Standardowe sieciowe DLP nie radzą sobie z analizą danych, przesyłanych za pomocą szyfrowanych protokołów, takich jak HTTPS czy też z prywatnych kont pocztowych pracowników lub komunikatorów internetowych. Nie poradzą sobie również z transferem danych z komputerów pracowników na pamięci wymienne czy zrzutami ekranowymi, wysyłanymi zamiast dokumentów.

Hostowy DLP

Do ochrony przed wyciekiem danych przez prywatne konta poczty elektronicznej pracowników, porty USB, korporacyjną pocztę czy aplikacje w rodzaju Google Docs wewnątrz połączenia SSL, konieczne jest rozwiązanie działające na komputerach użytkowników - DLP hostowe (Endpoint/Agent Based DLP). W odróżnieniu od rozwiązań sieciowych, opiera się ono na agentach działających na stacjach roboczych i serwerach. Ich zadaniem jest monitorowanie wszystkiego, co dzieje się z chronionymi informacjami, niezależnie od tego, gdzie operacje na danych mają miejsce.

Hostowe DLP, tak jak rozwiązania sieciowe, korzystają z technik analizy skrótów danych, mogą więc określać, czy sprawdzany tekst powinien być chroniony, czy też nie. Sygnatury danych są przechowywane na stacjach roboczych, gdzie następuje weryfikacja zdarzeń, pod kątem ich zgodności z przyjętymi regułami polityki. Wykorzystywane są także filtry słów kluczowych oraz metadanych. Dla słów kluczowych można ustawić filtry tak, żeby z każdym wyrazem z ustalonej listy, pojawiającym się w sprawdzanym dokumencie, zwiększała się punktacja ryzyka. Natomiast wykorzystując metadane, można blokować pliki o danych właściwościach, co nie musi mieć wyraźnego związku z ich treścią.

Za pomocą hostowego DLP można kontrolować nieautoryzowane zapisy poufnych danych na nośniki CD/DVD czy USB, a także ich drukowanie. Można też uniemożliwić tworzenie zrzutów ekranowych i przekazywanie ich na zewnątrz w postaci plików graficznych. Przy tym należy podkreślić, że bardzo wielką rolę gra nie tylko samo blokowanie akcji, ale edukacja użytkowników. Czasami bardzo skuteczne jest samo poinformowanie użytkownika o tym, że dana akcja może być naruszeniem polityki bezpieczeństwa obowiązującej w organizacji i może nieść za sobą poważne konsekwencje. Produkty DLP tego typu wykorzystują mechanizmy aktywnego ukrywania istnienia agenta, przy czym ukrywany jest nie tylko proces, ale czasami także pliki na dysku. Dzięki odpowiednio ustawionym uprawnieniom, nie jest możliwe wyłączenie agenta.

Podsumowując: sieciowe DLP jest mniej skuteczne, choć proste w implementacji. Hostowe jest lepszym rozwiązaniem, ale trudniejszym do wdrożenia. Warto pamiętać, że za 78% incydentów wycieku danych odpowiadają nieuważni lub nieświadomi pracownicy, a nie świadome i przygotowane ataki hackerów. Rozwiązania DLP służą temu, by uporać się właśnie z tą grupą przypadków, związaną z nieintencjonalną utratą informacji.