Examen et alternatives Fortinet DLP
Fortinet est spécialisé dans la sécurité des systèmes et est particulièrement performant dans ses produits de pare-feu. Fortinet propose des pare-feu à la fois sous forme d'appliances réseau et de services cloud. La fourniture de pare-feu dans le cloud est connue sous le nom de Pare-feu en tant que service . Ce modèle de produit amène Fortinet dans le domaine des services de pointe. La société propose également des réseaux étendus définis par logiciel (SD-WAN) et des produits Secure Access Service Edge (SASE).
Prévention de la perte de données (DLP) consiste à protéger les données sensibles contre le vol ou la divulgation accidentelle. Fortinet propose trois produits qui fournissent un service DLP partiel. Ceux-ci sont:
Qu'est-ce qu'une perte de données ?
La prévention des pertes de données est étroitement liée à normes de confidentialité des données . De plus, toute fuite de données peut être embarrassante ou gênante. Toutefois, contrairement à une attaque par rançongiciel, cet événement n’empêche pas l’entreprise de poursuivre son activité.
Selon le type de données volées, une fuite de données peut avoir de graves conséquences. Cela est dû aux normes de l'industrie et également législation des gouvernements . Ces règles créent des normes de confidentialité des données. Dans le cas de normes imposées par la législation, les entreprises peuvent être condamnées à des amendes pour divulgation de données. Dans le cas des normes industrielles, les entreprises peuvent se retrouver exclues des appels d’offres si elles ne respectent pas les normes. Dans les deux cas, les clients dont les données sont volées peuvent demander réparation. Une fuite de données peut également nuire à la réputation d’une entreprise et lui faire perdre ses clients.
Le type de données à protéger dépend de où l'entreprise opère et le type de commerce dans lequel il est impliqué. Certaines normes sont imposées dans certaines régions du monde, telles que des pays ou des États. Il existe d'autres normes imposées par les industries sur des informations spécifiques, telles que les données liées à la santé ou les informations relatives aux cartes de paiement. Dans tous les cas, les types de données à protéger concernent les particuliers. Si ces informations concernent des personnes dans leur travail, elles ne sont pas couvertes par les normes de confidentialité.
Bien sûr, vous ne voudriez pas que votre propriété intellectuelle ou des secrets commerciaux, tels que des listes de clients ou des accords à prix variables, à révéler aux concurrents. Ces informations doivent donc également être protégées.
La divulgation des données peut être accidentel ou le résultat de un vol . Par exemple, l’appropriation intentionnelle de données pourrait être provoquée par des voleurs, s’introduisant dans le système, ou par des internes souhaitant nuire à l’entreprise ou tirer profit de la vente des données volées.
Comment fonctionne la prévention contre la perte de données ?
Il existe deux manières de protéger les données : au repos et en mouvement .
Protection des données au repos
Lors de la protection des données contre le vol, la première tâche consiste à identifier quelles données doivent être protégées – c'est ce qu'on appelle information sensible – et où il se trouve. La prochaine étape consiste à contrôler l'accès à ces données. Cela peut impliquer d'affiner la gestion des droits d'accès, et la protection des fichiers peut également être renforcée par chiffrement .
Protéger les données en mouvement
Les transferts de données peuvent avoir lieu Sur internet . Cependant, le mouvement des données au sein d’un réseau peut également poser problème. Une fois les données sensibles déplacées de emplacements contrôlés , cela peut être plus facile à voler. En plus du déplacement des données hors du réseau avec les systèmes de transfert de fichiers, les données peuvent être divulguées dans le corps des e-mails ou sous forme de pièces jointes. Il peut également être imprimé ou copié sur une clé USB et emporté hors du bureau ou envoyé par fax.
Comment fonctionne Fortinet DLP ?
Les trois produits Fortinet qui implémentent le DLP sont tous des types de pare-feu. Ces services offrent à la fois pare-feu avant et arrière les fonctions. Un pare-feu traditionnel inspecte le trafic entrant en provenance d'Internet avant qu'il ne soit autorisé sur le réseau. Un pare-feu inversé examine les données passant du réseau vers Internet.
Le pare-feu inversé est l’endroit idéal pour bloquer le transfert de données sensibles hors du réseau. Parmi les trois systèmes Fortinet qui implémentent DLP, FortiGate et FortiProxy sont appareils réseau FortiSASE est un système basé sur le cloud .
Le système Fortinet nécessite que les applications qui communiquent sur Internet partagent leurs clés de chiffrement avec le pare-feu. Sans ce mécanisme, le pare-feu ne serait pas en mesure d'analyser le contenu des paquets sortants.
Tous les systèmes sécurisés sur Internet chiffrer le contenu des paquets mais pas les en-têtes des paquets. Le service le plus utilisé pour ce cryptage est SSL, qui utilise Sécurité de la couche de transport (TLS), généralement avec Cryptage RSA . La méthodologie derrière TLS est que le cryptage est appliqué de bout en bout, et le navigateur Web gère le côté client.
Le navigateur crypte les données avec la clé de cryptage qui lui est fournie par le serveur Web, et les données ne peut pas être déchiffré avec la clé de cryptage, et seul le serveur distant possède cette clé. Lorsqu'un navigateur crée un cryptage HTTPS, TLS est activé pour protéger le contenu des paquets, ce qui empêcherait le pare-feu inverse d'analyser le contenu des paquets à la recherche de données sensibles.
Inspection approfondie des paquets Fortinet pour DLP
FortiPorte protège les clients de connexion, et FortiProxy est conçu pour protéger les serveurs Web. Enfin, FortiSASE crée un réseau sécurisé, unifiant tous les sites et ressources cloud d'une entreprise.
Opérations FortiProxy
Les tâches de création d'une connexion HTTPS avec FortiProxy sont simples car le pare-feu effectue Déchargement SSL . Le dispositif FortiProxy prend en charge la responsabilité de gérer la sécurité des connexions depuis le serveur Web – il négocie le cryptage avec les clients distants et détient donc à la fois les clés de cryptage et de déchiffrement.
Tout le trafic sortant du serveur Web passe par l'unité FortiProxy. Cela analyse tout le contenu des paquets, qui arrivent en texte brut, appelé inspection approfondie des paquets (PPP). Le service recherche des modèles de données qui indiquent données sensibles , tels que les dispositions de numéro de sécurité sociale et de numéro de carte de crédit.
Si un paquet ne contient pas de correspondance avec un format de données sensibles, le pare-feu le chiffre et l'envoie au client.
Opérations FortiGate
FortiGate protège un réseau de bureau typique où la majeure partie du trafic Internet sera initiée par les clients (généralement des navigateurs Web) au sein du réseau , communiquant avec des serveurs Web distants, dictant le Clé de cryptage .
FortiGate doit forcer ses clients à opérer sur HTTP, donc les paquets sortants arrivent texte brut . Le pare-feu effectue une opération DPI, recherche les formats de données sensibles et, si aucun n'est trouvé, crypte le paquet et l'envoie sous forme de HTTPS . Lorsqu'une réponse arrive, le pare-feu la déchiffre, analyse le contenu, puis, si tout va bien, la transmet au navigateur via le réseau en texte brut.
Opérations FortiSASE
FortSASE agit comme un hub, ainsi, tout le trafic entrant et sortant de tous les sites doit passer par le serveur FortiSASE distant. Pour que ce service effectue le DPI, tout le trafic doit le traverser. format non crypté . Ces paquets doivent traverser Internet pour accéder au serveur FortiSASE ; quitter la charge utile des données en texte brut n'est pas une option.
FortiSASE se met en place un VPN avec chaque site. Ainsi, tout le trafic sortant d’un site passe par le VPN, qui applique le cryptage. Le serveur FortiSASE décrypte les paquets arrivant et effectue du DPI, à la recherche de données sensibles.
Si le trafic est destiné à un autre site, selon la politique de sécurité, le service pourra soit le répercuter, soit le bloquer si des données sensibles sont détectées. Lorsque le trafic passe entre les sites, FortiSASE le transmet vers son site de destination. un autre VPN connexion. Si le trafic sort du réseau SASE, le pare-feu le chiffre avec les systèmes appropriés, tels que SSL, et l'envoie.
Problèmes avec Fortinet DLP
Les produits Fortinet qui exécutent le DLP doivent avoir cette fonction activée dans le panneau de configuration de l'appareil ou du service – c'est pas commencé automatiquement. Dans les paramètres de l'appareil, la fonction DLP est appelée Inspection SSL/SSH .
La méthode de vérification Fortinet trafic Internet sortant pour les données sensibles, ne protège qu’un seul point de sortie pour les données. Il ne contrôle pas les clés USB ni ne vérifie l’activité de l’imprimante ou du fax. Le service ne met pas non plus en œuvre de surveillance de l’intégrité des fichiers ni n’identifie les données sensibles au repos. Ainsi, cette solution manque d’une grande partie des techniques utilisées pour prévenir divulgation accidentelle , menaces internes , ou rachat de compte .
Il est également simple pour un pirate informatique de découvrir comment contourner le service Fortinet DPI. Par exemple, le scanner recherche simplement un format de données , comme une séquence typique de numéros de carte de crédit. Tout ce que le pirate informatique aurait à faire pour tromper ce processus serait de diviser le nombre en deux, de transformer chaque chiffre en une lettre correspondante et d'envoyer les deux moitiés à un intervalle de deux minutes entre elles, et ils passeraient l'inspection.
Ainsi, le Fortinet DLP est une fonctionnalité optionnelle d'un système coûteux qui complique les processus normaux de protection du trafic Internet et peut être facilement dupé. De plus, il ne s’agit que d’une solution DLP partielle.
Forces et faiblesses du DLP Fortinet
Nous pouvons trouver plus de faiblesses que de forces avec le système Fortinet.
Avantages:
- Se combine avec d'autres services de pare-feu et de pare-feu inversé
- Il est proposé dans trois scénarios de pare-feu
- Empêche l'envoi de données sensibles sur Internet
Les inconvénients:
- Complique les routines de chiffrement de données établies et réussies
- Nécessite des données pour circuler sur le réseau en texte brut
- Recherche uniquement un nombre limité de formats de données sensibles
- Fonctionne uniquement paquet par paquet
- Il ne protège pas les données sensibles au repos
- Ne contrôle pas les périphériques de stockage amovibles, les imprimantes ou les fax
- Cela n’affine pas la gestion des droits d’accès
Alternatives à Fortinet DLP
D'autres services DLP sont implémentés dans les pare-feu et de nombreux packages couvrent tous les aspects de DLP.
Notre méthodologie pour sélectionner une alternative Fortinet DLP
Nous avons examiné le marché des systèmes de prévention des pertes de données et analysé les options en fonction des critères suivants :
- Un service de découverte et de classification de données sensibles qui peut être adapté aux exigences spécifiques des normes
- Découverte et classification des données sensibles
- Audit de la gestion des droits d'accès
- Gestion de l'intégrité des fichiers
- Contrôle les points globaux d’exfiltration des données
- Suivi d'activité pour les utilisateurs
- Un essai gratuit ou un compte démo pour une évaluation sans frais
- Rapport qualité-prix avec un prix raisonnable pour une DLP complète
- En gardant cet ensemble de critères à l'esprit, nous avons identifié quelques bons concurrents de Fortinet en matière de prévention des pertes de données.
Voici notre liste des cinq meilleures alternatives à Fortinet DLP :
- ManageEngine Endpoint DLP Plus (ESSAI GRATUIT) Ce package se télécharge sur Windows Server et filtre l'activité sur les points de terminaison plutôt que de rester à la limite du réseau. Le système s'étend au contrôle des ports USB et applique des politiques de gestion des données pour les transactions telles que les transferts de fichiers et le courrier électronique. Il ne bloque pas tous les mouvements de données mais les ajuste en fonction des autorisations d'accès. Accédez à un essai gratuit de 30 jours.
- Palo Alto Entreprise DLP Il s'agit d'un équivalent proche de Fortinet DLP car il fonctionne à partir de le pare-feu . Le service peut bloquer les transferts sortants des données sensibles mais ne contrôle pas les imprimantes, les télécopieurs ou le stockage amovible USB. Ce système recherche et classe les données sensibles. Ce service est intégré à un périphérique réseau.
- Protecteur de point de terminaison Un DLP total, utilise des agents de point de terminaison pour les fenêtres , macOS , et Linux pour analyser les points finaux, identifier les données sensibles (PII, données de carte de crédit, PHI et IP) et contrôler les périphériques. Offert en tant que Plateforme SaaS , en tant que service sur AWS , GCP , ou Azur , ou comme un appareil virtuel sur site. De plus, vous pouvez accéder un système de démonstration .
- ZscalerDLP UN Service SASE qui traite les magasins de données sur site comme un stockage cloud ; ainsi, même les utilisateurs du même réseau doivent passer par les contrôles Zscaler pour y accéder. Ce DLP ne surveille pas les périphériques, mais il peut enregistrer toutes les activités données sensibles et bloquez-le si nécessaire. Tu peux demander une démo pour voir comment fonctionne Zscaler.
- Gardien numérique DLP UN Plateforme SaaS utilise des agents de point de terminaison pour les fenêtres , macOS , et Linux pour mettre en œuvre la découverte et la classification des données pour les informations personnelles et la propriété intellectuelle. Ce système contrôle les périphériques USB, les imprimantes, les fax, les systèmes de transfert de fichiers, les services de messagerie et les e-mails. De plus, vous pouvez accéder un compte démo pour évaluer ce service.