Inline, bypass i hybrydy

Rozwiązania badające ruch sieciowy występują w trzech formach. Lwia ich część to urządzenia typu inline. Mogą też funkcjonować jako bramki ogólnego przeznaczenia analizujące szeroki zakres protokołów (przypominając trochę systemy UTM) lub rozwiązania specjalizowane, np. kontrolujące komunikację z bazami danych (m.in. Crossroads System DBProtector), pocztę elektroniczną (np. Cisco IronPort).

Jednym z najlepiej rozpoznanych i objętych kontrolą kanałów wycieku informacji jest poczta elektroniczna - mechanizmy DLP są wbudowane w urządzenia typu Mail Security. Filtrowanie w urządzeniach tego typu obejmuje często także komunikatory internetowe. W dobrze skrojonym systemie mamy możliwość wyłapania dosłownie każdej informacji, jaka może znaleźć się w e-mailu. Począwszy od wyszukiwania słów w treści wiadomości, poprzez identyfikację przesyłanych plików (nie po rozszerzeniu, a po sygnaturze), przeglądanie ich zawartości (np. dokumentów MS Office), rozpoznawanie numerów kart kredytowych, skończywszy na innych zdefiniowanych wcześniej wzorcach.

Występują także hybrydy, tj. połączenie systemu sieciowego z agentem instalowanym na monitorowanym systemie (m.in. Imperva) lub na stacjach roboczych (np. McAfee DLP). Podejście hybrydowe jest krokiem we właściwym kierunku. Monitorowanie tylko ruchu sieciowego nie wystarczy, jeżeli mamy pracowników mobilnych. Tutaj konieczne jest monitorowanie działań na stacji roboczej, także w zależności od jej lokalizacji.

Mówiąc o rozwiązaniach inline, nie można zapominać o ich wadach. Przede wszystkim tworzą wąskie gardło pod względem wydajności, a ich awaria może spowodować odcięcie od usług. Dlatego też w ich sprzętowych wersjach wdraża się mechanizmy fail-open bądź stosuje specjalizowane zewnętrzne przełączniki (tzw. bypass switch).

Oprócz urządzeń inline, istnieje także koncepcja blokowania niechcianej zawartości bocznym torem. System podłączany jest do portu span w przełączniku i w razie wykrycia przesyłu wrażliwych danych w strumieniu komunikacyjnym wstrzykuje odpowiednie pakiety (np. TCP RST) tak, aby zerwać sesję.

Stosuje się także typowe sniffery sieciowe, które pasywnie skanują ruch, monitując administratora lub tworząc incydent w razie wykrycia treści zabronionych polityką. Ich wadą jest to, że nie potrafią zablokować ruchu. Działają jak systemy IDS, tyle że skanują ruch wychodzący. Niektóre bramy sieciowe DLP mają również pewną niedogodność - wymagają przyporządkowania określonego rodzaju ruchu do określonych portów (HTTP 80, FTP 21 itp.). To powoduje rozszczelnienie całego systemu i umożliwia stosowanie różnych technik omijania.

Techniki szpiegowania

Niezależnie od wszystkiego, analitycy rynku przepowiadają, że w ciągu najbliższych kilku lat mechanizmy analizy zawartości ruchu zostaną przeniesione wprost do produktów UTM. Objęcie monitoringiem ruchu sieciowego i stacji roboczych (czy serwerów) to nie wszystko. Ważne jest to, jak dużą inteligencję mają mechanizmy "szpiegujące" i co za nimi stoi. Samo blokowanie poszczególnych słów kluczowych to zdecydowanie za mało. Stosuje się rozmaite techniki, np.

• wyszukiwanie informacji z wykorzystaniem wyrażeń regularnych;
• porównywanie sum kontrolnych (mało skuteczne);
• skanowanie baz danych, a następnie wyszukiwanie i łączenie ze sobą określonych wzorców;
• znakowanie aplikacji;
• dodawanie w dokumentach określonych metadanych oraz ich analizę;
• analizę fragmentów dokumentów (charakterystyczne ciągi znaków);
• analizę behawioralną (np. w rozwiązaniach Varonis DatAdvantage);
• fingerprinting (zob. rys. str. 73);
• analizę statystyczną (np. filtry Bayesa);
• analizę językową.

Obok funkcjonalności równie istotnym elementem jest zarządzanie. Funkcje, jakich należy szukać, to sprawne narzędzia do budowania zasad polityki. Najlepiej, jeżeli dostępne są już gotowe do wykorzystania szablony lub reguły polityki (zgodne z poszczególnymi regulacjami, np. SOX). Dzięki temu skraca się czas uruchomienia systemu. W ramach samej polityki ważne jest też to, jakiego rodzaju działania możemy podjąć.

Dobrze, jeżeli oprócz prostego blokowania lub alertowania, istnieje możliwość wstrzymania przesyłu informacji i pozostawienia decyzji osobie odpowiedzialnej. Nie wszędzie jest to jednak możliwe, ale w przypadku poczty sprawdza się znakomicie. Ważna jest także możliwość uruchomienia procesu szyfrowania, np. kiedy w plikach kopiowanych na zewnętrzny dysk USB zostaną wykryte dane wrażliwe.

Skoro jesteśmy przy zasadach polityki. Przyglądając się konkretnym rozwiązaniom, należy wziąć też pod uwagę to, czy potrafią one współpracować z innymi produktami, np. systemem IDM (Identity Management), kontroli dostępu czy service desk. Skoro DLP pozwala na kontrolowanie treści danych, to w razie wykrycia wycieku powinno być możliwe w miarę dokładne odtworzenie tego, co się stało, a także zebranie i zmagazynowanie odpowiedniego materiału dowodowego (forensics). Tutaj bardzo ciekawe jest rozwiązanie SureView (Raytheon Oakley Systems), które nagrywa zdarzenia (np. próba modyfikacji dokumentu), a następnie pozwala je odtworzyć - jak klip filmowy.