Data Leakage Prevention - chwyt marketingowy czy konieczność?

Wyciek danych to obecnie jeden z najbardziej nośnych problemów. Informacje wyciekają zewsząd - z banków, urzędów państwowych, sieci handlowych, sklepów internetowych. Nie ma co ukrywać, że głównymi sprawcami wycieków są pracownicy. Wszystkich z firmy wyrzucić się nie da, a więc trzeba coś z tym zrobić.

Wyciek danych to obecnie jeden z najbardziej nośnych problemów. Informacje wyciekają zewsząd - z banków, urzędów państwowych, sieci handlowych, sklepów internetowych. Nie ma co ukrywać, że głównymi sprawcami wycieków są pracownicy. Wszystkich z firmy wyrzucić się nie da, a więc trzeba coś z tym zrobić.

Dane mogą wyciekać różnymi kanałami transmisji danych

Dane mogą wyciekać różnymi kanałami transmisji danych

To oni przechowują na swoich laptopach oferty, kalkulacje, schematy techniczne - wszystko to w postaci niezabezpieczonej - a potem kopiują je na nośniki zewnętrzne lub np. przesyłają pocztą. Często pozostawiają komputery bez opieki lub "pod opieką" swoich dzieci.

Zagrożenie, a jednocześnie okazję do ubicia interesu, dostrzegli oprócz analityków bezpieczeństwa, także producenci. Rezultatem jest powstawanie różnorakich produktów, oferujących (przynajmniej w teorii) ochronę przed wyciekiem danych.

Rynek tego typu rozwiązań jest na tyle młody - ok. 2 lat, że nie ma na razie jednolitej terminologii. Do opisania w sumie tej samej technologii używa się różnych określeń - OCC (Outbound Content Compliance) - wg regulacji SOX, EP (Extrusion Prevention), ILP (Information Leakage Prevention) czy wreszcie DLP (Data Leakage Prevention).

Nie zewnętrzny, a wewnętrzny

Tradycyjnie bezpieczeństwo skupia się na blokowaniu dostępu z zewnątrz. W DLP jest odwrotnie, kontrolowane są treści opuszczające firmę. Na pierwszy rzut oka zadanie nie wydaje się bardzo skomplikowane. Problemów jednak z budowaniem tego typu technologii jest wiele - chociażby rozszywanie ruchu SSL czy zasady postępowania z zaszyfrowanymi załącznikami poczty elektronicznej.

Fingerprinting dokumentu. (źródło: TrendMicro)

Fingerprinting dokumentu. (źródło: TrendMicro)

Problemem może być także wydajność. O ile w odniesieniu do poczty elektronicznej sprawa jest prostsza - dwusekundowe opóźnienia w dostarczeniu wiadomości nie mają większego znaczenia, o tyle w przypadku filtrowania usług czasu rzeczywistego sprawy się komplikują. Producenci skrzętnie wykorzystują nośność marketingową słów "wyciek danych", ale to, co stoi za konkretnymi produktami, różni się diametralnie w zależności od dostawcy.

DLP można podzielić według trzech kryteriów

  1. 1. Zależności:
    • Rozwiązania typu standalone, np. Imperva
    • Rozwiązania zintegrowane z innymi systemami, m.in. technologia Vontu w Symantec Mail Security
  2. 2. Miejsca wymuszania polityki:
    • Na stacji końcowej w formie agenta, np. Big Fix DLP
    • W sieci w postaci sniffera, bramy lub serwera proxy
    • Na stacji końcowej oraz w sieci, np. McAfee DLP
  3. 3. Kompletności:
    • Obejmujące ochroną wiele obszarów
    • Rozwiązania specjalizowane, m.in. Pointsec Protector

Dwa problemy do rozwiązania

Można śmiało postawić tezę, że podstawowe problemy w zapobieganiu wyciekowi informacji są dwa.

Po pierwsze - precyzyjne określenie tego, co dokładnie stanowi chronioną informację. Pod drugie - oszacowanie, ile jest kanałów, przez które wypływ może nastąpić. Przy czym to pierwsze zadanie jest znacznie poważniejsze, niż na pierwszy rzut oka mogłoby się wydawać. Sporządzenie kompletnej mapy chronionych informacji jest procesem żmudnym, który może zająć miesiące. To potrafi zablokować każdy projekt.

DLP w działaniu

DLP w działaniu

Z kolei ze względu na drugi problem wydaje się, że optymalnym rozwiązaniem jest stosowanie wielopłaszczyznowego podejścia, gdzie filtrowane będą zarówno dane w spoczynku, np. znajdujące się na stacjach roboczych, jak i dane w ruchu - komunikacja sieciowa, m.in. filtrowanie ruchu HTTP, HTTPS, FTP, POP3 czy SMTP. Monitorowanie stacji klienckiej wymaga niestety instalacji kolejnego agenta. Dlatego też dostawcy dwoją się i troją, żeby do istniejących już produktów w drodze upgrade'u dodawać funkcje DLP. Kontrola na poziomie stacji pozwala na monitorowanie i blokowanie takich zachowań, jak modyfikowanie dokumentów, drukowanie, wklejanie danych do schowka, wykonywanie zrzutów ekranu czy kopiowanie plików na nośniki zewnętrzne (pamięci flash bądź płyty CD/DVD).

Z kolei na poziomie ruchu sieciowego stosuje się bramy, lub sniffery. W przypadku ruchu webowego korzysta się najczęściej z serwerów proxy. Skanowanie ruchu odbywa się najczęściej przy wykorzystaniu dobrodziejstw protokołu ICAP (Internet Content Adaptation Protocol).