Jednak prawie wszystkie zapory są jednokierunkowe. Mogą one chronić przed atakami z wrogich regionów internetu, ale też beztrosko pozwalają ekspediować dane na zewnątrz sieci organizacji. Tylko niektóre przedsiębiorstwa, utrzymujące najwyższy poziom bezpieczeństwa IT, stosują aktywne filtry dla danych opuszczających sieć organizacji.

Nie chodzi tu o rozwiązania ograniczające dostęp do poszczególnych miejsc w sieci WWW, działające w oparciu o treść, czy filtry blokujące aplikacje P2P. Chodzi o urządzenia, które po wykryciu na zaporze nietypowych danych przekazywanych przez wewnętrzne hosty aktywnie je blokują lub powiadamiają o tym fakcie administratora. Na przykład trudno spodziewać się by biuro projektowe nagle zaczęło wymieniać duże ilości danych z Chinami - jest co prawda możliwe, że to "legalny ruch", ale bardziej prawdopodobne jest, że te ogromne ilości danych to projekty wędrujące właśnie do jednej z bliżej nieznanych organizacji w jakimś azjatyckim państwie.

Zobacz również:

• Bezpieczeństwo w chmurze publicznej nadal priorytetowe

Polecamy Kilka szalonych (ale skutecznych) sposobów na bezpieczeństwo sieci

Rozwój technologiczny umożliwia dzisiaj powstanie nowego wewnętrznego zagrożenia - nie tylko ze strony wirusów i podobnego oprogramowania, ale szpiegostwa. Istnieją obawy, że sprzęt komputerowy produkowany w niektórych krajach może zawierać trojany zaimplementowane w mikroukładach, pozwalające na zdalne sterowanie wrażliwymi urządzeniami w celu zbierania danych wprowadzanych z klawiatury czy otwierające tylne furtki dostępu do sieci.

Zagrożenia tego rodzaju są na razie rozważane teoretycznie (choć jak wynika z raportu naukowców z Cambridge University nie tylko teoretycznie), ale to nie zmienia faktu, że jest to technicznie wykonalne. Jedynym sposobem ochrony przed tego rodzaju "głębokim wtargnięciem" jest dokładne sprawdzanie tego, co opuszcza sieć organizacji. Można założyć, że dzisiaj w znacznej większości korporacyjnych infrastruktur jest to czynione w niewielkim stopniu (o ile w ogóle), a osoby z nich korzystające mogą nawet nie uzmysławiać sobie zagrożenia.

Jak uzyskać kontrolę na ruchem wychodzącym? Zamykając się w obrębie zapory ogniowej w warstwie 4 niewiele zdziała się w ochronie przed wyciekiem danych, nawet jeżeli zablokuje się adresy IP należące do innych państw czy bezpośredniej konkurencji . Stworzenie i utrzymywanie takiej czarnej listy jest właściwie stratą czasu. Dla tych celów są one praktycznie bezużyteczne.

Polecamy DLP - komercyjnie i za darmo

Jedynym rozsądnym podejściem wydaje się być zastosowanie w tym celu głębokiej inspekcji pakietów i staranne przyglądanie się każdemu pakietowi, który opuszcza sieć. Urządzenia przeznaczone do wykonywania takich zadań (np. NIKSUN NetDetector) mogą być skonfigurowane do wysyłania powiadomień w sytuacji, kiedy przechodzący przez nie ruch odpowiada wzorcom ruchu podejrzanego, zawiera specyficzne pliki lub nawet określone ciągi znaków. Takiej kontroli może co prawda wymykać się ruch szyfrowany, ale nagły wzrost ruchu szyfrowanego w kierunku nieznanego adresu także może wyzwalać ściślejszą kontrolę. Można bezpośrednio zidentyfikować źródło wewnętrzne, ponieważ ma się do dyspozycji strumień pakietów w całości.