Мениджмънт

DLP – контрол и защита на поверителната информация

CIO Media


Съсредоточавайки се върху мястото, класифицирането и контрола на съхраняваната информация  в режим на използване и пренос, DLP решенията  дават възможност на организациите до голяма степен да управляват своята информация, както и да предотвратят ежедневно възникващите възможности за изтичането й. Но DLP не е просто взето наготово решение. Правилното внедряване на такава технолоия изисква значителна подготовка и постоянна поддръжка 
Организациите разчитат все повече на цифровата информация при реализиране на своите бизнес стратегии. Всеки ден огромно количество информация подпомага работния процес, между вътрешни и външни за организацията звена. Съществуват различни пътища и начини, по които данните могат да се пренасят – електронни съобщения, документи за текстообработка, електронни таблици, текстови файлове и др. Част от тази информация е неповерителна, но друга - често значителна част от нея е „чувствителна” или „търговска”, което означава, че тя трябва да бъде защитена от неоторизиран достъп или публично излагане. Това се налага и поради необходимостта от спазване на различни наредби.
Повечето организации използват предпазни мерки за опазване на „чувствителната” информация. Често обаче, тези мерки са непостоянни и се управляват на различни нива в организацията, с различни нива на прецизност и ефективност. Резултатът е, че въпреки положените усилия, организациите губят значителна част от „чувствителната” информация. Това създава значителен риск за тях, техните клиенти и бизнес партньори, отразява се отрицателно върху репутацията на компанията, нейната кокурентоспособност, приходи и бизнес взаимоотношенията. 
Проблемите съврзани с нуждата от подобряване контрола и защитата на поверителна информация доведоха до създаване на нов набор от решения, насочени към повишаване на способността на организацията за защита на нейните информационни потоци. Системите за предпазване от изтичане на данни (Data Leak Prevention -DLP) се различават по своите възможности и методологии, но като цяло сравнително новата технология DLP се радва на добър прием и на пазара се появяват все повече продукти, които я реализират. Според проучване на изследователската компания TheInfoPro, DLP е основен приоритет при разпределението на бюджетите за сигурност през тази година [1]. 
В тази статия ще се спрем на ползите, рисковете и причините за корпоративното използване на DLP, както и на факторите, които трябва да бъдат взети отчетени при избора и внедряване на DLP решение. Важно е да се отбележи, че докато DLP решенията са в състояние да прихванат някои злонамерени или нелегални опити за открадване на информация, технологията все още не е достатъчно развита за да възпре по-усъвършенствани методи за кражба на данни. За щастие, общото разбиране е, че тези случаи са много по-малка част от общия риск за изтичане на данни. В доклад публикуван през март 2009 г., институтът Poneman установява, че 88% от инцидентите свързани с изтичане на данни се дължат на небрежност на  потребителя, а едва 12% се дължат на злонамерени действия [2]. Този нисък процент може да бъде донякъде подвеждащ обаче - обикновено при злонамерена кражба на данни, последствията са много по-значителни, отколкото при случайна загуба.
Какво представлява DLP? 
Повечето DLP решения включват набор от технологии, които улесняват 3 ключови цели:
- Намиране и категоризиране на „чувствителната” информация съхранявана в звената на организацията;
- Проследяване и контрол на преноса на „чувствителна” информация в корпоративните мрежи;
- Проследяване и контрол на преноса на „чувствителна” информация в системите на крайния потребител.
Тези цели са свързани с три основни "състояния" на информацията: статични данни (data at rest), динамични данни (data in motion), и данни в употреба (data in use). Всяко едно от тези три „състояния” на данните е предмет на специфичен набор от технологии, предоставени от DLP решения:
>> Статични данни (data at rest). Основна функция на DLP решенията е способността да идентифицира и записва къде в организацията се съхранява дадена информация. Това означава, че DLP решението трябва да има възможност да търси и да идентифицира специфични видове файлове, като например електронни таблици и документи за текстообработка, независимо дали те са на файлови сървъри, мрежи за съхранение (SAN) или дори крайни точки на системата. След като ги намери, DLP решението трябва да е способно да отвори тези файлове и да сканира тяхното съдържание за определен вид информация, като например номер на кредитна карта, номер на социална осигуровка и др. За да изпълнят тези задачи, повечето системи използват така наречените DLP роботи, които са разгърнати приложения за отдалечено регистриране към всеки край на системата. Те „обхождат” хранилищата на данни, търсейки и регистрирайки местоположението на специфична информация определена на базата на набор от правила, които предварително са внесени в управляващата конзола на DLP (DLP Management Console). Събирането на тази информация е важна стъпка, която позволява на корпорацията да определи къде точно се намира ключовата, „чувствителната” информация, дали местоположението е позволено в рамките на съществуващите политики и по какви пътища тези данни могат да преминат, нарушавайки информационните политики.
>> Динамични данни (data in motion) (мрежа). За да се следи движението на данни в корпоративни мрежи, DLP решенията използват специфични мрежови приложения или вградена технология [3] за селективно улавяне и анализ на мрежовия трафик. Когато файловете са изпратени в мрежата, те обикновено са разбити на пакети. За да проверява информацията, която се изпраща в мрежата, DLP технологията трябва да осигурява: 
- пасивно наблюдение на трафика в мрежата; 
- разпознаване на правилните информационни потоци и възможност за тяхното прихващане; 
- сглобяване на събраните пакети; 
- реконструкция на файловете пренасяни от информационните потоци; 
В допълнение, трябва да може да се изпълнява същия анализ, който се прилага към на статичните данни, за да се определи дали някаква част от съдържанието на файла е ограничена от правилата използвани в DLP технологията. В основата на тази способност е процес, известен като Deep Packet Inspection (DPI), който позволява на DLP компонента „динамични данни” да осъществи тези задачи. 
DPI излиза извън рамките на основната информация която има в хедъра на пакета (която е сходна с „до” и „от” информацията намираща се на пощенски плик) за да може да прочете съдържанието в рамките на „полезния товар” на пакета (т.е. “писмото” в пощенския плик). Тези възможности са се развили през годините, но все още са непълни, въпреки, че повишаването на производителността на обработка и новите форми за идентификация на пакети значително са подпомогнали развитието им. Именно тези възможности позволяват на DLP системата да проверява транзитно данните и по този начин да определя съдържанието, източника и дестинацията им. Ако се открият „чувствителни” данни които се движат към неразрешена дестинация, DLP решението има възможността да предупреди и евентуално да блокира информационния поток, в реално или почти в реално време, отново на база правило определено в рамките на централизираната конзола за управление. На базата на правило, също така DLP може и да поставя под карантина или да криптира въпросните данни. Важно е да се има в предвид, че при мрежово DLP решение преди да се провери информацията, данните първо трябва да се декриптират. За тази цел, DLP решението или трябва да има възможност да прави това самостоятелно (имайки тази функция и необходимите ключове за криптиране), или трябва да има устройство което да декриптира трафика преди неговата проверка от DLP модула и след това да криптира отново когато информацията бъде проверена и и се позволи да премине по-нататък.
>> Данни в употреба (data in use) (крайна точка). Данните в употреба са може би най-трудния аспект от DLP.  Те се отнасят преди всичко до мониторинг на движението на информацията, произтичащо от действия, предприети от крайните потребители на работните им места, независимо дали това е свързано с  копиране на данни върху някакво преносимо устройство, изпращане на информация до принтер за печат или дори „изрязване” и „поставяне” (cut/paste) между различни приложения. Обикновено мониторинга се осигурява чрез използване на софтуерна програма от тип „агент”, контролирана от централизираното управление на DLP решението.  Добавянето на група или набор от правила  към системата на крайния потребител има присъщи ограничения, като най-значимото е, че тя трябва да е  в състояние да обработи приложената група или правила. В зависимост от броя и сложността на правилата приложени в действие, може да бъде необходимо да се добави само част от целия набор, което може да доведе до значителни пропуски в цялостното решение.
Цялостно DLP решение
За да се счита едно DLP решение за цялостно, то трябва да е способно да отговори на трите цели свързани със „състоянието” на информацията и да бъде интегрирано с функция за централизирано управление. Гамата от услуги, предлагани в конзолата за управление варира между различни продукти, повечето от които имат най-често следните функции:
>> Създаване и управление на политики (Policy creation and management) – Политиките (или набора от правила) диктуват действията, които се предприемат от различните DLP компоненти. Повечето DLP решения идват с предварително конфигурирани политики (правила), които са свързани с общата нормативна уредба, като например двете американски – Health Insurance Portability and Accountability Act (HIPAA) и Gramm-Leach-Bliley Act (GLBA). DLP решението, също така, трябва да има възможността да персонализира тези политики или да изгражда политики за конкретен потребител изцяло в зависимост от нуждите му.
>> Интеграция на справочни услуги (Directory Services Integration) – позволява на DLP конзолата да свързва мрежовите адреси с наименованията на крайните потребители.
>> Управление на работния процес (Workflow management) – Най-пълните DLP решения осигуряват възможността да се конфигурира овладяването на работен инцидент, позволявайки на централната система за управление да насочи специфичните проблеми към съответните страни въз основа на критерии като нарушаване на модела, тежестта, потребителски неизправности и други подобни.
>> Архивиране и Възстановяване (Backup & Restore) – Функцията за архивиране и възстановяване позволява опазването на политики и други конфигурационни настройки.
>> Справки (Reporting) – предоставят се възможности за извеждане на справки, генерирани от системата, както и от външни инструменти.
Следва продължение
Внедряването на DLP решение е сложно начинание, което изисква значителна предварителна подготовка. В брой 9 на списание CIO ще се спрем на някои важни съображения за всеки етап от процеса на внедряване. 
Инж. Йордан Илиев е ръководител отдел “Информационен” в СБАЛ по Онкология ЕАД.  На тази позиция е от март 2010 г. Преди това е работил като системен администратор в Политрансфер ООД (Благоевград) и в международната компания Инфотехника България, където участва в работата по няколко големи проекта за държавни организации във Франция. Завършил е ТУ – София, от където има специалност “машинен инженер”, а към момента завършва обучението си по магистърска програма „Защита на информацията в компютърни системи и мрежи”, към ФМИ на СУ. Инж. Илиев е и носител на първа награда в конкурса на сп. CIO за най-добра публикация на тема „Ключовите ИТ за корпоративния сектор'2011". 
Източници:
1. Trend Micro, http://us.trendmicro.com;
2. ISACA, http://www.isaca.org;
3. SC Magazine, http://www.scmagazineus.com/;
4. Wikipedia, http://en.wikipedia.org/;


X