Wycieki danych - niebezpieczne uzależnienie od portów

Skrót DLP (Data Leakage Prevention - zapobieganie wyciekom danych) odnosi się do technologii wykrywania i egzekwowania, ukierunkowanych na ochronę informacji wewnętrznych. Są to zazwyczaj dane podlegające zarówno ochronie z punktu widzenia prawa, jak i stanowiące własność intelektualną. Możliwości egzekwowania obejmują szeroki wachlarz działań: od wykrywania i alarmowania, po rozmaite sposoby blokowania, kwarantanny czy szyfrowania wychodzącego ruchu sieciowego.

Pierwsze wdrożenia takich technologii skupiały się na poczcie elektronicznej, ale od niedawna zaczęto także uwzględniać ruch HTTP, FTP i różnego rodzaju usługi (czat, komunikatory), jak również transport szyfrowany (SSL, SSH).

Weryfikowanie zawartości pod kątem zgodności z obowiązującą polityką bezpieczeństwa wymaga angażowania znaczących zasobów. Do zminimalizowania obciążenia takim przetwarzaniem większość dostawców DLP wymaga ścisłego przyporządkowanie portów do analizowanych i dekodowanych protokółów. Na przykład dla poczty elektronicznej zakłada się wykorzystanie jedynie portu 25. Inne protokoły konfigurowane zazwyczaj ze stałym numerem portu to FTP (port 21) i HTTP (port 80). Co więcej, niektórzy dostawcy wymagają, aby adresy IP serwerów poczty były specyfikowane w sposób jawny. Takie założenia (przetwarzanie wyłącznie wybranych portów lub adresów IP) prowadzą do powstawania luk bezpieczeństwa i w dużym stopniu obniżają efektywność wdrożeń DLP.

Wychodząca poczta elektroniczna omijająca korporacyjne serwery pocztowe jest przykładem takiego ryzyka. Takie sytuacje można spotkać w wielu organizacjach, gdzie pracownicy mogą mieć dostęp do własnych kont prywatnych, których adresy IP nie są znane administratorom. Ponadto usługodawcy internetowi blokują zazwyczaj port 25 w celu zapobieżenia infiltracji ich systemów przez spam, co wymusza na użytkownikach konfigurowanie serwerów pocztowych na innych portach. Cała taka poczta jest wtedy w praktyce niewidoczna dla systemu DLP, który wymaga od użytkownika stosowania ustalonych portów dla analizowanych protokołów.

Inne protokoły, jak np. IRC, mogą używać portu 80 do ominięcia blokady na zaporze ogniowej. Ponieważ port ten jest zazwyczaj otwarty dla połączeń wychodzących w celu zapewnienia obsługi przeglądarek internetowych (HTTP), listy kontrolne dostępu i inne mechanizmy zapory ogniowej niewiele mogą zdziałać w zakresie kontroli aplikacji czy protokołów używających tego portu. Założenie, że cały ruch przechodzący przez port 80 to HTTP, pozwala innym protokołom na ominięcie tradycyjnych systemów skanowania zawartości.

Rozwiązanie tego problemu wymaga, aby systemy DLP używały niezależnych od numerów portów metod identyfikacji protokołów. Jedną z takich metod jest tzw. analiza Bayesa, która ustala pewien zestaw wyróżników dla poczty elektronicznej i sprawdza je w całym ruchu sieciowym. Wtedy moduł egzekwowania reguł polityk zajmujący się pocztą elektroniczną, obsługuje jedynie ruch, który został zidentyfikowany na ich podstawie. Taka identyfikacja opiera się na wynajdywaniu dostatecznej liczby związanych z pocztą elektroniczną wyróżników, niezależnie od tego, który port jest przez nią używany.

Niezależna od portów klasyfikacja i analiza ma jeszcze większe znaczenie dla protokółów, takich jak ruch P2P, używających losowo wybranych portów w celu uniknięcia wykrycia. Nowsze protokoły mogą być także tunelowane w istniejących protokołach, używających z założenia bezpiecznych portów. Tak więc przy ocenie rozwiązań DLP należy zwrócić szczególną uwagę na rozwiązania niewymagające wiedzy o tym, jak informacja może opuszczać sieć, których kanałów może używać lub w jakim musi być formacie. Bez takiej oceny wdrożone rozwiązanie może okazać się niezbyt szczelne. W opinii analityków sektor DLP w ciągu kilku lat uzyska znaczącą pozycję, ponieważ przedsiębiorstwa zaczynają uświadamiać sobie potrzebę zabezpieczania się przed wyciekiem danych i coraz częściej poszukują odpowiednich technologii.

<hr>

Michał Jarski, dyrektor regionalny Check Point

Duża popularność pamięci przenośnych i odtwarzaczy multimedialnych zwiększa ryzyko dostania się poufnych informacji w ręce niepowołanej osoby. Skuteczną ochroną mogą tu być techniki kryptograficzne, zarządzalne na poziomie przedsiębiorstwa. Polityka bezpieczeństwa musi zaczynać się na poziomie jądra sieci operatora internetowego. Jest to "czyszczenie" łączy z typowych ataków sieciowych (funkcjonalność firewall i IPS), funkcje antywirusowe, antyspamowe oraz kontrola nad przeglądanymi w sieci treściami.

Wiele firm dostrzega konieczność stosowania rozwiązań klasy UTM, które upraszczają zarządzanie i zmniejszają jego koszt.

Wzrasta zainteresowanie operatorów telekomunikacyjnych inwestycjami w zbudowanie centrów outsourcingu usług zarządzania bezpieczeństwem, co powinno ograniczyć koszty i wzmocnić bezpieczeństwo.

<hr>

Usługi bezpieczeństwa online

Rynek usług bezpieczeństwa online stale poszerza zakres usług. Są to m.in. serwisy przeznaczone do określania reputacji treści internetowych. Usługa taka zapewnia użytkownikom informacje o reputacji różnych witryn internetowych i bezpieczeństwie poszczególnych stron w ramach danej witryny. Na podstawie określonych kategorii filtrowania dodatkowe mechanizmy analizujące sprawdzają, czy dana witryna zawiera treści niepożądane. Usługa działa zazwyczaj z przeglądarkami, a także obsługuje wyszukiwarki. Do przeglądarki może być włączana w postaci wtyczki programowej.

Szeroko dostępne są też usługi oceny reputacji poczty elektronicznej, która pozwala na blokowanie połączeń z niepożądanymi i niebezpiecznymi nadawcami poczty elektronicznej. Usługi takie wykorzystują kombinację danych o przewidywanych zachowaniach oraz informację historyczną o reputacji nadawcy do określania, czy jest on legalny. Odrzucając połączenie pochodzące bezpośrednio od spamerów lub przejętych przez nich pecetów działających w ramach botnetów, usługa pozwala na blokowanie połączeń. Często może także blokować ataki związane z uzyskiwaniem adresów pocztowych oraz DoS. Profil reputacji określany przez usługę jest uaktualniany z określoną częstotliwością.

Inny rodzaj usługi przeznaczony jest do automatycznego audytu bezpieczeństwa w firmach. Usługa może wykrywać zagrożenia, które przedostają się przez tradycyjne rozwiązania antywirusowe. Takie zautomatyzowane usługi wyszukują i eliminująca szkodliwe aplikacje, które przedostały się do firmowej sieci przez zainstalowane rozwiązania ochronne. Podstawowe funkcje to zbieranie i gromadzenie danych o wzorcach zachowań programów, śladów plików, sygnatur nowych złośliwych kodów itd. System automatycznie analizuje i klasyfikuje pliki jako szkodliwe lub nieszkodliwe. Usługę można zazwyczaj uruchomić i skonfigurować z każdego komputera podłączonego do sieci i wyposażonego w przeglądarkę internetową.

W ramach audytu możliwe jest też przeprowadzenie analizy obejmującej wszystkie procesy oraz pliki w komputerach. Oprócz szczegółowych raportów audyt taki często obejmuje proces usuwania wykrytych zagrożeń

<hr>

Robert Dąbroś, inżynier systemowy, McAfee

Z naszych danych wynika, że największym zagrożeniem pierwszej połowy 2007 r. są ataki phishingowe. Liczba tych ataków stale się powiększa w sposób niekontrolowany i osiągnęła wzrost rzędu kilkuset procent! Są to zagrożenia o tyle istotne, że razem z drugim gwałtownie rosnącym niebezpieczeństwem (atakami typu rootkit i trojan) prowadzą często do wycieku danych, który stanowi ostatnio największe zagrożenie korporacyjne. Niebezpieczne też dlatego, że jego efekty widać dopiero po fakcie. Oczywiście trzeba pamiętać, że najsłabszym ogniwem systemu bezpieczeństwa pozostaje człowiek. Przypadkowe działanie, prowadzone nawet w dobrej wierze, może w konsekwencji prowadzić do wycieku tajnych informacji korporacyjnych. Z naszych danych wynika jednak, że jest to bardzo często ignorowane zagrożenie w polskich firmach.