В последните няколко години терминът “предотвратяване на загубата на данни” (DLP) е използван прекомерно от продавачите на услуги, опитващи се да направят продуктите си полезни за решаване на всеобхватния проблем с изтичането и загубата на данни. Това доведе до ситуация, при която е трудно да се каже кои технологии заслужават да се наричат “DLP” и кои не. За да си изясним нещата, нека разгледаме какво е технологията DLP, как работи и какво може и какво не може да прави.
Терминът “предотвратяване на загубата на данни” описва технология, която автоматизира идентифицирането и защитата на чувствителните данни. DLP системата има компоненти, които изпълняват три функции: управление, идентификация и защита. Управляващият компонент е мястото, където администраторът създава и управлява политики, които DLP системата изпълнява и генерира всички необходими отчети. Идентификационният компонент намира чувствителните данни, които дефинират правилата на системата. Компонентът “Защита” защитава чувствителните данни, които идентифициращият компонент намира. При всеки компонент има набор от предизвикателства и по тази причина ще ги разгледаме един по един.
Автоматизирането на защитата на чувствителните данни е важно, защото дори хората с най-добри намерения правят грешки. Докладът на CompTIA за тенденциите в информационната сигурност през 2008 г. изчислява, че 30% от сериозните нарушения на данните са причинени от човешки грешки, други 30% са причинени от хакери, които се възползват от човешка грешка, и само 40% са причинени от хакерски активно преодоляване на недостатъци в технологиите. Тези цифри са доста по-различни, отколкото пет години преди това. Изданието от 2003 г. на същия доклад изчислява, че само 8% от сериозните нарушения на данните не са включвали някаква човешка грешка.
Хората все по-добре защитават чувствителните данни, но все още не са достатъчно добри в това. Все още най-сериозните нарушения на данните са причинени от неуспех на хората вместо от неуспех на технологията. Поради това, автоматизирането на процеса на защита на данните ще даде много по-добри резултати, вместо просто да се разчита на хора, които са податливи на грешки, и точно там DLP технологията прави разликата.
Управление
Политиката на системата за DLP определя кои данни се считат за чувствителни, какви действия са разрешени с тях и как да се защитят те. Да предположим, че искаме да спрем да се изпращат некриптирани номера за социална защита на външни имейл адреси. Тази относително проста цел всъщност може да бъде трудно да се приложи по един всеобхватен начин, което означава, че може да бъде трудно внимателно да се създаде политика, която да описва тази цел. Всеки от тях може или не може да съдържа номер на социално осигуряване. Номерът 123456789 може да бъде например номер на социална осигуровка или може да е телефонен номер за някой извън САЩ. Правила, предназначени да спрат некриптираните номера на социално осигуряване от изпращането им на външни имейл адреси, трябва да бъде в състояние да определи кои от тях трябва да бъдат идентифицирани като съдържащи номера за социална защита от идентификационните компоненти на DLP системата и кои не трябва.
Политиката на DLP също така разяснява какви действия трябва да предприеме защитната компонента на системата, когато идентификационният компонент намира чувствителни данни. В случай на намиране на некриптиран номер на социална осигуровка, защитният компонент може да шифрова съобщението и да изпрати криптираното съобщение на съответните получатели. Или може да уведоми изпращача, че са нарушени правилата за защита на данните на системата и че ще трябва да криптират съобщението си, за да бъде изпратено.
Възможностите на компонента “Управление” са ограничени от задълбочеността на компонента или колко различни формати на данни може да се определят правила. Всеки конкретен файлов формат например кодира информация по различен начин. DLP системата трябва да е в състояние да разбере формата на данните, за да я търси в чувствителната информация. Номерът за социална защита, който е в компресиран текстов файл например, ще бъде кодиран по различен начин от същия номер, който се съхранява в електронна таблица. По принцип, колкото повече формати на данни може да разбере системата DLP, толкова по-добра е тя и това обикновено означава, че има по-голям шанс да намери и защити чувствителна информация.
Бъдете внимателни с твърденията на вендорите. Ако доставчикът твърди, че неговата технология DLP може да идентифицира много различни видове файлови формати, това не е достатъчно, за да може технологията му да идентифицира чувствителна информация във всички типове файлове. Важното е колко задълбочена е работата на технологията за намиране на чувствителни данни. За да направите това, трябва да разберете съдържанието на много различни типове файлове, както и много различни мрежови протоколи. Това е по-подходящ начин за измерване на цялостността на DLP система, отколкото броят на типовете файлове, които тя може просто да идентифицира.
Възможностите на инструментите, които администраторите използват, за да определят правилата, които използват идентификационните компоненти, също са важни. За да се считат за технология DLP, тези правила трябва да могат да включват повече от просто търсене на ключови думи. Най-съвременните DLP технологии използват по-модерни техники като регулярни изрази и съпоставяне на статистическите модели, за да идентифицират чувствителна информация. Възможността за по-задълбочена работа по намиране на чувствителни данни изисква възможност за дефиниране на по-подробни и сложни политики, така че един сложен управленски компонент е необходима част от съвременната DLP технология.
Идентификация
Идентификационният компонент на DLP системата използва политиката, която компонентът за управление определя, за да намери чувствителна информация. Във всички, освен в най-простите случаи, това означава, че идентификационният компонент ще направи статистически тест и ще използва резултата от този тест, за да реши дали е намерил чувствителна информация. Тъй като идентификационните компоненти използват статистически тестове, те никога не могат да вземат правилно решения през цялото време.
При всички статистически тестове има вероятност за фалшиви положителни и фалшиви негативни резултати.
Свойството на всяко статистическо тестване е, че за дадена технология е невъзможно едновременно да се намалят както фалшивите положителни, така и фалшивите негативни резултати. Това означава, че ако параметрите, които идентификационният компонент на DLP системата използват, се променят, за да се намали фалшивият положителен процент, фалшивият отрицателен процент трябва да се увеличи или ако фалшивият отрицателен процент се намали, тогава фалшивият положителен процент трябва да се увеличи. Това е ограничение, наложено от естеството на статистическото тестване, а не от особеностите на технологията DLP и същото ограничение съществува и в други технологии за сигурност, които извършват статистически тестове.
Най-известната от тези технологии вероятно е откриването на проникване, което също включва компромис между фалшивите положителни и фалшивите негативи. Това означава, че ако сте мениджър по сигурността, който се опитва да разбере възможното представяне на DLP система, администраторът на вашата система за откриване на проникване вероятно е добър източник на информация за въздействието на фалшивите положителни и фалшивите негативни върху работата на системата, сигурност.
Защита
След като идентификационният компонент на DLP реши, че е намерил чувствителни данни, защитните компоненти на системата предприемат някакво действие, което нейната политика изисква. Блокирането и криптирането са двете най-чести от тези действия.
Ако потребителят копира чувствителни данни на USB устройство, например, компонентът за защита на DLP системата може да блокира прехвърлянето и да не позволява на потребителя да копира данните на USB устройството. В други случаи защитният компонент може да шифрова чувствителните данни по такъв начин, че само оторизирани потребители да могат да го декриптират. Ако потребителят запазва файл, съдържащ чувствителни данни, защитният компонент може да шифрова файла, преди да бъде запазен.
Блокирането на действията на потребителите обикновено не води до значителни технически проблеми, въпреки че може да увеличи броя на обажданията на бюрото за помощ. Повечето потребители, които в крайна сметка са блокирани от DLP система, не правят нищо злонамерено; те просто се опитват да вършат работата си. Те често се нуждаят от помощ, за да разберат как да работят в рамките на ограниченията, които системата DLP ще създаде за тях, и това може да увеличи броя на обажданията за поддръжка, които помагат на бюрата да получат.
Използването на криптиране за защита на чувствителни данни от друга страна може да доведе до значителни технически проблеми както поради проблемите, свързани с управлението на ключовете, така и поради проблемите, които имат много системи когато обработват кодирани данни.
Криптографският ключ е много подобен на комбинацията в сейф. Ако имате комбинацията, лесно е да отворите сейф, но е трудно да се отвори без комбинацията. По същия начин, ако имате правилния ключ, дешифрирането на шифрованите данни е лесно, но е непрактично без този ключ. Но ако сте небрежни с комбинирането с вашия сейф, някой друг може лесно да го намери, и щом го имат, защитата, осигурена от сейфа, е компрометирана. По същия начин криптографските ключове, които използвате за криптиране на данни, трябва да бъдат внимателно обработени. Ако сте лежерни към тях, защитата, осигурена от криптографията, може да бъде елиминирана по същество. Управлението на ключовете обхваща всички подробности как да се борави с ключовете достатъчно внимателно, за да се гарантира, че това няма да се случи. Той гарантира, че не правите криптографския еквивалент на писането на комбинацията в сейфа си на бележка след това и го залепвате на стената до бюрото.
Един очевиден проблем, който DLP технологията може да причини, свързан управлението на ключовете, е възстановяването на данни. Ако ключът, необходим за декриптиране на данните, не е налице поради някаква причина, а след това защитата на данните чрез криптиране действа като криптографско раздробяване на данните. За да се избегне този проблем, всички криптографски ключове, които DLP системата използва, трябва да са леснодостъпни. Това може да бъде скъпо и лесно може да се превърне в голям разход, който потребителите на DLP не очакват и не планират.
Сегашното състояние на техниката в технологиите за управление на ключовете също не достига до точката, в която е лесно да се заявят и изтеглят ключове в Интернет. Това означава, че ако DLP системата открие чувствителни данни и ги шифрова, може да е трудно или невъзможно декриптирането на защитените данни, ако се преместят извън мрежата, където първоначално са били шифровани. Ако данните се съхраняват на резервна лента и се доставят до място извън хранилището, например, може да не е възможно декриптирането на защитените данни извън обекта поради невъзможността да се получат необходимите ключове за декриптиране.
Да можеш да декриптираш данни, когато е необходимо, е също толкова важно, колкото да можеш да ги защитиш. Ако планирате да използвате технологията DLP за криптиране на данни, трябва внимателно да прецените как данните могат да бъдат декриптирани, когато е необходимо в бъдеще, и да се уверите, че технологията за управление на ключовете, използвана от вашето DLP решение, може да поддържа начина, по който трябва да се използват данните.
Друг потенциален проблем, причинен от технологиите DLP, е, че някои съществуващи системи не могат да обработват кодирани данни. Шифроването на данни обикновено променя както дължината, така и формата на данните. Така че, ако шифровате деветцифрен номер на социална осигуровка, криптираната стойност вече не е само цифра и е по-дълга от девет знака. В много компютърни среди има поне една система, която няма да може да обработва шифровани данни и често няма начин да разбере кои системи ще имат този проблем освен чрез обширни тестове.
Едно възможно решение на този проблем е да се използва един от по-новите алгоритми за криптиране, запазващи формата. Те всъщност не са нов алгоритъм за кодиране, но вместо това са нов начин за използване на съществуващ алгоритъм, който наследява цялата сигурност на оригиналния алгоритъм. Така нареченият режим за криптиране на фини слоеве Feistel (FFSEM), който NIST е приел за одобрение като одобрен режим на AES, е пример за тази технология. FFSEM използва съществуващия алгоритъм за криптиране AES по начин, който запазва формата на нешифрованите данни, като същевременно запазва цялата сила на алгоритъма AES и използва за криптиране на поверителни данни, както защитава данните, така и възможността за оперативна съвместимост със съществуващите системи.
Мрежа или крайна точка
Има две места, където технологията DLP може да се използва за защита на данни: в мрежа или в крайна точка. Ако технологията работи в мрежа, идентификацията и защитата на чувствителните данни се осъществяват върху данни, докато се движат през мрежата. Това е най-разпространеният начин предприятията да започнат да внедряват DLP технологията, обикновено първо да използват технологията, за да спрат загубата на данни по електронната поща или Webmail, а след това да разширят използването й и в други приложения.
Алтернатива на мрежово базирано DLP е базираната на крайни точки DLP. Това работи на сървър или работна станция и изпълнява политиката на DLP системата там. Този подход изисква разширяване на DLP системата на всички работни станции и сървъри в едно предприятие и това може да създаде предизвикателства при поддръжката като всеки друг широко разпространен софтуер на предприятието.
DLP, базирана на крайни точки, обикновено ще намери и защитава поовече и по-добре чувствителните данни, отколкото DLP решение, базирано на мрежата. Решението, базирано на крайна точка, може да наблюдава прехвърлянето на данни на преносими устройства, например, докато мрежово решение не може. Тази допълнителна възможност идва с цена, както по отношение на сложността, така и по отношение на разходите, което вероятно обяснява защо DLP системите, базирани на крайни точки, все още не са разгърнати толкова широко, колкото DLP системите, основани на мрежата.
Доставчиците на DLP често добавят към този микс трети тип технологии и това са технологиите за “откриване”. Технологията за откриване на DLP е много подобна на технологията, базирана на крайна точка, но не търси само чувствителни данни, когато се задейства от конкретни събития. Докато технологията DLP на крайната точка може да търси чувствителни данни, когато се появят определени събития, като прехвърлянето на данни в преносимо хранилище или запазването на файл, технологията за откриване се опитва да намери цялата чувствителна информация в съхранените данни. За целта тя активно търси съхранени данни и защитава чувствителните данни, които намира.
Технологията за откриване на DLP добавя допълнително ниво на защита, освен тази, осигурена от технологията, базирана на крайни точки. Докато DLP технологиите за крайна точка и мрежа идентифицират и защитават чувствителните данни само когато се случват определени събития, технологията за откриване може потенциално да защитава всички чувствителни данни, дори преди да настъпят тези събития. Ако технологията за откриване открие и шифрова всички номера на социално осигуряване в цялостна корпоративна компютърна среда, например, тази информация ще запази защитата си, ако бъде изпратена по мрежата или прехвърлена на преносимо устройство.
Вместо резюме
Технологията DLP обещава значително да намали количеството данни, загубени при нарушения на данните, и водещите производители на DLP могат да предоставят решения, които разумно да намират и защитават типовете данни, които обръщат общата защитеност на данните, законите и регламентите за неприкосновеността на личния живот.
Мрежовите DLP технологии са по-евтин начин за защита на чувствителните данни, но те обикновено осигуряват по-малка защита от тези на DLP технологиите, базирани на крайни точки или откриване. Решението коя технология или технологии да се използва е сложно и че трябва да включва много фактори, включително поне същността на законите и подзаконовите нормативни актове, които определят как чувствителните данни трябва да бъдат защитени и стратегията за управление на риска на бизнеса, като обмислят внедряването на технологията DLP.
Всяка технология DLP, която защитава чувствителните данни чрез криптиране, може да доведе до непредвидени проблеми при управлението на ключовете. Ако обмисляте това, не забравяйте да попитате доставчиците на DLP за тяхната технология за управление на ключове и колко лесно ще се интегрират в съществуващата ви мрежа. Правейки това в ранните етапи на оценяването на технологията DLP може да ви спести значително време и усилия, ако в крайна сметка внедрите и поддържате DLP в бизнеса си.
Източник: www.infosectoday.com