Jak wdrażać systemy DLP aby osiągnąć zamierzony cel, czyli ochronić dane przed wyciekiem

Jak wdrażać systemy DLP aby osiągnąć zamierzony cel, czyli ochronić dane przed wyciekiem

Autor: Tomasz Zawicki

Od wielu lat nośnym tematem jest ochrona przed wyciekiem danych. Osiągnięcie ostatecznego sukcesu lub porażki w tym zakresie także może zajmować lata. Wskazane jest więc przygotowanie się do zapewnienia ochrony przez wprowadzenie klasyfikacji treści.

Systemy DLP są wykorzystywane do kontroli przepływu informacji, ich zadaniem jest ochrona przed wyciekiem danych. W skrócie przedstawię w jaki sposób funkcjonują najczęściej stosowane systemy DLP W uproszczeniu, istnieją dwie architektury tego typu rozwiązań:

  • wykorzystująca oprogramowanie agenta uruchamianego na systemach końcowych
  • bazująca na podsłuchu ruchu w sieci poprzez TAP/SPAN PORT.

Pierwsza z metod polega na instalacji oprogramowania agentowego pracującego na stacjach roboczych. Tego typu agent analizuje operacje odczytu i zapisu realizowane na danym urządzeniu. Możliwe jest wówczas wykrycie prób wydruku lub kopiowania części tekstu do schowka i wklejenie go w inne miejsce. W praktyce rozwiązania agentowe są w najlepszym wypadku wdrażane w trybie pasywnym tzn. tylko monitorują przepływ dokumentów/informacji tworząc przy tym gigantyczną ilość logów, których analizy zwykle nikt nie dokonuje.

Druga architektura rozwiązań DLP, preferowana przez klientów (głównie z powodu krótkiego czasu wdrażania i bezinwazyjności w konfigurację i wydajność wszystkich komputerów), to analiza ruchu w sieci. Sieciowe DLP może udaremnić wyciek danych transferowanych za pośrednictwem wszystkich protokołów sieciowych. W tym przypadku najpoważniejszym, ale możliwym do rozwiązania problemem jest deszyfrowanie komunikacji szyfrowanej np. protokołem SSL.

Uruchomienie źle dostrojonego systemu DLP może sparaliżować dostęp do chronionych zasobów, dlatego niezależnie od wybranej architektury rozwiązania, kluczem do sukcesu, poprzedzającym wdrożenie systemów DLP jest prawidłowa klasyfikacja informacji. Można zaryzykować stwierdzenie, że do większości wycieków mogłoby nie dojść, gdyby uprzednio zapewniono wysoki poziom świadomości użytkowników o ochronie i klasyfikacji danych. Klasyfikacja informacji oznaczanych odpowiednimi znacznikami lub tagami upraszcza wdrożenie agentowego lub sieciowego DLP.

Trwałe oznaczenie dokumentów znakiem wodnym lub naniesieniem klauzuli na każdej stronie wspomaga zarządzanie i ochronę sklasyfikowanej treści. Pliki projektów lub archiwa mogą być oznaczane odpowiednimi tagami lub metadanymi. Tego typu klasyfikacja może być nadawana plikom, których przekazywanie powinno być automatycznie rejestrowane. Takie oznaczenie pozwala identyfikować i śledzić przepływ chronionych danych przez systemy DLP.

Jak wygląda taka klasyfikacja przedstawię pokrótce na przykładzie jednego z rozwiązań firmy TITUS - Classification for Microsoft Office. Najprostsza konfiguracja pozawala nanosić w nagłówku i stopce informacje o poziomie wrażliwości tworzonego dokumentu. Każdy nowo tworzony lub otwierany dokument wymaga od użytkownika wyboru zdefiniowanego przez administratora poziomu klasyfikacji. Przykładowo plik Word sklasyfikowany jako tajny, może mieć znak wodny oraz ograniczenie uniemożliwiające wysyłkę w załączniku do odbiorców spoza naszej firmy. Stworzenie dokumentu publicznego jeśli pozwolimy na istnienie takiej kategorii może nie dodawać jakichkolwiek widocznych zmian graficznych w tworzonym pliku, nadając jednak klasyfikację dołączaną w postaci metadanych.

Podsumowując, oprogramowanie wymuszające klasyfikowanie tworzonych dokumentów i przyporządkowywanie grupy lub grup docelowych dla informacji zawartych w plikach pozwala znacznie skuteczniej egzekwować politykę ochrony informacji z wykorzystaniem systemów DLP.