Ochrona przed wyciekami informacji

Wyciek danych może pogrążyć największe i najmocniejsze korporacje. Coraz więcej przedsiębiorstw zdaje sobie z tego sprawę, więc zainteresowanie rozwiązaniami DLP wzrasta. Wrażliwe dane są zawarte w różnych dokumentach lub plikach i w najróżniejszy sposób mogą dostać się w niepowołane ręce (np. e-mail z poufnymi danymi wysłany przez pracownika bez szyfrowania). Do ich utraty może przyczynić się infekcja złośliwym oprogramowaniem i mało rygorystyczna polityka bezpieczeństwa w firmie.

Przejęcie cennej informacji umożliwi także zwykła kradzież niezabezpieczonego laptopa czy przenośnej pamięci. Jednak zdecydowana większość incydentów związanych z wyciekiem nie jest efektem wyrafinowanych akcji zamaskowanych napastników. Rację bowiem mają ci, którzy twierdzą, że nie kupili rozwiązania DLP, by bronić się przed kradzieżą, tylko przed bezmyślnymi działaniami swoich pracowników.

To oczywiste, że rozwiązaniami przeciwdziałającymi utracie danych w pierwszej kolejności interesują się podmioty zobligowane do ich ochrony przepisami prawnymi lub branżowymi (ang. compliance). Dlatego nabywcami systemów DLP są przede wszystkim instytucje finansowe (banki, firmy ubezpieczeniowe) i firmy z sektora produkcyjnego (m.in. farmaceutyczne). Ale nawet w nieregulowanych rygorystycznymi przepisami branżach rośnie potrzeba ochrony informacji, a utrata danych dotkliwie uderza po kieszeni zarówno duże, jak i małe firmy.

Oczywiście, sektor MSP, bardzo liczący się kosztami, ostrożniej podchodzi do rozwiązań zapobiegających utracie danych.

– Małe i średnie firmy wciąż jeszcze postrzegają system DLP jako ciekawy element uzupełniający strategię bezpieczeństwa firmy, ale są skłonne zainwestować w niego dopiero po rozbudowaniu przedsiębiorstwa. Najczęściej zamiast w system DLP, inwestują w rozwiązania szyfrujące dane – wyjaśnia Maciej Iwanicki, ekspert ds. bezpieczeństwa internetowego w Symantecu.

 

Grzegorz Mucha

konsultant techniczny RSA w firmie EMC

Przy sprzedaży rozwiązań DLP nie należy skupiać się głównie na możliwościach technicznych, rozpoznawanych protokołach czy blokowaniu portów USB, ale trzeba użyć ich jako elementu szerszego podejścia do zarządzania bezpieczeństwem. Z posiadaniem i przetwarzaniem danych uznanych za szczególnie cenne związane jest ryzyko. Pierwszym krokiem w ich ochronie jest więc zidentyfikowanie tego ryzyka. To oznacza konieczność zorientowania się, gdzie w przedsiębiorstwie znajdują się dane, które muszą być chronione, i co użytkownicy z nimi robią, czyli jak są przetwarzane.

Jak działa DLP?

Rozwiązania DLP rozpoznają treści, przeprowadzając inspekcję zawartości przesyłanych i przechowywanych danych. Na tej podstawie podejmują stosowne działania – od prostego powiadomienia do aktywnego zablokowania – zależnie od ustawień polityki bezpieczeństwa. Wykorzystują przy tym zaawansowane techniki wyszukiwania, wykraczające poza proste dopasowywanie słów i często spotykanych wyrażeń. DLP w ten sposób chroni najróżniejsze prywatne i firmowe informacje, własność intelektualną, dane finansowe lub medyczne, numery kont bankowych, kart płatniczych, hasła itp.

Ze względu na zakres działania, rozwiązania DLP można podzielić na trzy klasy. Enterprise to produkty dla dużych przedsiębiorstw, które jako jedyne wykonują głęboką analizę treści w celu identyfikowania, monitorowania i ochrony przesyłanych oraz przechowywanych danych. Takie rozwiązania mają często opinię złożonych czy trudnych we wdrożeniu i zarządzaniu. Dlatego niektórzy producenci zaproponowali rozwiązania klasy Lite (lekkie), pozbawione tych wad. Ale coś za coś – wykonują one tylko niektóre zadania DLP, nie oferując kompletnej ochrony. Do trzeciej klasy rozwiązań należą te, które skupiają się wyłącznie na ochronie jednego kanału przepływu informacji, zabezpieczając np. strony internetowe lub e-mail.

Do ostatniego typu można zaliczyć popularne produkty, jakimi są bramy zabezpieczające pocztę e-mail. Wielu ich producentów oferuje funkcje DLP – od podstawowych, opartych na ograniczonych słownikach i zbiorach predefiniowanych wyrażeń, do zaawansowanych – z wieloma rozbudowanymi politykami bezpieczeństwa, bogatymi słownikami i identyfikatorami wzorców liczbowych oraz zaszytym wyrafinowanym szyfrowaniem.

Oprócz poczty elektronicznej i stron WWW zabezpieczać należy jeszcze takie kanały przesyłania informacji jak: FTP, komunikatory oraz dane odczytywane z pamięci USB, ale także dokumenty podczas ich drukowania.

Dostawcy DLP oferują komponenty systemu odpowiadające za monitorowanie danych w różnych obszarach sieci. Jedne czuwają nad danymi na serwerach, w pamięciach masowych i urządzeniach końcowych, inne – nad informacją przepływającą przez bramki sieciowe. DLP, wyszukując i klasyfikując informacje oraz kanały ich transmisji, umożliwia stosowanie przemyślanej strategii szyfrowania (co i jak ma być kodowane), zapobiegając w ten sposób utracie danych.

 

Sebastian Krystyniecki

inżynier systemowy, Fortinet

Zastosowanie pełnego modułu bezpieczeństwa DLP w dużych instytucjach lub wybranych jego funkcji w małych i średnich firmach może uratować informacje, na które czyhają choćby szpiedzy przemysłowi. DLP jest jedną z bardzo wielu opcji analizy ruchu sieciowego w urządzeniach klasy UTM. Inspekcji poddawane są m.in. protokoły pocztowe, HTTP, HTTPS, FTP, FTPS, NNTP oraz związane z komunikatorami sieciowymi. Inne dostępne mechanizmy to fingerprinting oraz watermarking. Pierwszy zapewnia obliczenie sumy kontrolnej danego pliku w celu stworzenia wzorca wykorzystywanego podczas przesyłania danych. Drugi dodaje spreparowaną sygnaturę, która jest wychwytywana przez filtr DLP w trakcie transmisji.

Funkcja wykrywania przecieków w najprostszej postaci opiera się na prostych zbiorach słów kluczowych i wyrażeń, a w najbardziej wyrafinowanej – na oznaczaniu treści „cyfrowym odciskiem palca” (digital fingerprinting) i analizie heurystycznej. Bez względu na złożoność rozwiązania ważne jest, by mechanizmy wykrywania nie dawały zbyt wielu fałszywych trafień (false positive), ponieważ wtedy niemożliwe stanie się wyłapanie w logach incydentów rzeczywiście prowadzących do wycieku danych. Kluczowe jest bowiem szybkie zrozumienie, czy zdarzenie zarejestrowane przez system to rzeczywiście naruszenie przyjętej polityki zarządzania informacjami, kto jest za nie odpowiedzialny, w jakiej jednostce organizacyjnej doszło do zdarzenia oraz co dalej z nim zrobić.

Przegląd rynku DLP

Na polskim rynku systemów przeciwdziałających wyciekom danych działają (przez dystrybutorów lub bezpośrednio) firmy, które są potentatami oprogramowania i sprzętu z dziedziny bezpieczeństwa komputerowego, oraz mniejsi producenci, specjalizujący się w wybranych elementach ochrony zasobów informatycznych.

Amerykańska firma CA Technologies stawia na powiązanie swojego rozwiązania CA DLP (chroniącego dane przesyłane w sieci, używane w punktach końcowych, a także przechowywane na serwerach) z CA Content-Aware IAM – skalowalnym rozwiązaniem do zarządzania tożsamością i dostępem użytkowników oraz wykorzystaniem informacji.

Szwedzka firma CryptZone oferuje system Simple Encryption Platform wyposażony w moduły do zabezpieczania danych publikowanych w Microsoft SharePoint (Secured eCollaboration), szyfrowania plików oraz folderów (Secured eFile), zabezpieczania pamięci podłączanych do portu USB – twardych dysków, pendrive’ów i napędów optycznych (Secured eUSB).

GTB Technologies proponuje rozwiązania DLP, które mogą być wdrażane także w mniejszych firmach, ponieważ zarządzanie nimi wymaga stosunkowo niedużego zespołu. Interesującym produktem jest GTB Inspector – tzw. odwrotny firewall, który analizuje transmisję danych wychodzących z sieci. Po wykryciu chronionych danych w ilości przekraczającej wyznaczone wcześniej wartości progowe system blokuje transmisję, tworzy wpis w raporcie o zabezpieczeniach i np. powiadamia e-mailowo administratora.

 

Maciej Iwanicki

ekspert ds. bezpieczeństwa internetowego, Symantec

Obecnie wiele decyzji o wdrożeniu rozwiązań DLP wynika w naszym kraju z przepisów. Wcześniej tak nie było, z uwagi na brak przewidzianych kar finansowych. Swoje dane szczególnie muszą chronić placówki finansowe i medyczne, a na każdym przedsiębiorcy ciąży obowiązek zabezpieczania danych osobowych. Kolejną istotną motywacją jest ochrona danych intelektualnych – zaczęto zdawać sobie sprawę z tego, że praca wielu osób może zostać zaprzepaszczona w wyniku wycieku informacji. Nie muszą to być projekty przełomowych wynalazków, chronić należy również np. plany marketingowe, mogące zapewnić firmie przewagę nad konkurencją.

McAfee (spółka należąca do Intela) ma w ofercie system, dzięki któremu można łatwo monitorować zdarzenia w czasie rzeczywistym, wdrażać zarządzane centralnie reguły bezpieczeństwa, określające i ograniczające sposoby wykorzystywania oraz przenoszenia poufnych danych przez pracowników, a także tworzyć szczegółowe raporty dotyczące wykorzystania tych danych. Integracja DLP z McAfee ePolicy Orchestrator ułatwia zbieranie informacji, np. tożsamości nadawcy i odbiorcy, daty skorzystania z danych, dowody dotyczące wyprowadzenia danych itp.

Pakiet Data Loss Prevention Suite firmy RSA (dział EMC) zawiera trzy moduły. Datacenter jest przeznaczony do ochrony współużytkowanych zasobów plikowych, baz danych i systemów pamięci masowych (SAN/NAS). Moduł Network zapewnia stosowanie zdefiniowanych przez użytkownika polityk bezpieczeństwa wobec wrażliwych danych w korporacyjnych systemach poczty, komunikatorach i protokołach internetowych, a Endpoint – wobec danych przechowywanych bądź używanych w laptopach lub komputerach stacjonarnych. Każdy moduł DLP jest centralnie zarządzany za pomocą jednego narzędzia administracyjnego korzystającego z przeglądarki.

Symantec udostępnił niedawno najnowszą wersję swojej platformy – DLP 12. Jest to kompletne rozwiązanie pozwalające zablokować wszystkie ścieżki zarówno celowego, jak i przypadkowego udostępnienia wrażliwych danych. W nowej wersji zwiększono możliwości zapobiegania utracie danych z urządzeń mobilnych oraz szyfrowania plików, analizy danych, przepływu zadań (workflow) i raportowania. Dostępna jest też zaawansowana analiza statystycznych zachowań użytkowników, ujawniająca działania odstające od normy i wskazujące na niebezpieczeństwo wycieku danych.

Amerykański Trustwave stał się znaczącym graczem na rynku DLP w 2009 r., przejmując wraz z firmą Vericept zaawansowane rozwiązanie do skanowania sieci i urządzeń końcowych. Na styku firmy z Internetem system analizuje i blokuje tekst zawierający określone słowa kluczowe lub frazy, uniemożliwiając przesłanie go do Internetu, zarówno w wiadomościach Webmail, wpisach w blogach i w serwisach takich jak Twitter, jak i wewnątrz popularnych plików w formatach, takich jak Microsoft Word.

Rozwiązanie DLP firmy Websense cechują m.in. unikatowe techniki wykrywania nielegalnego udostępnienia danych, np. w grafice, dzięki wykorzystaniu techniki optycznego rozpoznawania tekstu w plikach graficznych. Inna technika – DripDLP – to wykrywanie wycieku informacji „kropla po kropli”, gdzie wiele indywidualnie nieznaczących zdarzeń stanowi łącznie duży wyciek informacji, np. użytkownik wysyła co godzinę po jednym rekordzie z bazy danych.

Strategia integratora

Do rozwiązania DLP najłatwiej przekonać tych klientów, którym zdarzyła się dotkliwa utrata cennych danych. Można nawet założyć, że zgłoszą się sami, by zapobiec powtórce. Ci, którzy takiego incydentu nie doświadczyli, mogą być klientami trudnymi do przekonania, niewidzącymi sensu wdrażania rozwiązań zapobiegających utracie danych. Żeby więc sprzedawać drogie rozwiązania, jakim są DLP, trzeba umieć pokazać klientowi potencjalny zwrot z inwestycji (ROI).

Nie jest to proste i wymaga przede wszystkim pokazania konsekwencji utraty przez klienta wrażliwych informacji porozrzucanych po bazach danych, arkuszach kalkulacyjnych, skrzynkach poczty elektronicznej i najróżniejszego typu dokumentach rozproszonych w jego firmie. Poszukiwanie cennych informacji w masie nieustrukturyzowanych danych nie należy do najłatwiejszych zadań. W przekonaniu klienta powinny pomóc testy demonstracyjne, bo najczęściej pokażą mu jakiego typu dane opuszczają system informatyczny, z czego dotąd zupełnie nie zdawał sobie sprawy.

Duża część pracy integratora wdrażającego DLP będzie więc polegać na edukacji. W wyniku analizy przeprowadzonej dla klienta musi on znaleźć odpowiedź na pytanie, gdzie znajdują się i ile są warte wrażliwe dane oraz własność intelektualna jego firmy. Bywa, że właściciele firm nie zdają sobie sprawy, że te informacje muszą być chronione, bo nie wiedzą, jak poważne konsekwencje może mieć ich utrata. Pomoc klientowi w zrozumieniu tego niebezpieczeństwa może integratorowi zapewnić sukces. Wiąże się z tym konieczność posiadania przez VAR-a wiedzy dotyczącej zarówno biznesu, jak i prawa (o wiedzy technicznej nie wspominając). Wiele wdrożeń DLP odbywa się bowiem (i będzie ich coraz więcej) w celu osiągnięcia zgodności działania firm z przepisami.

Usługi związane z wdrażaniem DLP obejmują klasyfikowanie i ochronę informacji, zarządzanie projektami, instalowanie oprogramowania i sprzętu, implementowanie i testowanie systemów. W żadnym razie nie jest to wyjęcie produktu z pudełka i włącznie go, dlatego udane wdrożenie wymaga ścisłej współpracy integratora zarówno z dostawcą, jak i z klientem.