DLP - zapobieganie wyciekom danych
-
- Józef Muszyński,
-
- Patryk Królikowski,
- 14.09.2009
Najpilniejsze potrzeby w zakresie zwalczania wycieku danych można podzielić na trzy podstawowe kategorie.
1. Ograniczenie niefrasobliwości. Około 98% incydentów wycieku danych jest przypadkowych lub spowodowanych beztroską pracowników. Do takich przypadków należą utrata laptopa czy pamięci USB, wysłanie wiadomości pocztowej zawierającej wrażliwe informacje pod niewłaściwy adres, nieprzemyślane udostępnianie informacji w sieciach społecznościowych czy wymiana plików P2P - wszystkie takie incydenty mogą mieć dużo groźniejsze skutki niż ataki hakerskie.
Istotne jest w tym przypadku wymuszanie polityki ochrony danych. Utworzenie i egzekwowanie akceptowalnej polityki powinno zmierzać do powstrzymania każdej przypadkowej próby wycieku danych z organizacji. Z powodu zmiennej infrastruktury organizacyjnej, a także oczekiwań użytkowników, że informacja powinna być swobodnie dostępna i udostępniana, powodzenie wdrożenia takich reguł polityki w znacznym stopniu zależy od uświadomienia pracownikom, iż zapobieganie zagrożeniom wewnętrznym jest w ich rękach.
Istotne jest przeszkolenie pracowników, jak mają korzystać z informacji, i dostarczenie im listy jasno określonych zachowań niedozwolonych. Powinna ona m.in. uwzględniać: jakie informacje (pliki) są akceptowane w poczcie elektronicznej, zasady polityki używania pamięci wymiennych (USB, CD/DVD), a także polityki zmian ustawień bezpieczeństwa.
2. Spełnianie wymogów obowiązujących regulacji prawnych. Jedną z najpilniejszych potrzeb dla wielu organizacji jest wdrażanie efektywnych rozwiązań, zapewniających ochronę wymaganą przez obowiązujące regulacje, bez potrzeby angażowania specjalnych zespołów ludzkich do takich zadań.
3. Wykorzystanie istniejących inwestycji. W sytuacji gdy budżety IT są ograniczone, najlepszym rozwiązaniem nie jest inwestowanie czasu i pieniędzy w całkiem nową infrastrukturę, ale pełne wykorzystanie mechanizmów DLP już zawartych w pracującej infrastrukturze.
Wiele przedsiębiorstw dysponuje różnymi narzędziami z mechanizmami, które z powodzeniem mogą spełniać wymogi DLP bez większych dodatkowych inwestycji. Funkcjonalność dostępna w większości bram pocztowych i systemach ochrony serwerów może zapobiegać wysyłaniu wrażliwych lub nieodpowiednich danych poza organizację lub do nieupoważnionych użytkowników wewnątrz firmy. Takie mechanizmy to m.in. skanowanie zawartości wiadomości i załączników zastosowane do kontroli i blokowania wrażliwej informacji przez identyfikację takich elementów, jak numery kart kredytowych czy słowa kluczowe związane z poufną informacją. Innym mechanizmem jest kontrolowanie dostępu do poszczególnych plików i ich rzeczywista identyfikacja zapobiegająca przemycaniu nieautoryzowanych plików w poczcie.
Ochrona bramy internetowej może zapobiegać dostępowi do witryn i aplikacji, które są zazwyczaj używane do obchodzenia kontroli korporacyjnej i rozpowszechniania wrażliwej informacji, w tym współdzielenia plików, ośrodków FTP czy poczty webowej. Można tu kontrolować i blokować nieautoryzowane korzystanie z komunikatorów i ruch FTP.
Ochrona punktów końcowych obejmuje: szyfrowanie informacji, blokowanie nieautoryzowanego używania połączeń bezprzewodowych, a także zarządzanie dostępem do urządzeń podręcznych, takich jak pamięci flash.
Najbliższa przyszłość
Rich Mogul z organizacji badawczej Securosis twierdzi, że rozwiązania DLP będą ewoluowały w kierunku systemów obejmujących proces ochrony informacji całościowo - od momentu powstania informacji aż do jej usunięcia. Proces ten już trwa, a następcy DLP będą określani mianem CMP (Content Monitoring and Protection). Jak zwykle to rynek zweryfikuje potrzebę i wyznaczy właściwy kierunek. Można jednak bez większego ryzyka postawić tezę, że najbliższych kilka lat będzie sprzyjać rozwojowi DLP.
Ochrona przed wyciekami danych szybko staje się kolejnym polem bitwy dla firm specjalizujących się w bezpieczeństwie IT.
Innowacyjne firmy oferujące rozwiązania DLP - Reconnex, Orchestra, Vontu, Provilla i Tablus - zostały wchłonięte przez McAfee, CA, Symantec, Trend Micro i RSA (EMC). Po fali przejęć dostawcy środków bezpieczeństwa postanowili używać DLP w nowy sposób, integrując je w systemach pamięci czy zestawach antymalware dla desktopów.
Chociaż wdrożenie komercyjnego DLP nadal jest przedsięwzięciem kosztownym (cena systemu zaczynająca się od 100 tys. USD nie jest niczym wyjątkowym), filtrowanie zawartości - w celu wykrycia intencjonalnych lub przypadkowych wycieków danych - powoli się upowszechnia.
DLP, technologia dość nowa, może sprawdzać się w wykrywaniu wrażliwych danych i generowaniu ostrzeżeń lub blokowaniu ich przepływu. Wciąż jednak konieczne jest wykonywanie wielu ręcznych czynności przy rejestracji zawartości i definiowaniu zasad polityki. W tej sytuacji analitycy Gartnera zalecają np. skupienie się na kilku głównych kategoriach danych, które powinny być obiektem "szczególnej troski" ze strony reguł polityki DLP. To co jest dzisiaj procesem nieco żmudnym i kosztownym, powinno stać się bardziej powszechne i łatwe w użyciu w ciągu dwóch najbliższych lat.
Dostawcy dostrzegają potrzebę stosowania DLP nie tylko w dużych organizacjach, takich jak instytucje finansowe czy ubezpieczeniowe (gdzie DLP pojawiło się po raz pierwszy często w wyniku wymagań stawianych przez regulacje prawne), ale także w wielu innych przedsiębiorstwach wymagających ochrony wrażliwych danych.
Microsoft i Cisco nie przejęły żadnych firm z obszaru DLP, zawarły jednak umowę o współpracy z RSA na używanie jej technologii klasyfikacyjnej DLP. Pierwszym wynikiem tej współpracy jest integracja RSA DLP w urządzeniach Cisco IronPort.
CA przejęła w styczniu br. nowo powstałą firmę Orchestra i przemianowała jej produkty - monitorowania bramowego i na desktopie - na CA DLP, integrując je z rozwiązaniami szyfrującymi pochodzącymi od Voltage, PGP i BitArmor.
Z kolei Symantec przemianował rozwiązania Vontu na Symantec DLP Discover, Monitor, Prevent i Management. Zintegrował też DLP w bramie ochronnej poczty elektronicznej BrightMail oraz z oprogramowaniem zarządzającym Symantec Altiris. Altiris w wersji 7. może być używany do wdrażania agentów DLP Prevent i Discover. Firma pracuje również nad zintegrowaniem DLP z jej systemami pamięci (dotychczas zintegrowano Symantec DLP Discover z Backup Exec System Recvovery).
Do rywalizacji włączyła się także McAfee, nabywając pod koniec ub.r. firmę Reconnex. McAfee Host Data Loss Prevention i Network DLP Prevent and Monitor współpracują z konsolą zarządzającą ePolicy, a Host DLP jest zintegrowane z oprogramowaniem szyfrującym SafeBoot.
RSA, która ma własny Data Loss Prevention Suite, oparty na technologii przejętej firmy Tablus, zdecydowała się na strategiczne partnerstwo z Microsoftem i Cisco.
