4. Zarządzanie urządzeniami

Mobilność pracowników i urządzeń, którymi dysponują (laptopy, smartfony, pamięci USB), wymaga stosowania narzędzi, które pomagają działom IT w kontroli tego, co na urządzeniach mobilnych można wykonywać, a czego nie. Bez infrastruktury umożliwiającej wdrożenie założeń polityki bezpieczeństwa, system DLP byłby zbyt pracochłonny w utrzymaniu.

Podstawowe technologie DLP

Rozwiązania technologiczne, zapobiegające przeciekom danych, opierają się na dwóch podstawowych koncepcjach architektonicznych: sieciowej i działającej w punkcie końcowym (opartej na agentach). Obie mają swoje wady i zalety.

Rozwiązanie sieciowe obejmuje swoim zasięgiem wszystkie punkty końcowe w sieci, niezależnie od systemu operacyjnego czy też funkcji określonego komputera. Zaletą takiego rozwiązania jest stosunkowo łatwe wdrożenie, w porównaniu do wdrażania poszczególnych agentów na wszystkich chronionych komputerach. Jeśli jednak rozwiązanie sieciowe ma blokować podejrzany ruch w sieci, to musi być umieszczone w strumieniu danych lub współdziałać z urządzeniem sieciowym, przez które przechodzi ten strumień.

Rozwiązania oparte na agentach mają większy zasięg. Agent zainstalowany w punkcie końcowym może wykryć i zablokować transfer poufnych informacji do urządzeń podłączonych lokalnie, który nie zostałby wykryty przez rozwiązanie sieciowe. Rozwiązania instalowane w punkcie mogą również zapewnić ochronę urządzenia, gdy nie jest ono połączone do sieci w firmie (na przykład wtedy, gdy służbowy laptop jest używany w domu i podłączony do obcej sieci, do Internetu).

Sieciowe DLP

Koncepcja sieciowego DLP (Gateway DLP) zakłada instalację systemu filtrującego dane na styku z Internetem lub na brzegu chronionej podsieci. System - najczęściej dedykowane urządzenie - skanuje wychodzący ruch pod kątem nieautoryzowanych transmisji danych. Zaletą tej techniki jest stosunkowo proste wdrożenie: brak konieczności instalowania agenta na chronionych stacjach roboczych. Ponieważ analiza danych transmitowanych przez sieć w czasie rzeczywistym przy coraz większych prędkościach transmisji nie jest rzeczą łatwą, tego typu rozwiązania umożliwiają analizę danych na wskazanych serwerach. Analiza taka polega na przesłaniu dokumentów z chronionego repozytorium na urządzenie DLP, gdzie są one sprawdzane i wykonywany jest ich skrót cyfrowy (fingerprint) w trybie offline.

Popularną techniką wykonywania skrótu danych, wykorzystywaną w tego typu rozwiązaniach jest Sliding Window. Pozwala ona na tworzenie dokładnych sygnatur dokumentów. Urządzenie skanujące przechowuje sygnatury dokumentów i wykorzystuje je do analizy ruchu sieciowego wychodzącego z chronionego segmentu. Problemem jest tu wielkość sygnatury, która rośnie proporcjonalnie do wielkości dokumentu.