DLP: Zamezte úniku citlivých firemních dat

Peter Mikeska | 07.05.2012 | Bezpečnost | Žádné komentáře

Žijeme v době, v níž se bezpečnost IT skloňuje v každém pádě. Firmy všech velikostí se snaží ochránit svojí infrastrukturu od vnějších útoků.

Řada ICT nebo bezpečnostních manažerů si řekne: Máme firewall, antivir na každém stroji, máme IDS-IPS, máme zálohy a také je testujeme, máme šifrované disky v noteboocích, máme nasazené striktní politiky na zaměstnance. Nasadili jsme proxy s antivirem, máme kontrolu nad e-mailem, máme antispam, antimalware, anti-cokoli, co nás ochrání před útoky – jsme prostě v bezpečí.

Nezodpovězená otázka zní: Jak je možné, že se dostaly na veřejnost údaje (výplatní pásky managementu, zdravotní záznamy pacientů, interní cenové nabídky, plány výrobků), které tak úzkostlivě hlídáme?

Trocha statistiky na začátek

Až 73 % úniků dat se děje zevnitř firmy. Až 77 % firem, kterým unikla data, nedokáže ani zjistit, jak se to událo, natož zabránit opakování. Jsou to alarmující čísla. A pokud si myslíte, že vám se to nemůže stát, jste na velkém omylu. Pokud odpovíte kladně na některou z následujících otázek, patříte k těm 27 % firem, které to myslí s bezpečností svých údajů vážně:
- Víte určitě, že si IT administrátoři nekopírují soubory ze sdíleného disku finančního oddělení?
- Víte, že si vaši obchodníci neposílají rozpracované nabídky přes webmail domů, aby na nich pracovali?
- Víte, že určitě se nikdo nepřeklepne při volbě „Odpovědět všem“ v Outlooku, aniž si všiml, že posílá soubory i mimo firmu?
- Víte najisto, že plány vašeho výrobku si nevzal s sebou nespokojený zaměstnanec odcházející ke konkurenci?

Na rozdíl od klasického útoku je únik dat zevnitř firmy mnohem snazší. Potenciální útočník, který musí nejprve proniknout do sítě přes firewally, servery, musí zjistit strukturu, co, kde a jak se dá zneužít, musí zamést stopy po své přítomnosti, to věru nemá lehké. Ale změňme trochu situaci a takového člověka posaďme do firmy jako zaměstnance. Málokdo skenuje porty uvnitř firmy a také málokdo loguje činnost zaměstnance na příslušném serveru. Samozřejmě ani uvnitř firmy to není jednoduché, ale je to nesrovnatelně lehčí než zvenku.

Nejhorší zjištění je praktická bezmocnost odhalit, jak k úniku citlivých dat došlo a velmi nízká pravděpodobnost, že se tomu podaří zabránit v budoucnu. Většina firem chrání svá data proti útočníkům zvenčí, ale podstatně méně firem má kontrolu na vlastními zaměstnanci. Jak tedy zabránit „průsaku“ informací zevnitř (v angličtině „leak“)?

Proč Data Leak Prevention (DLP)

Ochrana před únikem dat (Data Leak Prevention) je odpovědí na otázku, jak předejít úmyslným, ale i neúmyslnému úniku dat od osob, kterým „věříme“ v rámci IT (zaměstnanci, spolupracovníci z jiných firem a podobně). DLP je pojivo, které spojuje firemní datovou politiku s vynuceným bezpečným manipulováním s údaji.

DLP rozlišuje tři základní skupiny zdrojů dat:
Statické údaje – všechny soubory, databáze, které jsou umístěny na sdílených discích, ve SharePointu, intranetech a podobně, se kterými už tak často uživatelé nepracují, jejich obsah se nemění.
Používané údaje – všechny soubory, databáze, se kterými uživatelé momentálně pracují, jejich obsah se mění.
Údaje v pohybu – všechny soubory, databáze, které se nacházejí roztroušeny po koncových zařízeních uživatelů a odcházejí z firmy a přicházejí do ní přes různé komunikační kanály (mail, share, IM, Facebook).

S těmito údaji manipulují uživatelé – provádějí akce jako kopírování, vypalování na CD / DVD, copy – paste, tisk a podobně. Tyto akce mohou spustit politiku, která vynutí dopředu definovanou akci na údajích před tím, než se údaje dostanou do cílové destinace (e-mail, sociální sítě, disk USB a pod.).

Techniky ochrany DLP

DLP využívá různé techniky k definování toho, co má chránit.

- Ochrana podle obsahu poskytuje ochranu čehokoliv, co umíme definovat jako obsah. Mohou to být čísla kreditních karet, slova, jež se vyskytují v dokumentech a která nesmí opustit prostředí firmy. DLP při zachycení definovaného obsahu provede patřičnou akci – zašifruje soubor, zablokuje akci, ale může i akci jen monitorovat nebo si vyžádat její potvrzení od uživatele. Sofistikované systémy DLP umožňují vytvoření důkazů, kde je automaticky zapsaná akce nebo vytvořen screenshot, případně jiný důkaz o akci, která se stala. Tyto údaje se pak použijí jako evidence přestupku proti firemní politice nakládání s údaji.

- Ochrana podle umístění spočívá v definování lokací, na které se vztahují definované politiky. Zákaz kopírování na USB nebo posílání přes e-mail pro určitý adresář zablokuje úmyslný nebo i náhodný únik souborů.

Silnou zbraní DLP je možnost monitorovat i síťový přenos. Monitorují se odchozí datové přenosy z firmy do internetu nebo do intranetu. Síťový DLP monitor přes detailní klasifikaci, indexování a ukládání celkové historie datového přenosu umožňuje rychlé a efektivní pohledy na údaje, které „tečou“ ven ze sítě, jejich poznání a zjištění, které údaje jsou citlivé, jak se s nimi nakládá, kdo s nimi pracuje a kam odcházejí. Práce s historickými daty umožňuje identifikovat dodatečné úniky dat, které nebyly na první pohled zřejmé.

Systém DLP v praxi

Nasazení řešení DLP je u sofistikovaných systémů jednoduché a během několika dnů lze začít pracovat s indexovanou databází informací, které slouží jako reálný obraz datových přenosů za poslední dny. S jistotou se dá předpovědět, že nalezené přenosy jsou v mnoha případech téměř šokovou terapií, která v plné nahotě ukáže, jaké obrovské množství citlivých informací končí v internetu, na různých webmailu, sociálních sítích a podobně.

Takto získaná databáze má nenahraditelnou hodnotu jako výchozí bod. Především poslouží k pochopení toku dat ve firemní síti, pomůže vytvořit reálný obraz o práci s daty a manipulaci s nimi. Zadruhé, tato indexovaná databáze slouží k vytváření různých poptávek, umožňuje testování předem definovaných politik, které pokrývají různé oblasti, jako jsou finance, osobní údaje, zdravotní informace a podobně.

Další část mohou představovat systémy na indexaci obsahu, kde se indexuje kompletní obsah, který je dostupný. Jde o indexaci sdílených disků, indexaci SharePointu, databází a dalších nejrozšířenějších systémů. Po naindexovaní obsahu lze znovu zadávat poptávky a doslova vyhledávat kusy informací, které mohou být poschovávané na různých místech.

Vyspělé systémy DLP poskytují integraci s koncovými agenty na pracovních stanicích, noteboocích, kde se stávají součástí dalších funkcí agenta jako antivirus a podobně.

Závěrem

DLP je technologie, která prochází obrovským vývojem a komplexních řešení je zatím jako šafránu. Přesto je již dostatečně vyspělá, aby byla vhodná k nasazení do kritických prostředí, jako jsou banky, nemocnice, státní správa a podobné prostředí, kde únik informací znamená významnou ztrátu – ať už z pohledu legislativy, nebo finanční ztrátu včetně ztráty důvěry.

Autor pracuje jako Solution Architect pro Security and Risk Assessment ve společnosti HP.

Zdroj: Infoware.sk

Článek je součástí tématu Nevystavujte firemní data zbytečným rizikům. Partnerem tématu je firma:

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


dva + osm =

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz