Systemy DLP, czyli mniej pomyłkowych wycieków

Rozwiązania DLP wdrażane w korporacjach są nakierowane na wykrywanie i blokowanie informacji. W firmie o strukturze wielooddziałowej, wykorzystującej VPN, warto zastosować centralizowaną ochronę przed wyciekiem informacji.

Rozwiązania DLP są przewidziane do ochrony przed utratą informacji, wychwytując próby wysłania informacji lub nieautoryzowanego jej przetwarzania przez pracowników. Producenci mają różne podejścia: od automatycznej klasyfikacji informacji i podążania za treścią, rejestrując przy tym wszystkie dokumenty i podążając za treścią, przez kryptograficzne odciski do wykrywania fragmentów na pewnym poziomie prawdopodobieństwa oraz detekcja wystąpienia żądanego wzorca. Zazwyczaj w przypadku wykrycia naruszenia założeń polityki rozwiązanie DLP blokuje transmisję, całkowicie uniemożliwiając przesłanie pliku. Istnieje jeszcze drugie podejście, które zakłada mniej restrykcyjne ograniczanie interfejsu użytkownika, ale powiadamianie go o możliwym naruszeniu polityki bezpieczeństwa w organizacji. Podejście to daje szansę prowadzenia polityki edukacyjnej, gdyż świadomy zagrożenia pracownik, który będzie także wiedział, że w przedsiębiorstwie wykorzystuje się rozwiązanie ochrony informacji, będzie bardziej odpowiedzialny.

Centralizowane DLP

Rozwiązanie chroniące przed wyciekiem danych może dobrze wpasować się w rozwiązania ochrony firmy, jeśli będzie wprowadzone w punkcie styku z Internetem. Istotnym zadaniem takiego sieciowego DLP jest optymalizacja kontroli, by inspekcja DLP obejmowała tylko te połączenia, w których może rzeczywiście być transmitowana poszukiwana informacja. Zatem nie ma potrzeby dokonywać inspekcji ruchu maszyna-maszyna, natomiast trzeba analizować ruch wychodzący HTTP. W przypadku większości urządzeń sieciowego DLP z powodzeniem można zrealizować schemat takiej inspekcji, w której ruch jest kategoryzowany na podstawie protokołu, a nie portu. Ochrona DLP dotyczy wtedy tych segmentów i aplikacji, które mogą zawierać dane umieszczone przez użytkownika, zatem niezbędny narzut mocy obliczeniowej jest znacząco niższy niż przy inspekcji całego ruchu.

Własne typy danych

W każdym przypadku warto mieć rozwiązanie, które umożliwi inspekcję według własnych wzorców. Oczywiście standardowe wykrywanie numerów kart płatniczych jest przydatne, ale nie wszystkie przedsiębiorstwa posiadają takie informacje. W przypadku polskich firm jest to szczególnie rzadkie, gdyż autoryzacje transakcji odbywają się przez przekierowanie do stron uznanych partnerów biznesowych, zatem nie ma powodu, dla którego takie dane mogą znajdować się w typowych polskich organizacjach. Zupełnie inaczej rzecz się ma w przypadku danych osobowych czy medycznych. Zatem ważnym etapem wdrożenia systemu, który ma chronić infrastrukturę firmy, jest opracowanie wzorców identyfikujących poufne dokumenty i jednocześnie minimalizujących liczbę fałszywych alarmów. Przy okazji identyfikacji danych osobowych można wykorzystać wzorzec numeru PESEL, przy czym dobry algorytm analizy uwzględnia sumę kontrolną. To samo dotyczy rachunków bankowych w formacie IBAN i NRB - można je połączyć z informacją o pracowniku, który te informacje wysłał. Dzięki temu udaje się odróżnić wiadomości wysyłane przez dział marketingu, które zawierają takie informacje, od wiadomości wysyłanych przez dział, który ich raczej wysyłać nie powinien. Jednocześnie motor DLP powinien mieć wzorzec numeru firmowego rachunku bankowego i wystąpienia takiego wzorca powinny być traktowane inaczej niż wysyłane z wewnątrz firmy nieznane numery kont bankowych.

Jeśli firma ma własny szablon do dokumentów poufnych, należy na jego podstawie opracować wzorzec i stosować go do wszystkich kanałów komunikacji. Z kolei zwykłe dokumenty firmowe również powinny być monitorowane, gdy są przesyłane w niestandardowy sposób, na przykład przez formularz uploadu do strony WWW. Opracowanie firmowego szablonu i wprowadzenie go do standardowych szablonów edytora tekstu bardzo jest tutaj pomocne. Dzięki rozróżnianiu poszczególnych aplikacji oraz kategoryzacji ruchu można wyeliminować wiele fałszywych alarmów, upraszczając przy tym proces wdrożenia i redukując obciążenie motoru DLP.

Sieciowe DLP

Ciekawe rozwiązanie zaprezentowała niedawno firma Check Point, oferując moduł DLP dostępny jako część swojego rozwiązania Software Blades. Jest to rozwiązanie sieciowego DLP, które oferuje inspekcję ponad 250 predefiniowanych typów zawartości, wykorzystując przy tym dopasowywanie do wzorców i słowników oraz wieloparametrową klasyfikację i korelację danych. Polityka może obejmować także atrybuty plików i inne szczegóły, przy czym dostępna jest inspekcja treści, która uwzględnia strukturę dokumentu. Za pomocą języka skryptowego można dodatkowo określić wymagany typ dokumentu, a także akcje z nim związane. Oprócz inspekcji dokumentów wysyłanych w ruchu SMTP czy HTTP oraz pobieranych przez POP3 takie rozwiązanie umożliwia kontrolę informacji wysyłanych w formularzach webowych, dopuszczając przy tym niektóre zachowania wobec aplikacji zewnętrznych, a blokując potencjalnie niebezpieczną treść.

Aby umożliwić użytkownikom "uwolnienie" przechwyconego przez to rozwiązanie ruchu, można zainstalować na stacji roboczej niewielkiego agenta albo skorzystać z powiadomienia i uwolnienia za pomocą e-maili w sposób podobny do niektórych rozwiązań antyspamowych.