几十年来，公司和组织一直在使用各种数据丢失防护方法来保护重要和敏感​​信息不被丢失或被盗。当使用计算机时，这些方法开始了全新的生活，此后不久，互联网成为主流。现在，迁移到云计算正在创造一种重新发明如何防止数据丢失的新需求。

什么是数据丢失预防？从广义上讲，它只是一种确保敏感和受保护信息不会离开公司网络的策略。但是今天，当人们谈论数据丢失防护（或DLP）时，他们经常谈论用于实现数据丢失的工具，软件和/或服务。但是，您部署的数据丢失防护方法必须包括人为因素，例如培训和强化，以及所使用的流程和工具。

您使用的具体方法取决于您的特定IT基础架构。使用云应用程序的公司（例如G Suite和Office 365）确实需要CASB来在云中实现最佳DLP实践。在这里，我们将介绍您需要在安全云计算的DLP策略中包含的六大数据丢失防护方法。

自动化数据备份是您应该采用的第一种也许是最有效的数据丢失防护方法。因为有很多方法可以丢失数据 - 从意外到恶意 - 自动备份是最接近万无一失的数据丢失防护方法。

1.备份您的数据！

云计算使数据备份变得非常容易。如果您的公司是G Suite或Office 365客户，则您应该已经能够为Google云端硬盘或OneDrive设置自动数据备份。市场上还有许多第三方数据备份解决方案适用于那些尚未提供解决方案或在数据丢失防护备份中格外警惕且希望使用其他资源的公司。

2.设置数据丢失防护策略

设置数据丢失防护策略通常从对您拥有的不同类型的数据进行分类并确定每个需要的保护级别开始。例如，您可以将数据分为两类或三类，范围从“开源”到“关键”。

接下来，您将需要创建有关如何访问和共享每个分类中的信息的策略。例如，“关键”数据可能是只有HR和融资中的上层管理人员才能访问的数据。另一方面，“开源”包含文件和信息，例如，营销和销售正在创建以在组织外部共享。

一旦您对数据类型进行了分类并围绕谁可以访问它们以及如何共享它们来设置策略，您就需要监控和审核每个策略的有效性。政策驱动的数据丢失预防方法的经验法则是从严格的访问限制开始（特别是那些倾向于“频谱”的“关键”方面），然后对那些真正需要的员工慢慢开放访问访问他们。

定期审核DLP政策还可以帮助您确定是否存在您错过的某些类型的数据，或者您是否在流程中错误配置了任何规则。

3.使用数据丢失防护软件

软件允许您自动执行策略，监控使用和检测风险，从而实现数据丢失防护方法。适合您的数据丢失防护软件类型取决于您的团队用于存储，访问和共享数据的技术。有三种主要类型的数据丢失防护软件：端点，网络和云端DLP。

几乎每个组织都应该使用Endpoint DLP。这是因为，每个员工每个人至少有一个端点 - 大多数都有很多甚至更多。终端包括笔记本电脑，台式机，本地服务器，智能手机，平板电脑以及基本连接到网络的任何设备。

大多数公司也知道他们需要某种软件来控制网络DLP。您的网络一直是互联网和您的内部信息之间的单一访问点。然而，在过去五到十年左右的时间里，大多数企业和组织都发生了根本性的变化。现在，员工将自己的设备带到工作中，并希望能够使用它们。SaaS应用程序在工作场所生产力和通信方面也变得非常丰富。这些变化创造了对云DLP软件的需求。

当在云应用程序中存储，访问和发送或共享信息时，传统的网络和/或端点DLP技术并未涵盖所有基础。它的开发是为了保护对信息的访问。但是，一旦获得授权访问（无论是否来自内部的，实际的授权用户），它都无法保护实际数据。Cloud DLP软件通常以CASB解决方案的形式提供，它使InfoSec团队能够监控和检测云应用程序中的活动，从而确保数据，而不仅仅是对其的访问。

4.监控数据使用不当

员工造成的数据丢失比外部攻击更常见（尽管他们受到的关注较少）。在大多数情况下，这些事件是偶然的。它们的范围可以从员工在笔记本电脑上洒咖啡到从车上偷走咖啡。大多数情况下，这是通过与不应该访问它的人分享信息，而不会意识到他们犯了错误。

还有员工窃取公司信息的情况。因为他们已经授权访问数据，所以很难在这些事件发生之后很久才发现这些事件。这可能是一个员工放弃或者将客户和/或公司知识产权信息带到下一份工作或卖给竞争对手的情况。在某些情况下，员工会利用员工和/或客户信息窃取其身份或在黑暗网络上销售信息。

虽然内部数据丢失的目的会产生截然不同的结果，但两者都可能对任何公司都有问题。即使是意外的数据丢失，也可能使组织在创建信息（财务和/或时间）所花费的成本以及尝试重新获得信息的成本方面回归。如果不加注意和未修复，意外事件还可能会为恶意攻击创建漏洞。

5.监控帐户接管行为

监控帐户接管是一种下一级数据丢失防护方法，如果没有正确的数据丢失防护工具，很难实现。但是，它是数据安全策略中的关键功能，使用正确的技术可以实现相对简单的功能。

大多数帐户接管尝试（和成功）具有相同的基本“签名”。识别一个的最简单方法是监控和控制登录位置。一个简单的例子是：如果您的所有员工都在美国，那么您知道来自另一个员工的任何登录都是未经授权的。您可以设置DLP策略以拒绝来自美国以外其他国家/地区的任何登录。

对帐户接管的监控还应考虑登录尝试次数。如果您能够在几小时或几天内看到登录尝试次数突然且可疑的高峰，那么您就知道该帐户正在被定位。在这些情况下，您可以通过重新设置帐户密码并要求更强大的密码来采取主动措施。

最后，使用数据丢失防护CASB允许您检测其他类型的可疑行为，例如源自特定用户的大量文件下载，域行为之外的异常共享，和/或上载文件或发送包含恶意软件或网络钓鱼链接的电子邮件。

6.定期审核您的数据环境以应对风险

可用的最佳数据丢失防护方法之一是持续审核数据环境以查找新的漏洞和风险。这些可能来自使用新的未经批准的SaaS应用程序的员工，现有应用程序中的新补丁更新，进入环境的新类型敏感数据等。InfoSec团队经过培训，可以随处查看漏洞。良好的数据丢失防护工具将帮助您和您的团队全天候监控和审核新风险。

如您所见，IT和InfoSec团队可以使用各种各样的数据丢失防护方法。选择正确的DLP解决方案（或解决方案）在很大程度上取决于您公司的IT基础架构，合规性要求和预算。对于使用流行云应用程序的团队，例如Google G Suite，Microsoft Office 365，Slack等，使用信誉良好的CASB和易于使用的数据丢失防护工具已不再是奢侈品 - 它是必须的。