Ochrona informacji i sieci

Od lat organizacje coraz szerzej otwierają swoje sieci i centra danych dla partnerów biznesowych i pracowników mobilnych, co prowadzi do zaniku klasycznej granicy sieci, a co najmniej tę granicę na tyle "dziurawi", że zastrzeżone dane zasobnego centrum mogą wyciekać z punktów końcowych i wylewać z baz danych oraz współdzielonych plików.

Taki porowaty obwód sieci wymaga ochrony nie tylko przed intruzami próbującymi wykradać cenne dane, ale także pracownikami, którzy często biorą prace do wykonania do domu i nieumyślnie przesyłają zastrzeżone dane przez internet.

Typowa organizacja ma wiele przejść otwartych na zaporze ogniowej: klienci, dostawcy usług internetowych, outsourcing. Dlatego należy przyjąć ocenę bezpieczeństwa, jako podstawę ochrony przed atakami odnoszącymi się do krytycznych danych w bazach danych i współdzielonych plikach. Idea ta polega na przyznawaniu danym priorytetów, odzwierciedlających najbardziej krytyczne obszary biznesu, i zastosowaniu bezpiecznej komunikacji oraz szyfrowania dla tak sklasyfikowanych danych.

Nikt nie sugeruje jednak zlikwidowania ochrony brzegowej, która spełnia nieocenioną rolę w filtrowaniu głównych ataków sieciowych i może być dostosowana do obsługi funkcji bardziej związanych z centrami danych.

Szerokie podejście do ochrony danych krytycznych musi uwzględniać zintegrowane mechanizmy, przekraczające podziały: na dane strukturalizowane i niestrukturalizowane, w spoczynku, w użyciu i w ruchu. Niestety, zadania priorytetyzacji, szyfrowania, monitorowania i kontrolowania dostępu i użytkowania wrażliwych danych są trudne do integracji. Przedsiębiorstwa stosują więc różne podejścia do ochrony danych przed ich wypływem z organizacji, włączając w to systemy DLP (Data Loss Prevention), kontrolę dostępu i szyfrowanie.

Na początek organizacje powinny się dowiedzieć, które dane potrzebują ochrony, i gdzie są zlokalizowane. Zbyt wiele firm tego nie wie. Nieuzasadnione jest przecież wydawanie takich samych pieniędzy na ochronę poczty elektronicznej z prywatną korespondencją i wiadomości zawierających istotne informacje biznesowe. Jednak klasyfikowanie takich zasobów to sprawa bardzo skomplikowana. Można używać do tego oprogramowania DLP, które potrafi rozpoznawać krytyczne dane niestrukturalizowane.

Dostawcy technologii DLP zapewniają metodę wykrywania miejsc rezydowania informacji wrażliwej i następnie zapobiegają, aby nie opuszczała ona organizacji za pośrednictwem powszechnych środków komunikacji, takich jak poczta elektroniczna czy komunikator. Jednakże technologia ta musi być używana w połączeniu z właściwym szkoleniem pracowników i systemami zarządzania uprawnieniami do dokumentów, szyfrowaniem, zabezpieczaniem punktów końcowych oraz fizycznymi środkami ochrony. Ma ona obniżyć ryzyko wycieku danych i zapewnić sposób śledzenia i szybkiej reakcji na krytyczne naruszenia zasad ich ochrony.

Narzędzia DLP są dobrze wykorzystane, kiedy monitorują jak najmniejszą liczbę typów danych (zazwyczaj jest ich kilka: numery kart kredytowych, numery identyfikacyjne itp.). Większość organizacji rozpoczyna od klasyfikacji i ochrony danych związanych z regularnymi klientami. Dane wrażliwe powinny być wykrywane we współdzielonych plikach, trasach przemieszczania danych i w punktach końcowych.

Kolejnym problemem jest korzystanie z danych. Tutaj pomocne są narzędzia audytu, które pozwalają określić, kto ma dostęp do danych, i czy taki dostęp jest uzasadniony. Przy okazji analizowana jest zgodność z obowiązującymi przepisami dotyczącymi okresu przechowywania danych.

Bezpieczeństwo w punktach końcowych sieci

Rozwiązania sieciowe DLP to ochrona umieszczana zazwyczaj jak najbliżej baz danych. Jednym z problemów jest ochrona bazy danych w kontekście jej powiązań z serwerem webowym. Dużą rolę odgrywa tu uwierzytelnianie, zwłaszcza na poziomie użytkownika. Szczególnie przydatny może być tu model tożsamości federacyjnej, zapewniający uwierzytelnianie internetowe dla aplikacji biznesowych. Taki dostęp powinien być kontrolowany przez atrybuty bezpieczeństwa danych, uzupełniony szyfrowaniem czy uprawnieniami przejściowymi, ograniczonymi do jednej sesji. Uwierzytelnianie może towarzyszyć każdej komendzie SQL - od użytkownika, przez serwer webowy, po bazę danych. Przy takim zabezpieczeniu nawet włamanie się do serwera webowego nie pozwoli na uzyskanie dostępu do konta użytkownika, jeżeli nie zna się jego hasła - a ono znane jest tylko użytkownikowi i bazie danych.

Zapory ogniowe i systemy wykrywania wtargnięć dobrze chronią sieci, natomiast gorzej jest już z aplikacjami. Oprócz monitorowania bazy danych i sieci pod kątem sklasyfikowanych danych, organizacje potrzebują jeszcze ochrony przed wyciekiem danych w punktach końcowych.

W tym celu można stosować rozwiązania integrujące funkcjonalność DLP z ochroną punktów końcowych. Takie rozwiązania zapewniają m.in. firmy: Symantec (kupiła firmę Vontu) czy Trend Micro (pod koniec 2007 r. przejęła rozwiązania Provilla), a także McAfee (kupiła Reconnex). Oferta DLP tych dostawców obejmuje bramy monitorujące, a także agenty dla punktów końcowych, które dostarczają danych do konsoli raportowania.

Rozwiązania DLP są również uzupełniane szyfrowaniem danych, co zapewnia kolejny poziom ochrony, niezbędny w nowym modelu bezpieczeństwa. Tutaj też rozwój odbywa się najczęściej drogą przejęć. Sophos wykupił w tym celu niemiecką firmę Utimaco, a McAfee przejęła SafeBoot (zapewniając sobie szyfrowanie zarządzane centralnie). Używając takich narzędzi, organizacje mogą rozciągnąć skonsolidowaną politykę ochrony na punkty końcowe, np. wg zasady: "szyfruj, gdy zapisujesz do pamięci USB".

Architektury DLP są definiowane przez miejsce ochrony zawartości: dane w ruchu - monitorowanie sieci; dane w spoczynku - skanowanie plików; dane w użyciu - monitorowanie punktów końcowych. Pełne rozwiązania DLP zawierają komponenty dla tych trzech obszarów kontroli, natomiast rozwiązania punktowe pokrywają obszary, takie jak narzędzia DLP dla punktów końcowych czy bramy DLP dla ruchu poczty elektronicznej. Funkcjonalność DLP może być także umieszczona w innych rozwiązaniach, takich jak brama pocztowa.

Rynek rozwiązań DLP zaczynał od narzędzi pasywnego monitorowania sieci, skupiających się na wykrywaniu wycieków informacji kanałami komunikacyjnymi - SMTP, IM, FTP, HTTP. Narzędzia te ewoluowały w kierunku bardziej rozwiniętych rozwiązań. W systemach poczty elektronicznej wprowadzono zagnieżdżanego agenta transportu poczty (MTA - Mail Transport Agent), który stanowi dodatkowy punkt przejścia na drodze poczty elektronicznej i może blokować, poddawać kwarantannie lub nawet zawracać wiadomości do nadawcy.

Inne kanały, takie jak: HTTP, FTP czy IM - są trudniejsze do blokowania, ponieważ ruch w nich wykorzystuje protokoły synchroniczne. Tutaj wykonanie analizy sesji, w celu rekonstrukcji i oceny zawartości, wymaga zastosowania rozwiązań proxy.

DLP dla danych w spoczynku jest często tak samo ważne jak monitorowanie sieci. Narzędzia rozpoznawania zawartości skanują repozytoria danych i współdzielone pliki w przedsiębiorstwie w poszukiwaniu wrażliwej zawartości.

Ostatni główny komponent rozwiązań DLP to agent punktu końcowego, który monitoruje korzystanie z danych na desktopie użytkownika. Taki agent może teoretycznie monitorować sieć, pliki i działania użytkownika, ale niewiele rozwiązań tego typu jest tak kompletnych. Większość rozwiązań monitoruje pliki pod kątem wrażliwej informacji przenoszonej do pamięci podręcznych (USB).

Rozwiązania DLP są przeznaczone do identyfikowania i ochrony wrażliwej informacji biznesowej. Przydatna jest tu jednolita polityka ochrony danych, stosowana w całym środowisku, co stanowi podstawową przewagę pełnych rozwiązań DLP nad rozwiązaniami bezpieczeństwa z funkcjonalnością DLP. Zestawy DLP centralizują przepływ zadań obsługi incydentów w całej sieci, pamięciach masowych i punktach końcowych oraz zapewniają odpowiednio dostosowany interfejs użytkownika.

Centralne zarządzanie polityką w tym zakresie pozwala na definiowanie chronionej zawartości i następnie stosowanie zróżnicowanych działań wymuszających na podstawie tego, gdzie nastąpiło naruszenie reguł. Chronioną zawartość definiuje się tylko raz, i na jej bazie buduje reguły oparte na tej definicji. Takie zasady polityki są rozpowszechniane za pośrednictwem infrastruktury DLP obejmującej sieć, pamięć i punkty końcowe. Dla różnych użytkowników stosowane są odmienne reguły polityki.

Naruszenie polityki DLP wymaga zazwyczaj dedykowanego ciągu działań. W przeciwieństwie do infekcji wirusowych i alarmów IDS, takie incydenty mogą w konsekwencji doprowadzić do zwolnienia pracownika lub postawienia mu zarzutów prawnych. Dlatego też ważnym elementem systemu zarządzania DLP jest funkcja zarządzania incydentami, za pomocą której można podejmować odpowiednie akcje i zarządzać ciągiem działań śledczych.