Jak działa DLP?

Rozwiązania DLP rozpoznają treści, przeprowadzając inspekcję zawartości przesyłanych i przechowywanych danych. Na tej podstawie podejmują stosowne działania – od prostego powiadomienia do aktywnego zablokowania – zależnie od ustawień polityki bezpieczeństwa. Wykorzystują przy tym zaawansowane techniki wyszukiwania, wykraczające poza proste dopasowywanie słów i często spotykanych wyrażeń. DLP w ten sposób chroni najróżniejsze prywatne i firmowe informacje, własność intelektualną, dane finansowe lub medyczne, numery kont bankowych, kart płatniczych, hasła itp.

Ze względu na zakres działania, rozwiązania DLP można podzielić na trzy klasy. Enterprise to produkty dla dużych przedsiębiorstw, które jako jedyne wykonują głęboką analizę treści w celu identyfikowania, monitorowania i ochrony przesyłanych oraz przechowywanych danych. Takie rozwiązania mają często opinię złożonych czy trudnych we wdrożeniu i zarządzaniu. Dlatego niektórzy producenci zaproponowali rozwiązania klasy Lite (lekkie), pozbawione tych wad. Ale coś za coś – wykonują one tylko niektóre zadania DLP, nie oferując kompletnej ochrony. Do trzeciej klasy rozwiązań należą te, które skupiają się wyłącznie na ochronie jednego kanału przepływu informacji, zabezpieczając np. strony internetowe lub e-mail.

Do ostatniego typu można zaliczyć popularne produkty, jakimi są bramy zabezpieczające pocztę e-mail. Wielu ich producentów oferuje funkcje DLP – od podstawowych, opartych na ograniczonych słownikach i zbiorach predefiniowanych wyrażeń, do zaawansowanych – z wieloma rozbudowanymi politykami bezpieczeństwa, bogatymi słownikami i identyfikatorami wzorców liczbowych oraz zaszytym wyrafinowanym szyfrowaniem.

Oprócz poczty elektronicznej i stron WWW zabezpieczać należy jeszcze takie kanały przesyłania informacji jak: FTP, komunikatory oraz dane odczytywane z pamięci USB, ale także dokumenty podczas ich drukowania.

Dostawcy DLP oferują komponenty systemu odpowiadające za monitorowanie danych w różnych obszarach sieci. Jedne czuwają nad danymi na serwerach, w pamięciach masowych i urządzeniach końcowych, inne – nad informacją przepływającą przez bramki sieciowe. DLP, wyszukując i klasyfikując informacje oraz kanały ich transmisji, umożliwia stosowanie przemyślanej strategii szyfrowania (co i jak ma być kodowane), zapobiegając w ten sposób utracie danych.

 

Sebastian Krystyniecki
inżynier systemowy, Fortinet

Zastosowanie pełnego modułu bezpieczeństwa DLP w dużych instytucjach lub wybranych jego funkcji w małych i średnich firmach może uratować informacje, na które czyhają choćby szpiedzy przemysłowi. DLP jest jedną z bardzo wielu opcji analizy ruchu sieciowego w urządzeniach klasy UTM. Inspekcji poddawane są m.in. protokoły pocztowe, HTTP, HTTPS, FTP, FTPS, NNTP oraz związane z komunikatorami sieciowymi. Inne dostępne mechanizmy to fingerprinting oraz watermarking. Pierwszy zapewnia obliczenie sumy kontrolnej danego pliku w celu stworzenia wzorca wykorzystywanego podczas przesyłania danych. Drugi dodaje spreparowaną sygnaturę, która jest wychwytywana przez filtr DLP w trakcie transmisji.