Narzędzia ochrony przed wyciekiem danych DLP w modelu open source

Systemy klasy DLP są zazwyczaj skomplikowanymi pakietami komercyjnymi, działającymi non stop. Zupełnie inaczej działa OpenDLP, oprogramowanie przeznaczone do wykrywania wrażliwych informacji, rozwijane jako open source.

Rozwiązania DLP występują w dwóch najważniejszych modelach - hostowym i sieciowym. Model sieciowy zakłada umieszczenie sensora blisko styku sieci lokalnej z Internetem i monitorowanie ruchu w poszukiwaniu chronionej informacji. Model hostowy wyróżnia się tym, że na wszystkich stacjach roboczych objętych ochroną instalowany jest agent, który monitoruje przetwarzanie informacji, otwierane i zapisywane dokumenty, operacje na schowku, a nawet zrzut ekranu. Istotą takich pakietów jest tagowanie informacji określonej jako "poufna" i podążanie za treścią przeklejaną z dokumentów. Tagowanie jest automatyczne, a jeśli z tagowanego dokumentu treść zostanie przeklejona do nowego pliku, ten też zostanie automatycznie otagowany.

Czasami jednak przydatne będą narzędzia, które działają zupełnie inaczej - nie chronią stacji roboczych ani sieci w sposób ciągły, nie przeprowadzają tagowania, ale po prostu poszukują informacji. Narzędzia takie logują się do każdej stacji roboczej, poszukując informacji, a następnie raportują wyniki do centralnego serwera. Po zakończeniu pracy, deinstalują się. Nie korzystają przy tym z żadnych zaawansowanych metod, ale przeglądają szybko plik po pliku, poszukując danych zdefiniowanych za pomocą logicznej potęgi wyrażeń regularnych. W ten sposób działa narzędzie OpenDLP, rozwijane w modelu open source na licencji GNU GPL (zatem jest to oprogramowanie możliwe do zastosowania nieodpłatnie, także w celach komercyjnych). Bardzo dobrym przykładem zastosowania OpenDLP są audyty.

Pies tropiący dane

Oprogramowanie OpenDLP składa się z dwóch części - agentów instalowanych na stacjach roboczych oraz centralnego serwera, który zarządza skanowaniem treści. Środowisko to jest centralnie zarządzane i silnie rozproszone, dzięki czemu skaluje się nawet do kilku tysięcy równocześnie badanych stacji roboczych.

Instalacja agenta odbywa się zdalnie za pomocą opcji Netbios/SMB po udostępnieniu uprawnień administratora do domeny. Po zainstalowaniu, agent łączy się z serwerem, uzgadnia szyfrowanie komunikacji, pobiera reguły definiujące wrażliwe informacje i rozpoczyna się proces skanowania. Wyniki są dostarczane do serwera, po zakończeniu pracy, agent się zatrzymuje, zostaje zdeinstalowany oraz usunięty automatycznie, również za pomocą usług Netbios/SMB.

Przy pomocy centralnego serwera można wstrzymać, wznowić lub całkowicie przerwać skanowanie na wszystkich lub wybranych stacjach. Możliwa jest także wymuszona niezwłoczna deinstalacja wszystkich agentów.

Agent nie potrzebuje .NET ani Javy

Oprogramowanie agenta wymaga systemu operacyjnego Windows 2000 lub nowszego, przy czym zostało napisane w języku C, zatem nie wymaga żadnych bibliotek .NET ani Javy. Oprogramowanie to jest instalowane jako usługa systemowa, pracując przy tym z niskim priorytetem. Po dokonaniu optymalizacji, będzie ono korzystać z ustawień systemowego schedulera I/O w nowszych wydaniach Windows, by żądania wejścia/wyjścia generowane podczas skanowania plików nie skutkowały radykalnym ograniczeniem wygody pracy ze stacją roboczą. Już teraz agent pracuje przy bardzo niskim priorytecie procesora. Dzięki instalacji jako usługa systemowa, agent działa bezproblemowo nawet mimo restartów stacji roboczej, praktycznie w sposób niedostrzegalny dla końcowego użytkownika. Ponieważ pakiet ten wykorzystuje centralny serwer przy poszukiwaniu wrażliwych informacji, komunikacja powinna być szyfrowana. W połączeniu między agentami i centralnym serwerem wykorzystuje się standard SSL, przy czym do komunikacji używana jest standardowa biblioteka curl.