Data Loss Prevention ili Data Leak Protection (u oba slučaja skraćenica je DLP) je tema o kojoj se godinama dosta priča, ali svega nekoliko proizvoda može da stane iza tog akronima. Vodeći među njima je Symantec Data Loss Prevention.
Suština
| (kliknite za veću sliku) |
Svima je poznato da se mnogo truda, opreme i softvera koristi radi zaštite računarskih sistema preduzeća i država od spoljnih napada. Mreže su postale nalik tvrđavama, dobro opasane visokim zidovima i šančevima u kojima vrebaju zveri spremne za odbranu: ASE, PIX, PaloAlto, SSG i slične nemani, naoružane do zuba. Problem je u tome što se danas poslovanje zasniva na komunikaciji, a to znači da neki kanali moraju da ostanu otvoreni, te je i rizik da neko dođe do naših podataka veći.
Da bi se ovaj rizik smanjio, osetljive i važne podatke šifrujemo, o čemu smo detaljno pisali u prethodnim brojevima PC Press‑a. Rizik da neko spolja neovlašćeno dođe do podataka koje štitimo tako je smanjen na najmanju meru. Pored toga, zaposleni, partneri i službenici koji pristupaju tim podacima, kopiraju ih i snimaju kao nove dokumente u drugim formatima, šalju mail‑om, preko chat‑a, instant poruka i servisa za razmenu fajlova, te štampaju i umnožavaju. U većini slučajeva to je potrebno u poslovanju, ali u nekim slučajevima radi se o krađi, gubitku ili curenju podataka.
Nekada je to slučajno, a nekada namerno, svejedno je – cilj je da se takvo curenje ili gubitak spreče! Cilj DLP‑ja je otkrivanje i pronalaženje gde su sve domišljati ljudi ostavili podatke od interesa, nadzor i praćenje gde se svi podaci koje štitimo kreću, te na kraju, zaštita i sprečavanje gubitka tih podataka. Razvoj DLP tehnologija uključuje i tehnike opisa podataka, prepoznavanja i učenja kako bi se sa što većom pouzdanošću poverljivi podaci zaštitili od gubitka.
U praksi
Symantec je pre više od tri godine kupio perspektivnog proizvođača DLP rešenja, kompaniju Vontu koja je 2007. godine dobila nagrade za najbolja rešenja u zaštiti od curenja podataka. Ta rešenja je Symantec unapredio i integrisao sa ostalim proizvodima, a danas pišemo o rešenju Symanteco DLP 11.0.
Symantec DLP se implementira postupno, uz angažovanje konsultanata za implementaciju koji će svojim znanjem pomoći da se sve faze projekta sprovedu efikasno i koji će preneti korisniku znanja za upravljanje DLP rešenjem. Za uspešnu primenu, neophodno je da se počne od identifikacije podataka koje štitimo. Nekada je to jednostavno, kao kad banka želi da uskladi svoje poslovanje sa PCI DSS standardom. Tada je jasno da informacije koje želimo da zaštitimo čine podaci o vlasniku kartice.
Nekada je pak teško odrediti koje podatke želimo da štitimo. Na primer, kada štitimo intelektualnu svojinu i ko sve može da ima pristup tim podacima. Pre tehničke implementacije DLP rešenja treba uložiti mnogo vremena da se pravilno identifikuju i klasifikuju podaci, da se odredi njihov ispravan tok, pravila rada, da se identifikuju procedure i pravila u slučajevima kada dođe do curenja...
Strogo tehnički posmatrano, Symantec DLP se sastoji od upravljačke platforme (Enforce Platform) i odgovarajućih agenata koji prate i nadgledaju podatke (Discover, Network Protect & Prevent, Endpoint Protect & Prevent, Monitor) i sprečavaju njihovo curenje.
Rešenja
| (kliknite za veću sliku) |
Symantec DLP Endpoint Discover skenira i traži poverljive informacije koje se nalaze na laptop, desktop računarima ili radnim stanicama kako bi ih popisao, osigurao ili premestio na sigurno mesto. Tako, na primer, može da detektuje Excel fajl sa brojevima kreditnih kartica na desktop‑u ili deljenom folderu na računaru na kome ne treba da se nalaze i da na osnovu toga generiše detaljan izveštaj. Takođe, tim podacima može da se zabrani pristup i umesto njih da se prikaže prikladna poruka, a podaci da se premeste na bezbedno mesto, karantin.
Symantec DLP Endpoint Prevent sprečava gubitak podataka kopiranjem na USB disk ili drugi prenosivi medij, slanjem e‑mail‑om, instant porukama, štampanjem ili slanjem na faks. Endpoint Prevent može automatski da generiše e‑mail obaveštenja onome ko pokuša da pošalje poverljive podatke e‑mail‑om da je to zabranjeno i kojim dokumentom se to zabranjuje, uz generisanje detaljnog izveštaja o incidentu.
Symantec DLP Network Discover ima sličan zadatak kao i Endpoint Discover, samo što se pretražuju serveri i mrežni uređaji za pohranjivanje podataka – storage sistemi, baze podataka, sistemi za e‑mail i Web sadržaji. Otkriveni poverljivi podaci se štite i generiše se odgovarajući izveštaj o incidentu.
Symantec DLP Network Prevent sprečava, tj. zaustavlja komunikaciju i razmenu poverljivih podataka koji nisu u skladu s definisanim pravilima i sprovodi pravila šifriranja radi zaštite poverljivih podataka. Dok Network Protect automatski štiti podatke kroz implementaciju karantina, kopira ih i briše tamo gde je to pravilima propisano. DLP Network Monitor prati mrežnu komunikaciju, kao što su Web, mail, ftp, IM, p2p i sprečava kršenje zadatih pravila.
Detaljni izveštaji, izveštaji o pojedinačnim incidentima, kao i izveštaji o opravdanosti izvršenih radnji korisnika, dopunjuju ovo kompletno rešenje za DLP i omogućavaju lako pružanje dokaza o usklađenosti s raznim standardima i regulativom, kao što je PCI DSS ili EU Data Protection Directive.
Šta je novo?
Nova verzija Symantec DLP 11.0 ima nekoliko značajnih noviteta, a najvažniji je Vector Machine Learning (VML). Uobičajene tehnologije koje DLP rešenja koriste su opis podataka koji se bazira na prepoznavanju ključnih reči ili izraza, tipa fajlova i sl. ili tzv. fingerprinting koji se bazira na prepoznavanju uzoraka celog ili dela fajlova koji predstavljaju poverljive podatke. Zbog ogromnog povećanja obima nestrukturiranih informacija nameće se potreba za efikasnijim rešenjima za prepoznavanje i otkrivanje poverljivih podataka – vektorsko mašinsko učenje. Kroz niz pozitivnih i negativnih primera kreira se profil za detekciju i otkrivanje poverljivih podatka koji svoju tačnost neprestano poboljšava kroz proces učenja/treninga. Ovom tehnologijom se unapređuje zaštita poverljivih podataka i stepen njihovog pronalaženja.
Rešenja za zaštitu od curenja podataka postoje. Uz nešto truda, nije ih teško ni implementirati, ali problem ostaje u ljudima. Čak ni najbolje DLP rešenje ne može sprečiti čoveka koji ima pravo pristupa podacima da ih odnese na USB stick-u, ako mu je to nekim pravilom dozvoljeno. Dobro se sećam rečenice Dejana Ristanovića iz, čini mi se, prvog broja Računara, da kompjuteri ne rade ono što želimo, već ono što im kažemo. Ni danas, posle 26 godina ništa se nije promenilo – računari dobro rade dokle god smo spremni da im tačno i precizno kažemo šta želimo. Bez pažljive identifikacije i klasifikacije podataka, pripreme pravila i toka podataka, te odgovarajućih akcija u slučajevima povrede pravila nema ni DLP rešenja.
Korisne adrese:
Net++
http://www.netpp.rs
|