmenssicherheit.
Normalerweise verwenden DLP-Systeme einen Musterabgleich zur Identifizierung der zu schützenden Daten. Kreditkartennummern, Kontonummern, Sozialversicherungsnummern und unzählige andere Arten von Mustern, die von einem DLP-System überwacht werden, sind abhängig von den Datensätzen, die der Administrator für den Schutz ausgewählt hat, und den damit verbundenen Richtlinien.
EDM verfolgt einen anderen Ansatz. Anstatt die zu schützenden Daten durch Musterabgleich zu identifizieren, überwacht EDM die tatsächlich zu schützenden Daten. Dadurch erhöht sich die Erkennungsgenauigkeit drastisch und Fehlalarme werden nahezu ausgeschlossen.
Warum ist eine solche Präzision wichtig?
Nehmen wir das Beispiel einer Kreditkartennummer: Die einfache Überwachung des Traffics für Kreditkartennummern kann jedes Mal Alarm auslösen, wenn jemand in der Organisation aus irgendeinem Grund eine Kreditkarte benutzt. Ein Mitarbeiter, der während einer Pause einen Online-Kauf tätigt, kann also daran gehindert werden, den Kauf abzuschließen, und der Sicherheitsadministrator erhält eine Warnung. In diesem Fall würde es sich um einen „False positive“-Alarm handeln, d. h. das System hat den Versuch, Kreditkartendaten zu versenden, richtig erkannt, aber die Aktivität stellt kein Risiko für die Organisation dar. Mit EDM würden nur die spezifischen Kreditkartennummern, die ein Unternehmen in seinen Datenbanken speichert – z. B. die seiner Kunden oder Partner – Warnmeldungen auslösen. Ein Mitarbeiter, der einen Einkauf tätigt, würde keinen Alarm auslösen, ebenso wenig die Buchhaltung beim Bezahlen einer Rechnung.
Zur Verdeutlichung: Die meisten Fehlalarme sind echte Positivmeldungen, d. h. die Erkennungsmaschine hat ihre Aufgabe erfüllt und Inhalte identifiziert, die einer Policy entsprechen. Der Inhalt stellt aber in dem Kontext, in dem er verwendet wird, kein Risiko für das Unternehmen dar. „False Positives“ ziehen tatsächliche Konsequenzen nach sich. Sie richten keinen direkten Schaden an, sie stören aber das System. Während der Administrator jede Woche Hunderte von „False Positives“ aussortiert, bleibt weniger Zeit, um die berechtigten Warnmeldungen zu untersuchen.
„False Positives“ ziehen tatsächliche Konsequenzen nach sich. Sie richten keinen direkten Schaden an, sie stören aber das System. Während der Administrator jede Woche Hunderte von „False Positives“ aussortiert, bleibt weniger Zeit, um die berechtigten Warnmeldungen zu untersuchen.
Wie funktioniert EDM?
EDM erstellt „Fingerabdrücke“ von sensiblen Daten aus strukturierten Quellen, wie Datenbanken oder Tabellenkalkulationen, und sucht daraufhin nach Versuchen, die mit den Fingerabdrücken versehenen Daten zu verschieben, um zu verhindern, dass sie in unzulässiger Weise weitergegeben oder übertragen werden.
Dies beginnt mit einfachem Text aus einer Datenbank oder Excel-Tabelle, die die sensiblen Datensätze enthält. Die Daten in diesen Datensätzen werden aus Gründen des Datenschutzes verschleiert – in der Regel durch Hashing. Bei Hashing werden Algorithmen auf die Daten angewendet, wodurch diese in kürzere Datenzeichenfolgen (Hashes) umgewandelt werden. Diese Hashes werden in der DLP-Lösung gespeichert. Dieselben Algorithmen werden auf den gesamten ausgehenden Traffic angewendet. Wenn Traffic, der gehasht wird, also mit den in der DLP-Lösung gespeicherten Hashes übereinstimmt, wird die Übertragung blockiert oder eine Warnung ausgelöst.
Warum in der Cloud bereitgestelltes EDM ideal ist
Exact Data Match ist ein speicher- und rechenintensiver Vorgang, der eine hoch skalierbare Plattform erfordert, die den Verarbeitungsanforderungen gerecht wird. Da Zscaler Cloud DLP mit EDM auf einer globalen, mandantenfähigen Cloud-Architektur aufbaut, erkennt und blockiert es Versuche, geschützte Daten zu senden – unabhängig davon, wo sich der User verbindet oder welche Anwendungen verwendet werden. Die Leistung wird nicht beeinträchtigt und das zentrale Zscaler Verwaltungsportal bietet Echtzeit-Einblicke in Vorfälle.
Die meisten DLP-Systeme sind nicht in der Lage, verschlüsselten Traffic zu prüfen, sodass sie für den Großteil des Unternehmens-Traffics blind sind. Zscaler Cloud DLP ist jedoch Teil der integrierten Zscaler Cloud Security Platform, die den gesamten Traffic prüft, einschließlich des verschlüsselten Traffics.
Mit Zscaler EDM können von Milliarden von Zellen spezieller sensibler Daten Fingerabdrücke erstellt und diese zugeordnet werden. Diese Fingerabdrücke werden in der Zscaler Cloud gespeichert, damit Datenverlust in großem Maßstab weltweit gestoppt werden kann. Zscaler hilft auch beim Maximieren des Datenschutzes, selbst wenn Branchenauflagen wie HIPAA und Datenschutzvorschriften wie die der DSGVO bereits eingehalten werden. Cloud DLP verwendet ein breites Spektrum an Funktionen wie EDM, maschinelles Lernen, Dateitypenkontrolle sowie granulare Richtlinien, die dem User folgen, und vereinfacht auf diese Weise die Einhaltung regionaler Vorschriften.
Ein Data Loss Prevention-System mit Exact Data Match wie Zscaler Cloud DLP hilft, die Sicherheitslage des Unternehmens zu verbessern, die Frustration von Endbenutzern aufgrund unnötig blockierter Transaktionen zu reduzieren und mehr Zeit mit der Untersuchung und Behebung von tatsächlichen Vorfällen von Datenverlust zu verbringen, anstatt sich durch den Heuhaufen von „False Positives“ zu graben.