DLP - zapobieganie wyciekom danych
- Józef Muszyński,
- Patryk Królikowski,
- 14.09.2009
DLP początkowo było terminem określającym różne systemy obrony przed wyciekiem danych. Zaliczano do nich m.in.: systemy filtrowania treści internetowych, kontroli poczty elektronicznej, oprogramowanie typu "endpoint security" - które realizują funkcje kontroli aplikacji lub kontroli urządzeń. Wreszcie wszelkiego rodzaju narzędzia AV/AS (antivirus/antispyware) zwalczające spyware, rootkity i inne zagrożenia typu "drive-by-download". Upatrzywszy w tej niszy rynkowej spory potencjał dla sprzedaży własnych rozwiązań i stosując wiele znanych od dawna technik, producenci obecnie oferują wiele funkcji zgrabnie zintegrowanych w jednym opakowaniu. Jeśli zajrzymy na witrynę firmową w zasadzie dowolnego producenta rozwiązań do ochrony sieci, to niemal każdy używa skrótu DLP, choćby jego rozwiązanie niewiele miało z tym wspólnego.
Można zatem powiedzieć, że DLP (czasami określane też jako Extrusion Detection) jest systemem, którego głównym celem jest ochrona przed zagrożeniami związanymi z wypływem chronionych danych na zewnątrz. Rynek w ciągu ostatnich kilkunastu miesięcy trochę okrzepł i dojrzał. Złośliwi mówią, że uległ uprzemysłowieniu. Małe firmy, które do tej pory nadawały ton DLP, zostały wykupione przez gigantów - Vontu (obecnie Symantec), PortAuthority (obecnie Websense) czy Tablus (obecnie EMC). Dominację tej wielkiej trójki potwierdza w swoim rankingu firma Gartner. Inni, którzy nie zdążyli bądź nie chcieli nikogo kupować, zawierają porozumienia z dostawcami DLP i otwierają swoje rozwiązania na współpracę. Przykładem może być tutaj Cisco z rozwiązaniem IronPort (brama do ochrony poczty).
Zarówno przy okazji DLP, jak i wszelkich innych mechanizmów kontroli pojawiają się wątpliwości natury prawno-etycznej. Wielu postrzega DLP jako narzędzia czysto szpiegowskie, które głęboko ingerują w prywatność. Jest to częściowo prawda - zwykle po pilotażowej instalacji DLP następuje seria spektakularnych zwolnień. W naszej mentalności niestety systemy te traktowane są nie jako narzędzia pozwalające na usprawnienie procesu obiegu informacji i wykrycie złych praktyk, ale jako forma nagonki na pracowników. Warto jednak pamiętać, że taki rodzaj inwigilacji nie może być prowadzony bezkarnie. Pracodawca, zgodnie z prawem musi powiadomić pracowników o sposobach prowadzonej kontroli. Pracownik musi zatem wiedzieć, w jaki sposób i co jest kontrolowane.
Co może DLP?
Od systemu DLP oczekuje się, że będzie w stanie ogarnąć kontrolą wszelkie kanały, którymi informacje mogą wydostać się z organizacji. Powinien obejmować przede wszystkim: pocztę elektroniczną, komunikatory, FTP, transmisję webową oraz szeroko pojmowane kopiowanie. Podobnie jak w przypadku innych systemów bezpieczeństwa (w szczególności szyfrujących), także i w DLP można wydzielić trzy główne obszary, gdzie mamy do czynienia z przepływem informacji. Wyróżniamy tu dane:
- w spoczynku (data at rest), np. umieszczone w bazie danych lub na udziale sieciowym
- w ruchu (data in motion/in transit), np. przesyłane przez komunikatory, pocztą elektroniczną
- używane (data in use), np. CTRL+C/CTRL+V wrażliwe dane z dokumentu, kopiowane na pamięci przenośnej, drukowane.
Biorąc pod uwagę powyższe uwarunkowania, można wyróżnić co najmniej dwa główne miejsca podsłuchiwania danych: sieć i serwery oraz stacje robocze.