Jak zapobiec przypadkowym i celowym wyciekom danych
- 16.05.2011, godz. 17:14
Rozwiązania DLP wdrażane w korporacjach są nakierowane przeważnie na wykrywanie i blokowanie informacji. Gdy przedsiębiorstwo ma strukturę wielooddziałową, wykorzystując VPN, warto zastosować centralizowaną ochronę przed wyciekiem informacji.
Rozwiązania typu Data Loss Prevention (DLP) są przewidziane do ochrony przed utratą informacji, wychwytując próby wysłania informacji lub nieautoryzowanego jej przetwarzania przez pracowników. Producenci posiadają tutaj różne podejścia: od automatycznej klasyfikacji informacji i podążania za treścią, rejestrując przy tym wszystkie dokumenty i podążając za treścią, przez kryptograficzne odciski do wykrywania fragmentów na pewnym poziomie prawdopodobieństwa oraz detekcja wystąpienia żądanego wzorca.
Scentralizowane DLP
Jeden ze wzorców powinien być opracowany na podstawie firmowego szablonu do informacji poufnych.
Zobacz również:
- Ta ustawa przybliża moment, w którym TikTok zostanie zablokowany w USA
- IBM Security QRadar SIEM pomoże zarządzić globalną strukturą odpowiedzialną za bezpieczeństwo
Rozwiązanie chroniące przed wyciekiem danych może dobrze wpasować się w rozwiązania ochrony firmy, jeśli będzie wprowadzone w punkcie styku z Internetem. Istotnym zadaniem takiego sieciowego DLP jest optymalizacja kontroli, by inspekcja DLP obejmowała tylko te połączenia, w których może rzeczywiście być transmitowana poszukiwana informacja. Zatem nie ma potrzeby dokonywać inspekcji ruchu maszyna-maszyna, natomiast trzeba analizować ruch wychodzący HTTP. W przypadku większości urządzeń sieciowego DLP, z powodzeniem można zrealizować schemat takiej inspekcji, w której ruch jest kategoryzowany na podstawie protokołu, a nie portu. Ochrona DLP dotyczy wtedy tych segmentów i aplikacji, które mogą zawierać dane umieszczone przez użytkownika, zatem niezbędny narzut mocy obliczeniowej jest znacząco niższy, niż przy inspekcji całego ruchu.
Własne typy danych
Polskie firmy rzadko posiadają numery kart płatniczych, nacisk powinien być położony głównie na dane osobowe i medyczne.
Jeśli firma posiada własny szablon do dokumentów poufnych, należy na jego podstawie opracować wzorzec i stosować go do wszystkich kanałów komunikacji. Z kolei zwykłe dokumenty firmowe również powinny być monitorowane, gdy są przesyłane w niestandardowy sposób, na przykład przez formularz uploadu do strony WWW. Opracowanie firmowego szablonu i wprowadzenie go do standardowych szablonów edytora tekstu bardzo jest tutaj pomocne. Dzięki rozróżnianiu poszczególnych aplikacji oraz kategoryzacji ruchu, można wyeliminować wiele fałszywych alarmów, upraszczając przy tym proces wdrożenia i redukując obciążenie motoru DLP.
Ciekawe rozwiązanie zaprezentował niedawno Check Point, oferując moduł DLP dostępny jako cześć rozwiązania Software Blades. Jest to rozwiązanie sieciowego DLP, które oferuje inspekcję ponad 250 predefiniowanych typów zawartości, wykorzystując przy tym dopasowywanie do wzorców i słowników oraz wieloparametrową klasyfikacje i korelację danych. Polityka może obejmować także atrybuty plików oraz inne szczegóły, przy czym dostępna jest inspekcja treści, która uwzględnia strukturę dokumentu. Za pomocą języka skryptowego można dodatkowo określić wymagany typ dokumentu oraz akcje z nim związane. Oprócz inspekcji dokumentów wysyłanych w ruchu SMTP czy HTTP oraz pobieranych przez POP3, takie rozwiązanie umożliwia kontrolę informacji wysyłanych w formularzach webowych, dopuszczając przy tym niektóre zachowania wobec aplikacji zewnętrznych, a blokując potencjalnie niebezpieczną treść. Aby umożliwić użytkownikom "uwolnienie" przechwyconego przez to rozwiązanie ruchu, można zainstalować na stacji roboczej niewielkiego agenta, albo skorzystać z powiadomienia i uwolnienia za pomocą wiadomości e-mail, w sposób podobny do niektórych rozwiązań antyspamowych.