Test rozwiązań DLP
- Józef Muszyński,
- Benjamin Blakely,
- Mark Rabe,
- Justin Duffy,
- 15.02.2010
Największe zagrożenia dla bezpieczeństwa danych przedsiębiorstwa pochodzą z wewnątrz sieci. Można zabezpieczać jej granice, kontrolując urządzenia końcowe i poszukując wrażliwych informacji opuszczających sieć, ale nie będzie pewności, że pracownicy nie nadużywają dostępu do wrażliwych danych. Narzędzia DLP, które mogą być instalowane na desktopach, laptopach lub serwerach, służą do minimalizowania niepożądanych działań użytkowników, jeżeli nie można im ograniczyć dostępu do danych.
Pracownik działu kadr potrzebuje dostępu np. do numerów PESEL pracowników, ale czy musi wysyłać je pocztą elektroniczną na zewnątrz organizacji? Celem stosowania DLP jest dopuszczenie takich działań użytkowników, które są niezbędne do wykonywania ich pracy, bez udostępniania im jednocześnie czegokolwiek, co może stworzyć ryzyko wycieku danych.
W testach wzięły udział trzy produkty do zapobiegania wyciekom danych w punktach końcowych sieci: Data Endpoint firmy Websense, LeakProof z Trend Micro i Identity Finder Enterprise Edition firmy Identity Finder. Do testów zaproszono również m.in. Cisco, McAfee, CA, RSA, Symantec, Proofpoint, ale ci producenci nie zdecydowali się wziąć w nich udziału.
Podstawowym celem testów było sprawdzenie mechanizmów identyfikowania różnych typów wrażliwych danych i możliwości powstrzymywania ich wycieków różnymi kanałami: skopiowanie na pamięć USB lub płytkę CD/DVD, wydrukowanie, wysłanie pocztą elektroniczną lub komunikatorem. Ogółem przeprowadzono 588 różnych testów. Pomimo tak wysoko postawionej poprzeczki, testowane produkty wykazały się dużym stopniem wyrafinowania, oferują bogaty zestaw mechanizmów i łatwość użycia.
Websense Data Endpoint również bogato wyposażono w różne mechanizmy zapewniające administratorowi korzystanie z dużych sekcji gotowych szablonów polityki, opisów specjalistycznych akcji po wykryciu naruszenia polityki, dostosowania tych akcji do aplikacji i planowania wykonywania skrótów danych (fingerprinting) na plikach we współdzielonej sieci. Data Endpoint, element Websense Data Security Suite, oferuje więcej mechanizmów niż Trend Micro LeakProof i jest dużo tańszy. Ma też jednak kilka niedociągnięć.
Oba produkty są przeznaczone do pilnowania, aby wrażliwe dane nie opuściły punktu końcowego sieci - niezależnie czy jest to działanie zamierzone czy przypadkowe. W praktyce zablokowanie incydentalnych wycieków jest łatwiejsze, ponieważ zdeterminowany użytkownik zawsze może znaleźć sposób obejścia schematów blokowania.
Identity Finder nie próbuje powstrzymywać użytkowników od niewłaściwych działań związanych z danymi wrażliwymi, natomiast próbuje im pomóc chronić takie dane. Jest to podejście całkiem odmienne, zakładające uczciwe postępowanie użytkownika, a nie podejmowanie przez niego niegodziwych czy wręcz przestępczych działań. Narzędzie wynajduje wrażliwe pozycje danych, skupiając się przede wszystkim na informacjach związanych z tożsamością, takich jak: nazwiska, adresy, numery identyfikacyjne, numery kart kredytowych i inne dane osobowe.