Forcepoint DLP to platforma ochrony danych zapewniająca widoczność i kontrolę przepływu informacji w organizacji oraz egzekwowanie polityk bezpieczeństwa w różnych kanałach.
Dane chronione na każdym kanale - DLP dla środowisk on-premises i hybrydowych
Forcepoint Data Loss Prevention (DLP) to rozwiązanie klasy enterprise do ochrony danych wrażliwych na endpoint, w sieci, poczcie elektronicznej i chmurowych aplikacjach SaaS. Centralny panel zarządzania (Forcepoint Security Manager) pozwala definiować polityki raz i egzekwować je spójnie na wszystkich kanałach - bez osobnych konsol i rozbieżnych konfiguracji. Architektura on-premises z opcją hybrydowego rozszerzenia na kanały chmurowe zapewnia pełną kontrolę nad incydentami i danymi forensics - dane pozostają w infrastrukturze organizacji.
Rozwiązanie obejmuje sześć komponentów kanałowych: DLP Endpoint, DLP Network, DLP Discover, DLP for Cloud Email, Forcepoint ONE CASB oraz Forcepoint ONE SWG. Każdy kanał działa pod tym samym modelem polityk, a biblioteka ponad 1 700 predefiniowanych szablonów i klasyfikatorów obejmuje wymagania regulacyjne dla ponad 90 krajów i 160 regionów.
Do pobrania - przewodnik dla kadry kierowniczej
Praktyczny przewodnik dla kadry kierowniczej dotyczący zapobiegania utracie danych. Osiem etapów wdrożenia DLP - od określenia przypadków użycia po rozszerzenie ochrony na kolejne kanały i integrację z DSPM.
Produkt dla administratorów IT i zespołów ds. bezpieczeństwa informacji odpowiedzialnych za ochronę danych wrażliwych i własności intelektualnej w środowiskach on-premises i hybrydowych. Adresuje organizacje z sektorów regulowanych (finanse, opieka zdrowotna, administracja publiczna), które wymagają pełnej suwerenności danych - incydenty i forensics pozostają w centrum danych organizacji, nie w chmurze dostawcy.
Endpoint
Windows i macOS
Ochrona danych na endpoint w trybie online i offline. Kontrola aplikacji, druku, nośników wymiennych, HTTPS, schowka systemowego i klientów email.
Siec
DLP Network
Kontrola danych w ruchu przez email, HTTP(S), FTP i kanały webowe. OCR wykrywa dane w obrazach. Drip DLP identyfikuje powolny wyciek danych rekord po rekordzie.
Odkrywanie
DLP Discover
Skanowanie danych w spoczynku: serwery plików, SharePoint, Exchange, bazy danych (SQL Server, Oracle, IBM Db2). Fingerprinting i OCR w ramach standardu.
Chmura
CASB + SWG + Email
Rozszerzenie polityk DLP na aplikacje SaaS (Forcepoint ONE CASB), ruch webowy (Forcepoint ONE SWG) i poczte chmurową. Jedna polityka obejmuje wszystkie kanały.
Forcepoint DLP nie jest monolitycznym narzędziem - składa się z wyspecjalizowanych komponentów kanałowych zarządzanych z jednej konsoli (Forcepoint Security Manager). Politykę definiuje się raz; Forcepoint egzekwuje ją spójnie na endpoint, w sieci, poczcie, aplikacjach SaaS i ruchu webowym. Każdy komponent wnosi specyficzne możliwości techniczne niedostępne w rozwiązaniach punktowych.
1
DLP Endpoint - ochrona stacji roboczych Windows i macOS
Kontrola danych w ruchu i w użyciu na endpoint, zarówno w sieci korporacyjnej, jak i poza nią. Monitorowane kanały: aplikacje, HTTP(S), drukowanie, nośniki wymienne, klienci email (Outlook, Notes), schowek systemowy, udostępnianie plików w Zoom, Webex, Google Hangouts, Teams i narzędziach VOIP. Integracja z Microsoft Azure Information Protection umożliwia analizę zaszyfrowanych plików i stosowanie odpowiednich kontroli DLP. Coaching użytkownika pozwala pracownikowi samodzielnie usunąć ryzyko na podstawie komunikatu zwrotnego - bez blokowania przepływu pracy.
2
DLP Network - kontrola danych w ruchu w sieci
Kluczowy punkt egzekwowania dla danych opuszczających organizację przez email, kanały webowe i FTP. Identyfikuje i blokuje eksfiltrację danych - zarówno celowe ataki, jak i niezamierzone wycieki przez zagrożenia wewnętrzne. OCR rozpoznaje dane ukryte w obrazach. Analiza kumulatywna (Drip DLP) wykrywa powolny wyciek danych - po jednym rekordzie na raz - oraz inne ryzykowne zachowania użytkowników niewidoczne dla tradycyjnych filtrów.
3
DLP Discover - dane w spoczynku w centrum danych
Skanowanie i remediacja danych wrażliwych przechowywanych w serwerach plików, SharePoint (on-premises i cloud), Exchange (on-premises i cloud) oraz bazach danych: Microsoft SQL Server, Oracle, IBM Db2. Fingerprinting identyfikuje dane regulowane i własność intelektualną w spoczynku; po identyfikacji stosuje szyfrowanie lub inne kontrole bezpośrednio z poziomu silnika Discovery. OCR zapewnia widoczność danych ukrytych w plikach graficznych.
4
DLP for Cloud Email - poczta wychodzaca w chmurze
Zatrzymuje nieautoryzowaną eksfiltrację danych i własności intelektualnej przez pocztę wychodzącą. Skalowalny model chmurowy obsługuje nieprzewidziane skoki wolumenu bez konieczności konfigurowania dodatkowego sprzętu. Polityki łączone z pozostałymi komponentami DLP - jeden szablon obejmuje endpoint, sieć, chmurę i email bez duplikowania konfiguracji.
5
Forcepoint ONE CASB - aplikacje SaaS
Rozszerza zaawansowaną analitykę i jednolite zarządzanie politykami DLP na autoryzowane aplikacje chmurowe: Office 365, Salesforce, Box, Dropbox, Google Apps, Amazon AWS, ServiceNow, Zoom, Slack i wiele innych. Kontrola danych w ruchu (upload, download, udostępnianie) i w użyciu (tworzenie, modyfikacja, współpraca) w aplikacjach SaaS - niezależnie od urządzenia i lokalizacji użytkownika.
6
Forcepoint ONE SWG - ruch webowy
Kontrola danych w ruchu przez ruch webowy i webową poczte w sieci. Integracja z Remote Browser Isolation (RBI) dla renderowania ryzykownych witryn w izolowanym kontenerze oraz Zero Trust CDR dla pełnej sanityzacji pobieranych dokumentów. Polityki DLP egzekwowane na ruchu HTTP(S) bez konieczności instalacji agentów na każdym urządzeniu.
Kluczowe funkcje techniczne
Fingerprinting
dane strukturyzowane i niestrukturyzowane
Odcisk cyfrowy baz danych, dokumentów i plików binarnych. Wykrywa pelne i czesciowe dopasowania w dokumentach biznesowych, projektach i bazach danych - równiez po zmianie formatu.
OCR
dane ukryte w obrazach
Optyczne rozpoznawanie znaków identyfikuje dane wrażliwe osadzone w plikach graficznych - zarówno w spoczynku (Discover), jak i w ruchu (Network). Eliminuje kanał eksfiltracji przez obrazy zeskanowanych dokumentów.
Drip DLP
analiza kumulatywna
Wykrywa powolny wyciek danych rozłożony w czasie - np. eksfiltrację po jednym rekordzie dziennie, która nie przekracza progów alertów dla pojedynczych transakcji.
Risk-Adaptive Protection
zachowanie uzytkownika
Integracja z analityką behawioralną. Ryzyko użytkownika wpływa na automatyczne egzekwowanie polityk - wyższe ryzyko oznacza bardziej restrykcyjne kontrole bez ręcznej interwencji administratora.
Coaching użytkowników
edukacja w momencie zdarzenia
Platforma informuje pracownika o ryzykownym działaniu bezpośrednio w momencie jego wystapienia. Użytkownik może samodzielnie usunąć ryzyko; pracuje na Windows i macOS. Zmniejsza incydenty niezamierzone bez blokowania pracy.
Skanowanie dużych plików
wykrywanie częściowej eksfiltracji
Zaawansowane skanowanie losowych sekcji dużych plików wykrywa częściową eksfiltrację danych - metode stosowaną przez atakujacych, którzy dzielą wrażliwe pliki na mniejsze fragmenty.
REST API
integracja z SIEM i SOAR
Eksponowane REST API umożliwia automatyzację workflow incydentów i integrację z narzędziami ServiceNow, Nagios, Tableau, Splunk i XSOAR. Incydenty DLP zasilają istniejące playbooki SIEM/SOAR.
Klasyfikacja AI/LLM
Forcepoint Data Classification
Integracja z Forcepoint Data Classification, Boldon James, Microsoft Azure Information Protection i Microsoft Purview Information Protection. Modele AI/LLM zapewniają precyzyjną klasyfikację danych w użyciu i w spoczynku. Automatyczne etykietowanie zmniejsza obciążenie administratorów.
Wykrywanie typów plików
900+ rozpoznawanych formatów
Identyfikacja na podstawie rzeczywistego typu pliku, nie rozszerzenia - wykrywa próby ominięcia kontroli przez zmianę nazwy lub rozszerzenia pliku.
Skrypty NLP
300+ predefiniowanych, wiele języków
Inteligentne wykrywanie typów danych na podstawie opisanej zawartości z kontekstowymi pomocnikami zwiększającymi dokładność klasyfikacji.
Wyrażenia regularne
Perl-based regex
Szerokie, dokładne wykrywanie treści w oparciu o wzorce - numery PESEL, NIP, numery kart płatniczych i inne dane strukturalne specyficzne dla regionu.
Słowa kluczowe i frazy
1000+ pre-defined
Słowniki słów kluczowych, fraz i wyrażeń z zakresu przepisów i zgodności - gotowe do użycia bez tworzenia własnych reguł od zera.
Risk-Adaptive Protection w praktyce
Ryzyko użytkownika rośnie wraz z kolejnymi zachowaniami - DLP automatycznie eskaluje reakcję: od potwierdzenia, przez szyfrowanie, po pełną blokadę. Bez interwencji administratora przy każdym pojedynczym zdarzeniu.
1 - wynik 24
Stockpiling danych na dysku lokalnym. Akcja DLP: audyt.
2 - wynik 45
Załącznik wysłany na konto prywatne. Akcja DLP: potwierdzenie.
3 - wynik 38
Zrzut ekranu technicznego diagramu. Akcja DLP: audyt.
4 - wynik 45
Kopiowanie tekstu z aplikacji wrażliwej. Akcja DLP: potwierdzenie.
5 - wynik 70
Przesłanie pliku na nośnik USB. Akcja DLP: szyfrowanie.
6 - wynik 95
Próba uploadu do prywatnej chmury. Akcja DLP: blokada.
Co chroni Forcepoint DLP
Forcepoint DLP adresuje zagrożenia wynikające z rozproszenia kanałów wycieku, pracy zdalnej i rozszerzenia powierzchni ataku o aplikacje chmurowe. Ochrona obejmuje zarówno działania nieumyślne pracowników, jak i celową eksfiltrację.
Zagrożenia wewnętrzne i niezamierzone wycieki
Wrażliwe pliki na nośnikach wymiennych i przez HTTPS. Pracownik kopiuje dane na USB lub przesyła przez prywatny web storage - DLP Endpoint kontroluje oba kanały niezależnie od lokalizacji urządzenia, w sieci i poza nią.
Dane PII w wychodzących wiadomościach email. Niezamierzone dołączenie danych osobowych do korespondencji zewnętrznej - DLP Network i DLP for Cloud Email identyfikują PII przez walidację danych, wykrywanie imion i analizę bliskości kontekstu.
Dane wrażliwe przechowywane bez kontroli. Pliki z danymi regulowanymi w serwerach plików i baz danych bez zastosowanych kontroli dostępu - DLP Discover lokalizuje je, klasyfikuje i stosuje szyfrowanie lub inne remediacje.
Celowa eksfiltracja i zagrożenia zewnętrzne
Powolna eksfiltracja danych ukryta w normalnym ruchu. Atakujący lub złośliwy insider wyprowadza dane po jednym rekordzie - poniżej progów standardowych alertów. Drip DLP wykrywa kumulatywne wzorce eksfiltracji, których nie widać przy analizie pojedynczych transakcji.
Dane ukryte w obrazach i plikach binarnych. Eksfiltracja wrażliwych danych przez zeskanowane dokumenty lub pliki graficzne. OCR w DLP Network i DLP Discover identyfikuje tekst w obrazach - eliminuje ten kanał ucieczki.
Własność intelektualna w aplikacjach SaaS i ruchu webowym. Przesyłanie projektów, kodu i dokumentów do nieautoryzowanych usług chmurowych przez pracowników zdalnych. Forcepoint ONE CASB i SWG rozszerzają fingerprinting i polityki DLP na te kanały.
Architektura i wdrożenie. Forcepoint DLP działa w modelu on-premises z opcją hybrydową. Zarządzanie odbywa się przez Forcepoint Security Manager (FSM) - jedną konsolę dla wszystkich komponentów kanałowych. Incydenty i dane forensics przechowywane są w centrum danych organizacji, co zapewnia suwerenność danych i spełnienie wymagań compliance dla sektorów silnie regulowanych.
Rozszerzenie na kanały chmurowe (CASB, SWG) realizowane jest przez Forcepoint ONE - polityki definiowane w FSM egzekwowane są spójnie na endpoint, w sieci i w chmurze. Funkcje zaawansowane jak fingerprinting i machine learning dostępne są zarówno dla kanałów on-premises, jak i chmurowych. Integracje z zewnętrznymi systemami: SIEM (Splunk), SOAR (XSOAR), ticketing (ServiceNow), monitoring (Nagios) i raportowanie (Tableau) przez REST API. Integracja z Forcepoint Data Classification, Boldon James i Microsoft Purview Information Protection dla automatycznego etykietowania.
DLP Endpoint czy DLP Suite - co wybrać
Forcepoint DLP jest licencjonowany modułowo - to nie dwie wersje tego samego produktu, lecz różny zakres ochrony. DLP Endpoint to pojedynczy moduł realizowany przez agenta na stacjach roboczych. DLP Suite to pakiet łączący wszystkie kanały (endpoint, sieć, poczta, discovery serwerowy, chmura) pod jednym silnikiem polityk i wspólnym widokiem incydentów.
DLP Endpoint - gdy głównym ryzykiem są stacje robocze: USB, druk, schowek, lokalne aplikacje i laptopy pracujące poza siecią, bez potrzeby kontroli poczty/WWW na poziomie bramy ani inwentaryzacji danych na serwerach.
DLP Suite - gdy potrzebna jest jednolita polityka i jeden widok incydentów dla wszystkich kanałów eksfiltracji jednocześnie: endpoint, sieć, poczta i discovery serwerowy. Typowy wybór dla większych organizacji z sektorów regulowanych.
Kanal / funkcja
DLP Endpoint
DLP Suite
Nosniki wymienne (USB), CD/DVD
Schowek (kopiuj/wklej), print screen
Drukowanie (drukarka fizyczna)
Kontrola aplikacji / dostep do plików
Kanal WWW na stacji (HTTP/HTTPS)
Endpoint LAN, poczta z klienta na stacji
Lokalny discovery (laptop / desktop)
Praca poza siecia firmowa (off-network)
Web Gateway (ICAP) - ruch sieciowy poza stacja
-
Email Gateway / MTA - poczta sieciowa bez agenta
-
Network DLP protector (SMTP, monitoring sieci)
-
Discovery sieciowy: serwery plików, NAS, Exchange, SharePoint, bazy danych
Jednolity silnik polityk i wspólne UI incydentów dla wszystkich kanalów
tylko endpoint
Wdrożenie - przewidywalny czas i zakres
Wdrożenie Forcepoint DLP przebiega według ustrukturyzowanego planu obejmującego planowanie, przegląd środowiska, instalację, migrację, monitoring i transfer wiedzy do zespołu administratorów. Przykładowy harmonogram dla wdrożenia korporacyjnego rozkłada się na 16 tygodni, z równoległym prowadzeniem kilku etapów.
Analiza obecnego stanu ochrony danych, instalacja i konfiguracja komponentów, start rolloutu agentów endpoint.
3
Migracja, monitoring i testowanie (tygodnie 9-16)
Wdrożenie polityk w trybie monitorowania, testy akceptacyjne, przejście do aktywnego egzekwowania.
4
Transfer wiedzy (tygodnie 12-16)
Przekazanie zespołowi administratorów pełnej operacyjnej kontroli nad środowiskiem DLP.
6 tyg.migracja 100 000 endpointów w tak krótkim czasie, według danych producentaForcepoint, prezentacja produktowa, 2024
16 tyg.przykładowy pełny harmonogram wdrożenia korporacyjnego, od planowania do transferu wiedzyForcepoint, prezentacja produktowa, 2024
Jedna polityka, wszystkie kanały
Schemat poniżej (oparty na diagramie z oficjalnego Security Solutions Reference Guide Forcepoint) pokazuje, jak jedna polityka zdefiniowana w Forcepoint Security Manager rozchodzi się na sześć kanałów ochrony danych.
Pokażemy, jak platforma egzekwuje polityki na endpoint, w sieci i w chmurze z jednej konsoli - i co widzi w Twoim środowisku już podczas wdrożenia Discovery.