Strona główna/Bezpieczeństwo, Infrastruktura sieciowa/Ochrona przed wyciekami informacji – Systemy DLP

Ochrona przed wyciekami informacji – Systemy DLP

DLP czyli zapobieganie utracie danych

W dobie powszechnego użycia infrastruktury IT pojawiło się nowe określenie angielskie Data Loss Prevention, w skrócie DLP. Określenie to używane jest w stosunku do technologii, których celem jest zapobieganie wyciekom danych firmowych. Obecnie najcenniejsze zasoby przedsiębiorstw przechowywane są w bazach danych, plikach czy zasobach email. Dane o klientach, płatnościach, warunkach kredytu, szczegóły finansowe i inne cenne informacje – niezbędne do funkcjonowania firmy – znajdują się w zasobach elektronicznych. Ma to swoje niewątpliwe zalety: informacje te mogą stać się bardziej rozpowszechnione i ogólnie dostępne dla pracowników firmy. Jednak ogólna dostępność tych informacji niesie za sobą poważne ryzyko i zagrożenia, którym należy sprostać. Technologie DLP (Data Loss Prevention) nie ograniczają się tylko do udaremnienia kradzieży danych ale również mają na celu zapobiegać ryzyku związanemu z utratą ważnych informacji.

Gdzie system DLP jest przydatny?

Systemy DLP wdraża się głównie w organizacjach przetwarzających informacje niejawne, których ujawnienie może narazić organizację na odpowiedzialność karną lub cywilną oraz w organizacjach, gdzie informacje przetwarzane w systemach informatycznych stanowią wymierną wartość biznesową, finansową i podlegają prawnym lub branżowym wymogom ochrony danych osobowych i finansowych.

Techniki systemów DLP do kontroli przepływu informacji niejawnych

Klasyfikacja i przypisanie wag plikom w lokalnym systemie na podstawie zawartości danych wrażliwych, a następnie kontrolowanie przesyłania tych plików przez sieć lub zapisywania ich na nośniki zewnętrzne.

Wykrywanie danych wrażliwych w ruchu sieciowym w sposób podobny jak w systemach wykrywania włamań lub w plikach zapisywanych na nośniki zewnętrzne w sposób podobny do programów antywirusowych.

Blokowanie zapisu na nośniki zewnętrzne w ogóle.

Transparentne szyfrowanie i deszyfrowanie wrażliwych dokumentów tak, by nigdy nie opuszczały one organizacji w formie niezaszyfrowanej, zaś wewnątrz niej były czytelne tylko dla osób uprawnionych (systemy zarządzania prawami do informacji – IRM).

Jakie DLP sieciowe czy hostowe?

Rozwiązania technologiczne, zapobiegające przeciekom danych, opierają się na dwóch podstawowych koncepcjach architektonicznych: sieciowej i działającej w punkcie końcowym (opartej na agentach). Obie mają swoje zalety i wady. Rozwiązanie sieciowe obejmuje swoim zasięgiem wszystkie punkty końcowe w sieci, niezależnie od systemu operacyjnego czy też funkcji określonego komputera. Zaletą takiego rozwiązania jest stosunkowo łatwe wdrożenie, w porównaniu do wdrażania poszczególnych agentów na wszystkich chronionych komputerach. Jeśli jednak rozwiązanie sieciowe ma blokować podejrzany ruch w sieci, to musi być umieszczone w strumieniu danych lub współdziałać z urządzeniem sieciowym, przez które przechodzi ten strumień. Rozwiązania oparte na agentach mają większy zasięg. Agent zainstalowany w punkcie końcowym może wykryć i zablokować transfer poufnych informacji do urządzeń podłączonych lokalnie, który nie zostałby wykryty przez rozwiązanie sieciowe. Rozwiązania instalowane w punkcie mogą również zapewnić ochronę urządzenia, gdy nie jest ono połączone do sieci w firmie (na przykład wtedy, gdy służbowy laptop jest używany w domu i podłączony do obcej sieci, do Internetu).

Sieciowe DLP

Koncepcja sieciowego DLP (Gateway DLP) zakłada instalację systemu filtrującego dane na styku z Internetem lub na brzegu chronionej podsieci. System – najczęściej dedykowane urządzenie – skanuje wychodzący ruch pod kątem nieautoryzowanych transmisji danych. Zaletą tej techniki jest stosunkowo proste wdrożenie: brak konieczności instalowania agenta na chronionych stacjach roboczych. Analiza danych transmitowanych przez sieć w czasie rzeczywistym przy coraz większych prędkościach transmisji nie jest rzeczą łatwą, dlatego tego typu rozwiązania umożliwiają analizę danych na wskazanych serwerach. Analiza taka polega na przesłaniu dokumentów z chronionego repozytorium na urządzenie DLP, gdzie są one sprawdzane i wykonywany jest ich skrót cyfrowy (fingerprint) w trybie offline. Popularną techniką wykonywania skrótu danych, wykorzystywaną w tego typu rozwiązaniach jest Sliding Window. Pozwala ona na tworzenie dokładnych sygnatur dokumentów. Urządzenie skanujące przechowuje sygnatury dokumentów i wykorzystuje je do analizy ruchu sieciowego wychodzącego z chronionego segmentu. Problemem jest tu wielkość sygnatury, która rośnie proporcjonalnie do wielkości dokumentu. Standardowe sieciowe DLP nie radzą sobie z analizą danych przesyłanych za pomocą szyfrowanych protokołów, takich jak HTTPS czy też z prywatnych kont pocztowych pracowników lub komunikatorów internetowych. Nie poradzą sobie również z transferem danych z komputerów pracowników na pamięci wymienne czy zrzutami ekranowymi, wysyłanymi zamiast dokumentów.

Hostowy DLP

Do ochrony przed wyciekiem danych przez prywatne konta poczty elektronicznej pracowników, porty USB, korporacyjną pocztę czy aplikacje w rodzaju Google Docs wewnątrz połączenia SSL, konieczne jest rozwiązanie działające na komputerach użytkowników – DLP hostowe (Endpoint/Agent Based DLP). W odróżnieniu od rozwiązań sieciowych, opiera się ono na agentach działających na stacjach roboczych i serwerach. Ich zadaniem jest monitorowanie wszystkiego, co dzieje się z chronionymi informacjami, niezależnie od tego, gdzie operacje na danych mają miejsce. Hostowe DLP, tak jak rozwiązania sieciowe, korzystają z technik analizy skrótów danych, mogą więc określać, czy sprawdzany tekst powinien być chroniony, czy też nie. Sygnatury danych są przechowywane na stacjach roboczych, gdzie następuje weryfikacja zdarzeń, pod kątem ich zgodności z przyjętymi regułami polityki. Wykorzystywane są także filtry słów kluczowych oraz metadanych. Dla słów kluczowych można ustawić filtry tak, żeby z każdym wyrazem z ustalonej listy, pojawiającym się w sprawdzanym dokumencie, zwiększała się punktacja ryzyka. Natomiast wykorzystując metadane, można blokować pliki o danych właściwościach, co nie musi mieć wyraźnego związku z ich treścią. Za pomocą hostowego DLP można kontrolować nieautoryzowane zapisy poufnych danych na nośniki CD/DVD czy USB, a także ich drukowanie. Można też uniemożliwić tworzenie zrzutów ekranowych i przekazywanie ich na zewnątrz w postaci plików graficznych. Przy tym należy podkreślić, że bardzo wielką rolę gra nie tylko samo blokowanie akcji, ale edukacja użytkowników. Czasami bardzo skuteczne jest samo poinformowanie użytkownika o tym, że dana akcja może być naruszeniem polityki bezpieczeństwa obowiązującej w organizacji i może nieść za sobą poważne konsekwencje. Produkty  DLP tego typu wykorzystują mechanizmy aktywnego ukrywania istnienia agenta, przy czym ukrywany jest nie tylko proces, ale czasami także pliki na dysku. Dzięki odpowiednio ustawionym uprawnieniom, nie jest możliwe wyłączenie agenta.

Podsumowując: sieciowe i hostowe DLP uzupełniają sie wzajemnie i razem dają najlepsze efekty. Istnieją producenci, którzy oferują kompleksowe rozwiązanie DLP zarówno sieciowe, jak i hostowe, które pełnią funkcję zintegrowanego spójnego systemu ochrony przed wyciekiem danych.

Forcepoint AP-DATA

Tego typu systemy oferują największe możliwości oraz integrują w sobie zalety systemów sieciowych, jak i hostowych. Firmą oferującą tego typu rozwiązania jest firma Forcepoint, która oprócz pełnego i kompleksowego systemu DLP oferuje także najlepsze w swojej klasie systemy ochrony ruchu WWW, w tym ochronę Web 2.0. Integracja obydwu systemów – ochrony Web oraz Systemu DLP daje dodatkowe możliwości, których nie oferuje obecnie żaden inny producent rozwiązań bezpieczeństwa na rynku.

Forcepoint AP-DATA jest również rozwiązaniem, które oferuje mocne ramy budowania i wymuszania polityk dla użytkowników, danych, punktu docelowego transferu informacji i formy komunikacji. Dzięki temu możliwe jest jasne i precyzyjne określenie tego: kto może przesłać jakie dane, gdzie i za pomocą jakiego kanału komunikacyjnego:

Korzyści płynące z wdrożenia technologii DLP

Technologia DLP pozwoli organizacji sprostać nowym wymaganiom i ryzyku związanemu z nowymi technologiami IT oraz ze sposobem pracy użytkowników. DLP pozwala na monitorowanie przysyłania kluczowych informacji takich jak:

  • Dane osobowe pracowników
  • Dane osobowe klientów
  • Dane dot. transakcji organizacji
  • Wewnętrznych i poufnych dokumentów dotyczących planowanych produktów, kampami reklamowych, nowych ofert itd.
  • Dokumentów o fuzjach, przejęciach, cennikach, planowanych strategiach

Informacje te powinny bezwzględnie podlegać ochronie zarówno ze względu na wymagania prawne, którymi są one obłożone, jak i ze względu na ich ogromną wartość. Ich ochrona jest podstawowym powodem wprowadzenia systemu DLP.

Wprowadzenie systemu ochrony przed wyciekiem informacji przynosi jednak ze sobą dodatkowe korzyści:

  1. Posiadanie wiedzy na temat tego, gdzie przechowywane są informacje kluczowe organizacji, jak są one używane i wykorzystywane, pozwala na zmniejszenie ryzyka związanego z ich utratą lub niewłaściwym zastosowaniem.
  2. Wygenerowane w systemie raporty pozwalają na zaplanowanie optymalnych procesów biznesowych związanych z użyciem informacji.
  3. System DLP pozwala na wypełnienie norm i regulacji. Wiele typów informacji podlega takim regulacjom i ich wypełnienie jest obowiązkowe. Niewypełnienie tych norm grozi poniesieniem kar i związanych z nimi kosztów.
  4. Wiele z polityk dotyczących korzystania z informacji jest trudnych do realizacji lub niemożliwych do przeprowadzenia. System DLP umożliwia definiowanie tych polityk na poziomie dopuszczalnego sposobu korzystania z informacji.

System DLP to poważne narzędzie w arsenale bezpieczeństwa IT, ale żeby skuteczność tego rozwiązania była jeszcze większa powinien on integrować się z innymi systemami bezpieczeństwa takimi jak np. system ochrony ruchu WWW.

Czytaj również: Brama internetowa w dobie Web2.0 – Rozwiązanie Forcepoint AP-WEB

Dowiedz się więcej o ofercie FORCEPOINT

Subskrybuj
Powiadom o
0 komentarzy
Inline Feedbacks
View all comments
ZAPISZ SIĘ NA NEWSLETTER
Bądź na bieżąco z aktualnościami, ciekawostkami i poradami ze świata bezpieczeństwa IT.
Zapisz
Administratorem podanych przez Ciebie w formularzu kontaktowym danych osobowych będzie Greeneris Sp. z o.o. ul. Nad Rzeczką 21B, 03-257 Warszawa, KRS: 0000435724, NIP: 524-275-35-56. Dane będą przetwarzane na podstawie art. 6 ust. 1 lit. b RODO w celu odpowiedzi na zapytanie przesłane przez formularz zamieszczony na stronie. Dane będą przechowywane w bazie administratora. Będziesz mieć prawo do żądania od administratora dostępu do swoich danych osobowych oraz do ich sprostowania, usunięcia lub ograniczenia przetwarzania lub prawo do wniesienia sprzeciwu wobec przetwarzania, a także prawo do przenoszenia danych – na zasadach określonych w art. 16 – 21 RODO. Jeżeli uznasz, że Twoje dane są przetwarzane niezgodnie z przepisami prawa, będziesz mógł wnieść skargę do organu nadzorczego. Podanie danych jest dobrowolne, ale niezbędne do otrzymania odpowiedzi.
close-link