Cos'è Data Loss Prevention?
La data loss prevention (DLP) è un insieme di strategie, strumenti e processi progettati per rilevare e prevenire la trasmissione non autorizzata, la perdita o l'esfiltrazione di dati sensibili da un'organizzazione — sia intenzionale sia accidentale.
Noto anche come: DLP, data leak prevention
Le soluzioni DLP operano su tre vettori principali: dati in uso (attività degli endpoint), dati in movimento (traffico di rete) e dati a riposo (file e database archiviati). Usano ispezione del contenuto, analisi contestuale e regole di policy per identificare informazioni sensibili — come numeri di carta di credito, codici fiscali, API key o dati sanitari — e applicare azioni come blocco, quarantena, cifratura o alert quando vengono rilevate violazioni delle policy.
Le piattaforme DLP enterprise si integrano tipicamente con i gateway email, i proxy web, i cloud access security broker (CASB) e gli agenti endpoint. Possono scansionare le email in uscita alla ricerca di numeri di carta di credito, impedire l'upload di file su cloud storage non autorizzato e rilevare dati sensibili in screenshot o documenti stampati. Il machine learning ha migliorato l'accuratezza del rilevamento, ma il DLP fatica ancora con i contenuti cifrati, i nuovi formati di dati e il bilanciamento tra sicurezza e produttività dei dipendenti.
La lacuna più grande nella maggior parte delle strategie DLP è la condivisione non strutturata delle credenziali. I dipendenti che incollano password, API key e stringhe di connessione in email, messaggi Slack e documenti condivisi creano una proliferazione di dati sensibili che gli strumenti DLP devono monitorare. Ogni copia aumenta la superficie di attacco e il rischio di esposizione accidentale. Ridurre il numero di copie persistenti dei segreti è una strategia DLP fondamentale che complementa i controlli tecnici.
Come Vaulted usa Data Loss Prevention
Vaulted agisce come strumento complementare alle strategie DLP delle organizzazioni eliminando i dati sensibili persistenti dai canali di comunicazione. Invece che i segreti esistano indefinitamente negli archivi email e nei log di chat — dove gli strumenti DLP devono monitorarli e proteggerli continuamente — Vaulted li sostituisce con link cifrati e autodistruttivi. Il segreto viene cifrato lato client con AES-256-GCM, esiste sul server solo come testo cifrato non decifrabile e viene eliminato automaticamente dopo il limite di visualizzazioni o la scadenza configurata. Questo riduce il volume di dati sensibili che i sistemi DLP devono gestire.