Ochrona wrażliwych danych w przedsiębiorstwie

Wdrażanie DLP - dobre praktyki

Implementacja systemu DLP nie jest procesem typu "zainstaluj i zapomnij". Jeżeli nie poświęci się dostatecznie dużo czasu na tego typu projekt, to może on okazać się mało przydatny. Nie jest niczym niezwykłym, że jego realizacja może zająć od roku do trzech lat. Przed rozpoczęciem wdrożenia DLP warto poznać dobre praktyki, które nie tylko ułatwią cały proces, ale zapewnią również większą efektywność systemu.

Polecamy Black Hat Europe: Wirusy komputerowe zaatakują ludzi?

Wyjście poza tryb rozpoznawania wrażliwych danych. Z praktyki wiadomo, że większość użytkowników, którzy wdrożyli prewencyjne rozwiązanie DLP, nigdy właściwie nie włącza jego funkcji prewencyjnych, pozostawiając go w trybie wykrywania. Bardzo często z obawy o fałszywe trafienia. Automatyczne blokowanie nieautoryzowanego przemieszczania danych wygląda bardzo ładnie jako zasada, ale w praktyce blokowanie ruchu danych na podstawie błędnego ich sklasyfikowania może poważnie wpłynąć na funkcjonowanie organizacji. Incydentalne zablokowanie legalnego ruchu biznesowego przez dział IT może okazać się dużo bardziej kosztowne, niż przeoczenie niewielkiego wycieku danych z powodu pozostawienia DLP w trybie wykrywania.

Niezależnie od tego, czy planuje się użycie funkcji aktywnej prewencji, czy nie - zawsze należy przetestować narzędzia pod kątem fałszywych trafień i pominięć. Wybrane narzędzie DLP powinno być dość dokładne, realizując funkcje wykrywania i prewencji, nie generując przy tym nadmiaru informacji ostrzegawczych. Nadmiar ostrzeżeń daje skutek odwrotny - z upływem czasu przestaje się na nie reagować.

Polecamy Po infekcji złośliwym oprogramowaniem: przywracanie systemu?

Narzędzia DLP mogą również pozostawać w trybie wykrywania po prostu dlatego, że nie uporano się ze wszystkimi problemami podczas wdrażania. Przyczyną tego może być brak dostatecznych zasobów. Dlatego ważne jest, żeby cele projektowe jasno zdefiniować już na początku.

Tradycyjny podział narzędzi DLP

• Tylko szyfrujące. Tworzą własną kategorię, ponieważ pojawiły się dużo wcześniej, zanim zaczął funkcjonować skrót DLP. Powinny być częścią każdego planu ochrony danych, bez względu na to, czy są wdrażane jako narzędzia specyficzne dla DLP, czy też nie. Nie należy jednak zakładać, że samo szyfrowanie zapewni efektywną ochronę danych.

• Wykrywające. Powiadamiają o znalezieniu danych w miejscach nieautoryzowanych, lecz nie zapobiegają przemieszczaniu danych w takie miejsca. Działają jako system wczesnego ostrzegania, który może wspomagać administratorów w działaniach ograniczających szkody spowodowane incydentami skutkującymi naruszeniem danych.

• Prewencyjne. Pozwalają na podjęcie kolejnych działań, w tym zablokowanie przemieszczenia wrażliwych danych do nieautoryzowanej lokalizacji. Wiele rozwiązań DLP może pełnić zarówno funkcje wykrywania, jak i prewencyjne. Większość projektów DLP jest wdrażana początkowo w trybie wykrywania i audytu, w celu rozpoznania, gdzie dane przemieszczają się i dlaczego. Umożliwia to zidentyfikowanie fałszywych trafień (false positive) i pominięć (false negative), a tym samym dokładniejsze dostrojenie narzędzi wykrywania, zanim zostaną wdrożone funkcje prewencji.

• Sieciowe. Zazwyczaj instalowane w punktach styku z internetem lub na obrzeżu chronionej podsieci (np. wokół farm serwerów). Monitorują komunikację w sieci, poszukując predefiniowanych typów danych, i alarmują, gdy dane są wysłane do/lub pobierane z nieautoryzowanej lokalizacji. Sieciowe narzędzia DLP są zazwyczaj konfigurowane do monitorowania różnych strumieni ruchu, w tym: poczty elektronicznej, NetBIOS, HTTP, FTP itp.

• Hostowe. Instalowane na indywidualnych komputerach w postaci oprogramowania agenta. Poszukują zdefiniowanych typów danych, powiadamiają administratora o podejrzanych działaniach i opcjonalnie zapobiegają zapamiętywaniu lub przesyłaniu danych do nieautoryzowanych lokalizacji lub aplikacji. Najważniejszą przewagą tego typu rozwiązań nad sieciowym DLP jest możliwość wglądu w zaszyfrowane strumienie danych z chwilą, gdy są deszyfrowane do użycia w końcowych punktach hosta. Co więcej, najnowsze rozwiązania nie tylko monitorują hosta i jego własny ruch sieciowy, lecz mogą także wykorzystywać wolne cykle procesora do przeglądania reszty sieci pod kątem wycieku danych. Pozwalają również kontrolować nieautoryzowane zapisy poufnych danych na nośnikach wymiennych, a także ich drukowanie lub tworzenie zrzutów ekranowych oraz przekazywanie ich na zewnątrz w plikach graficznych.


TOP 200