Wyciek kontrolowany...

Nowe technologie i systemy zapobiegania wyciekom danych obiecują większe bezpieczeństwo informacji, ale są to często produkty jeszcze niesprawdzone, oferowane przez mało znane firmy.

Nowe technologie i systemy zapobiegania wyciekom danych obiecują większe bezpieczeństwo informacji, ale są to często produkty jeszcze niesprawdzone, oferowane przez mało znane firmy.

Głośne przypadki masowej kradzieży informacji z korporacyjnych baz danych, takie jak w firmie TJX, zwiększają zainteresowanie technologiami służącymi do zabezpieczania przed niekontrolowanym wyciekiem informacji. Cieszą się producenci systemów DLP (Data Leakage Prevention), a liczba firm oferujących tego typu narzędzia systematycznie rośnie. Tylko w 2007 r. pojawiły się trzy nowe oferty systemów DLP zaprezentowane przez nieznane dotąd firmy: Provilla, Varonis i Code Green Networks. Choć różnego typu mechanizmy filtrowania i analizy treści są znane i stosowane od dawna, ich funkcjonalność i skuteczność była z reguły ograniczona. Dopiero nowe technologie, np. analizy behawioralnej, dają nadzieję na efektywną ochronę ważnych informacji bez ograniczenia możliwości komunikacyjnych w firmie.

Problem wycieku danych dotyczy nie tylko możliwości udanego ataku hakera na system, ale również nieuprawnionego, często nieumyślnego, przekazania na zewnątrz ważnych informacji przez pracowników firmy. Stąd też na rynku pojawiło się wiele narzędzi, które mają za zadanie kontrolowanie wszystkich przesyłanych w sieci informacji i automatyczne blokowanie transmisji tych, które naruszają przyjęte w firmie zasady ochrony danych.

Niebezpieczna zależność od portów

Systemy DLP służą do zabezpieczania informacji znajdujących się w wewnętrznym, firmowym systemie informatycznym, umożliwiając analizę przesyłanych w sieci danych i wymuszanie zgodności z wykorzystywaną w firmie polityką bezpieczeństwa. Mechanizmy wymuszania tej zgodności mogą być jednak bardzo różne, np. generowanie ostrzeżeń, blokowanie przesyłu, kwarantanna lub automatyczne szyfrowanie treści.

Początkowo narzędzia DLP koncentrowały się na kontroli poczty e-mail, ale ostatnio ich funkcjonalność jest systematycznie rozszerzana o możliwości analizy protokołów HTTP, FTP, usług IM oraz mechanizmy szyfrowania SSL i SSH. Tego typu analizy wymagają dużej mocy obliczeniowej. Aby zmniejszyć te wymagania, producenci systemów DLP często wykorzystywali mechanizmy sztywnego określania portów ułatwiające analizowanie i dekodowanie odpowiednich protokołów. Przykładowo poczta elektroniczna standardowo wykorzystuje tylko port 25 i dlatego klasyczne systemy DLP każdą transmisję przez ten port uważały za e-mail. Inne protokoły wykorzystujące sztywno przypisane porty to FTP (port 21), HTTP (80) lub IM (zależnie od wersji różne, ale dobrze znane porty).

Tego typu założenia prowadzące do kontrolowania tylko niektórych ściśle określonych portów (lub adresów IP przypisanych do serwerów pocztowych) prowadzą do zwiększenia liczby luk bezpieczeństwa, które mogą zostać wykorzystane przez hakerów i zmniejszają efektywność działania systemów DLP. Dobrym przykładem może być korzystanie przez pracowników firmy z zewnętrznych serwerów poczty elektronicznej (prywatnych kont e-mail), co powoduje, że wysyłane listy omijają firmowe serwery pocztowe i w efekcie nie są kontrolowane. Dodatkowym problemem jest to, że wielu dostawców usług pocztowych blokuje port 25, aby ograniczyć spam, co zmusza użytkowników do takiej konfiguracji oprogramowania obsługującego e-mail, aby korzystało z innego portu. W rezultacie system DLP monitorujący ściśle zdefiniowane porty nie widzi i nie kontroluje takiej transmisji.

Innym problemem jest uniwersalny port 80, wykorzystywany przez protokół HTTP. Może on zostać łatwo wykorzystany np. przez IRC (Internet Relay Chat) do ominięcia zapory firewall i korporacyjnych ograniczeń blokujących chat. Standardowe mechanizmy w zaporach firewall z reguły mają bardzo małe możliwości kontroli aplikacji i protokołów wykorzystujących port 80. Założenie, że cały ruch przepływający przez ten port to HTTP, powoduje, że inne protokoły mogą łatwo ominąć ograniczenia nakładane przez klasyczne systemy do kontroli przesyłanych treści.

Tego typu problemy może rozwiązać system DLP, który wykorzystuje metodę analizy protokołów niezależną od wykorzystywanych przez nie portów. Może to być np. analiza wykorzystująca metodę Bayesa, która tworzy zestaw cech charakterystycznych dla poczty elektronicznej, porównuje je z treściami transmitowanymi przez dowolny port i po zakwalifikowaniu ich jako e-mail przekazuje do odpowiedniego modułu analizującego. Tego typu metody analizy i kontroli przesyłanych treści są jeszcze bardziej ważne w wypadku innych protokołów, np. P2P, które często wykorzystują różne, przypadkowo wybierane i zmieniane porty, aby uniknąć detekcji przez standardowe mechanizmy kontrolne.

Oprócz tego nowe protokoły mogą stosować mechanizmy tworzenia tuneli ukrywających ich transmisję pod standardowymi protokołami, wykorzystującymi porty uznane za bezpieczne. "Wybierając i oceniając system DLP warto zwrócić uwagę, czy oferowane rozwiązanie nie wymaga, by użytkownik wiedział dokładnie którędy informacje mogą wyciekać z sieci, jakie kanały komunikacyjne są wykorzystywane i jaki jest format danych. Jeśli tak jest, to system DLP będzie dobrą ochroną dla «drzwi frontowych», ale informacje będą wyciekać «bocznymi kanałami»" - radzą specjaliści ds. bezpieczeństwa z firmy Reconnex.

Kontrola i edukacja

Interesującym przykładem oprogramowania DLP może być pakiet firmy Orchestria, który został wyposażony nie tylko w mechanizmy kontroli, ale również automatycznej edukacji użytkowników w zakresie obowiązującej w firmie polityki bezpieczeństwa. Początkowo Orchestria koncentrowała się na opracowywaniu względnie prostych narzędzi umożliwiających automatyzację niektórych procesów pod kątem ich zgodności z amerykańskimi przepisami prawnymi, takimi jak oprogramowanie dla firm finansowych, które automatycznie kontrolowało i dodawało odpowiednie zastrzeżenia prawnicze do wszystkich wysyłanych z firmy listów e-mail.

Obecnie Orchestria oferuje znacznie bardziej zaawansowane narzędzia, które umożliwiają kontrolowanie listów e-mail, wiadomości Instant Messaging i blogów jeszcze przed ich wysłaniem lub publikacją. Oprogramowanie analizuje wielkość plików i obecność w nich określonych słów przy uwzględnieniu kontekstu, tzn. tego, kto wysyła/publikuje wiadomość i dla kogo jest ona przeznaczona/adresowana. Na tej podstawie obliczany jest poziom ryzyka, który może spowodować uruchomienie mechanizmów blokady. Zależnie od konfiguracji, narzędzia mogą uruchamiać automatyczną blokadę, generować ostrzeżenia informujące o przyczynach niezgodności działania użytkownika z polityką bezpieczeństwa firmy lub tylko monitorować i archiwizować informacje o rodzaju aktywności pracowników.

Oprogramowanie wykorzystuje centralny serwer odpowiedzialny za zarządzanie systemem, przechowywanie wszelkich informacji o naruszaniu zasad polityki bezpieczeństwa oraz ich dystrybucję do programów agenckich zainstalowanych w serwerach komunikacyjnych i komputerach użytkowników końcowych. Zaletą tego rozwiązania jest możliwość kontroli wszystkich naruszeń bezpieczeństwa, np. przygotowania naruszającego je listu e-mail, który nie został później wysłany i dlatego nie jest dostępny w archiwach systemu pocztowego. Natomiast mechanizm generacji ostrzeżeń o naruszeniach polityki bezpieczeństwa umożliwia edukację użytkowników, którzy często nieświadomie ją naruszają.


TOP 200