DLP

استراتژی های DLP در جلوگیری از نشت اطلاعات سازمانی ( DATA LOSS PREVENTION )

راهنمای قطعی برای توسعه و استقرار استراتژی پیشگیری از دست دادن داده ها

پیشگیری از دست دادن داده ها یا جلوگیری از نشت اطلاعات (DLP) (DATA LOSS PREVENTION) همواره نگرانی های زیادی برای کسب و کارها و سازمان های بزرگ بوده است. در سال های گذشته، تمرکز بر حفاظت از اسناد فیزیکی یک امر مهم محسوب نمیشد برای همین این امر می توانست منجر به نفوذ فضای فیزیکی یا سرقت اسناد در سطوح مختلف شبکه باشد .

در حالیکه تاکتیک های اشتباه عدم توجه به سرقت اسناد ممکن است امروزه ادامه دار باشند ، رشد اینترنت نیز موجب افزایش احتمال سرقت داده ها شده است. به طور خلاصه، گسترش کانال های داده و ارتباطات کاری در سازمان های مختلف فرآیند نشت اطلاعات را آسان تر ساخته است.

DLP یا جلوگیری از نشت اطلاعات دارای یک شهرت بسیار بزرگ و چند ساله است .  اگر سازمان ها بر رویکرد مترقی تمرکز کنند تکنولوژی DLP یا جلوگیری از نشت اطلاعات می تواند یک فرآیند قابل کنترل و پیشرفته باشد.

 به طور خلاصه : “استقرار تکنولوژی (DLP (DATA LOSS PREVENTION  یا جلوگیری از نشت اطلاعات یک موفقیت تاکتیکی (یک رویکرد سریع) برای جلوگیری از ناکامی ناشی از پیچیدگی و سیاست های سازمانی است.”

در این مقاله ما در مورد مفهوم پیشگیری از دست دادن داده ها یاد می گیریم :

  • چرا DLP لازم است

  • انواع مختلف DLP و انواع عملیات آن چه هستند

  • چه برنامه ریزی و طراحی استراتژی برای DLP نیاز است

  • چه سناریوهای گسترشی امکانپذیر است

  • گردش کار و بهترین روش ها برای عملیات DLP چیست

بررسی اجمالی DATA LOSS PREVENTION یا جلوگیری از نشت اطلاعات

هر سازمانی دارای مخاطرات از دست دادن اطلاعات بحرانی، محرمانه و بسیار محدود یا محدود است لذا ترس در از دست دادن داده ها برای یک سازمان در حال گسترش است . امروزه اگر اطلاعات بحرانی  سازمان ها در خارج از محل خود میزبانی شوند ترجیح مدیران آن بر روی تکنولوژی مدل ابری است . برای رفع این ترس و یا مسئله ای که سازمان ها با آن مواجه هستند، یک مفهوم امنیتی به نام “پیشگیری از دست دادن اطلاعات” (DATA LOSS PREVENTION) تکامل یافته است و در غالب محصولات مختلف در بازار عرضه می شود. معروفترین آنها Symantec، McAfee، Web-sense و غیره است. طراحی محصولات DLP بر این اساس است تا نشت اطلاعات را شناسایی و جلوگیری کند. این محصولات برای جلوگیری از تمام کانال هایی که داده ها می توانند از بین بروند، استفاده می شود.

داده ها در رده های مختلف در شبکه ها ، در حال استفاده و حمل و نقل طبقه بندی شده هستند . ما در مورد این دسته بندی ها بعدا در این مقاله بحث خواهیم کرد. یک مدیر موفق قبل از شروع به یادگیری مقاله، باید در نظر داشته باشد که اطلاعات از داخل سازمان نشت می کند.

انواع داده ها برای محافظت از نشت اطلاعات

اول از همه ما باید بدانیم که چه نوع اطلاعاتی مورد نیاز است که محافظت شوند. در DLP داده ها به سه دسته تقسیم می شوند:

  1. داده ها در حال حرکت: داده هایی که باید هنگام حمل و نقل در کابل های شبکه محافظت شوند. این شامل کانال هایی مانند

HTTP/S  ، FTP، IM، P2P، SMTP می باشد.

  1. داده های استفاده شده: داده هایی که روی ایستگاه کاری کاربر نهایی قرار می گیرند و نیاز به محافظت در برابر دستگاه های رسانه ی قابل جابجایی مانند USB، DVD، CD و غیره را دارند و باید تحت این رده قرار گیرند.

  2. داده ها در حالت سکون : داده هایی که در فایل سرورها و DB قرار می گیرند و باید تحت نظارت قرار بگیرند، در این دسته قرار می گیرند.

استراتژی DLP ( جلوگیری از نشت اطلاعات )

محصولات DLP دارای سیاست های داخلی هستند که در حال حاضر با استانداردهای انطباق مانند PCI، HIPPA، SOX و غیره سازگاری دارند. سازمان ها فقط نیاز به تنظیم این خط مشی ها را دارند. اما مهمترین مسئله در استراتژی DLP شناسایی نوع داده ها برای محافظت است ، و دلیل آن این است که اگر متخصصان مربوطه به سادگی DLP را در سراسر سازمان توسعه دهند ممکن است نتیجه گیری های غلطی داشته باشند . بخش زیر بخش تمرین داده ها را پوشش می دهد.

مقاله سیستم های جلوگیری از نفوذ

شناسایی اطلاعات حساس

اولین موردی که هر سازمان باید انجام دهد شناسایی تمام داده های محرمانه، محدود و بسیار محدود است در کل سازمان و در سراسر سه کانال موجود می باشد . به عنوان مثال داده های در حال حمل و نقل می تواند در فروشگاه و در حال استفاده باشد . محصولات DLP با امضاها کار می کنند تا هرگونه اطلاعات محدود شده را زمانی که در حال نقل و انتقال هستند را شناسایی کنند . برای شناسایی داده های حیاتی و توسعه امضا، یک اصطلاح در محصولات DLP به نام اثر انگشت شناخته می شود. داده ها در اشکال مختلف در مکان های مختلف در یک سازمان ذخیره می شود و نیاز به شناسایی و اثر انگشت دارد. محصولات مختلف همراه با یک موتور کشف است که تمام داده ها را ردیابی می کند، آن را نشان می دهد و آن را در دسترس قرار می دهد و هر چند یک رابط بصری است اما اجازه جستجو سریع در داده ها برای پیدا کردن حساسیت و جزئیات مالکیت را می دهد .

تعریف سیاست های DLP یا جلوگیری از نشت اطلاعات

هنگامی که اطلاعات حساس کشف می شود، یک سازمان باید سیاست هایی برای محافظت از اطلاعات حساس ایجاد کند. هر سیاست باید شامل برخی از قوانین، مانند حفاظت از شماره کارت اعتباری، PII و شماره های امنیتی و اجتماعی باشد. اگر یک سازمان برای محافظت از اطلاعات حساس از تکنولوژی DLP پشتیبانی نمی کند، باید قوانین با استفاده از عبارات باقاعده (regex) ایجاد کنند . لازم به ذکر است که سیاست های DLP در این مرحله تنها باید تعریف و نه اعمال شود.

تعیین جریان اطلاعات

شناسایی جریان اطلاعات کسب و کار برای سازمان ها بسیار مهم است. یک سازمان باید پرسشنامه را برای شناسایی و استخراج تمام اطلاعات مفید آماده کند. پرسشنامه نمونه ای در زیر ارائه شده است :

  • منبع و مقصد داده های مشخص شده چه باید باشد ؟

  • تمامی نقاط خروجی در شبکه چیست؟

  • چه فرایندهایی برای کنترل جریان اطلاعات استفاده می شود ؟

شناسایی صاحبان کسب و کار داده ها

شناسایی صاحبان کسب و کار داده ها نیز یک گام مهم در استراتژی برنامه ریزی DLP است، بنابراین یک لیست باید برای ارسال اطلاعیه ها در صورت هرگونه اطلاعات حساس از دست رفته آماده شود.

سناریوهای استقرار جلوگیری از نشت اطلاعات

همانطور که پیشتر مورد بحث قرار گرفت، اطلاعات حساس به سه دسته تقسیم می شوند: اطلاعات در حال حرکت، اطلاعات در حالت سکون یا استراحت و داده های در حال استفاده . بعد از شناسایی داده های حساس و تعریف سیاست ها، مرحله بعد برای استقرار محصول DLP تنظیم می شود. بخش زیر بخشنامه DLP برای هر سه نوع را پوشش می دهد:

داده ها در حال حرکت: داده هایی که باید در هنگام حمل و نقل محافظت شوند، به عنوان مثال داده های در حال انتقال در کابل های شبکه . این شامل کانال هایی مانند

HTTP / S، FTP، IM، P2P، SMTP و غیره می باشد . نمودار زیر نشان دهنده اجرای معمول DLP است.

DLP

در نمودار بالا مشخص است که DLP یا جلوگیری از نشت اطلاعات در حالت خطی قرار نمی گیرد، بلکه بر روی یک span port قرار می گیرد. این مسئله بسیار مهم است که دستگاه یا نرم افزار حفاظتی DLP  به طور مستقیم با ترافیک شبکه درگیر نشود  چرا که هر سازمان باید با مصرف کمترین منابع استارت شود و در صورت قرار دادن خطی، تعداد زیادی از false positives  به دست می آید. علاوه بر این، اگر دستگاه DLP قرار داده شود و دستگاه Inline خراب شود، همیشه ترس از قطع شبکه وجود دارد. بنابراین بهترین روش این است که ابتدا دستگاه DLP را در یک span port قرار دهیم و بعد از آن که استراتژی DLP تکامل پیدا کرد ، سپس به حالت خطی تبدیل شود .

برای کاهش ریسک دوم، دو گزینه وجود دارد. ابتدا DLP را در حالت دسترسی به بالا قرار دهید و دوم، محصول DLP در حالت Bypass را پیکربندی کنید این فرآیند در صورتی که محصول DLP پایین باشد ترافیک را برای جلوگیری از محصول DLP درون خطی فعال می کند .

  • داده های در حال استفاده : داده هایی که روی ایستگاه کاری کاربر نهایی قرار می گیرند و نیاز به محافظت در برابر دستگاه های رسانه ی قابل جابجایی مانند USB، DVD، CD، و غیره قرار دارند تحت این رده قرار می گیرند. در Data in Use، عامل در هر دستگاه نقطه پایانی مانند لپ تاپ، دسکتاپ و غیره نصب شده است که با خط مشی بارگذاری شده است و توسط سرور مدیریت متمرکز DLP اداره می شود. Agent ها می توانند از طریق راه اندازی استراتژی هایی مانند SMS، GPO و غیره توزیع شوند. از آنجا که یک عامل DLP در نقطه پایانی نیاز به ارتباط با سرور مدیریت مرکزی DLP جهت گزارش حوادث و دریافت سیاست های تجدید شده را دارد ، پورت ارتباطی باید به عنوان یک استثنا در لیست فایروال محلی اضافه شود.

  • داده ها در فروشگاه ها : داده هایی که در سرورهای فایل و DB قرار می گیرند و باید تحت نظارت قرار بگیرند تحت این رده قرار می گیرند. تمام داده هایی که در سرورها یا دستگاه های ذخیره سازی قرار می گیرند با استفاده از یک عامل خزنده DLP crawling می شوند. پس از خزیدن، داده ها دارای اثر انگشت هستند تا ببینند که داده های غیر ساختاری وجود دارد یا خیر.

عملیات DLP در جلوگیری از نشت اطلاعات

استقرار جزئیات امنیتی در صورت عدم نظارت قابل استفاده است و محصول DLP هیچ استثنایی ندارد. در زیر یک مرور کلی از عملکرد DLP سازمان می باشد. اول از همه، محصول DLP باید با مجموعه ای از سیاست های مناسب بر روی داده های مشخص شده بین داده های در حالت سکون ، در حال حرکت یا در دسته های حمل و نقل ایجاد شود. من سعی کردم عملیات DLP را به سه مرحله تقسیم کنم: مرحله فرسایش، مرحله گزارش دهی-تشدید و مرحله تنظیم. بیایید جزئیات این مراحل را درک کنیم.

DLP

  • مرحله Triaging : در این مرحله، تیم عملیات امنیتی، از هشدارها خارج می شود یا به وسیله سیاست هایی که در محصول DLP ایجاد شده، نظارت می کند. همانطور که قبلا ذکر شد، ابتدا DLP باید در حالت مشاهده قرار گیرد تا همه false positive ها را ببیند و حذف کند . بنابراین وقتی تیم امنیتی هشدار را دریافت می کند، این رویداد را بر علیه شرایط مختلف مانند موارد گفته شده در زیر triage می کند :

  • نوع داده ای که نشت کرده است

  • از طریق آن کانال نشت کرده است

  • هر پیکربندی خط مشی غلط

  • و غیره

 پس از انجام triaging ، تیم امنیتی هشدار ها را به عنوان یک حادثه اعلام می کند و فاز طبقه بندی حادثه را آغاز و با حوادث خطر پردازش می کند. مشخصات خطر یک صفحه مبتنی بر متن است که حاوی اطلاعات مهم در مورد حوادثی مانند نوع سیاست، نوع داده، نوع کانال، نوع شدت (کم، متوسط، زیاد) و غیره است. پس از پردازش و به روز رسانی مشخصات ریسک، تیم امنیتی این حادثه را به تیم مربوطه اختصاص می دهد.

  • گزارش حوادث و مرحله تشدید : در این مرحله، تیم امنیتی این حادثه را به تیم مربوطه اختصاص می دهد. اول، تیم امنیتی با تیم مربوطه مشورت خواهد کرد تا بررسی کند که آیا از دست دادن داده های موجود خطر قابل قبول تجاری است یا نه. این امر می تواند به دلایلی نظیر تغییر در سیاست های پشت صحنه و غیره باشد. اگر بله، این حادثه یک false positive در نظر گرفته می شود و به مرحله تنظیم منتقل می شود. اگر نه، تیم امنیتی این حادثه را همراه با مدارک مربوط به تیم مربوطه افزایش خواهد داد. پس از تشدید شدن، تیم امنیتی گزارش را به عنوان بخشی از تحویل ماهانه یا برای ممیزی آماده می کند و پس از آن، تیم امنیتی رویداد را بسته و بایگانی می کند. بایگانی مهم است، زیرا برخی موارد آن جهت تحقیقات قانونی ضروری است.

  • فاز تنظیم : در این مرحله، تمام حوادثی که به نظر false positive محسوب می شوند، در اینجا به تصویب می رسد. مسئولیت تیم امنیت این است که خط مشی ها را به عنوان یک نتیجه کلی از برخی تنظیمات اشتباه که قبلا اعمال شده یا به علت تغییر کسب و کار تغییر داده شده است را جمع آوری و تغییرات را به محصول DLP به عنوان یک نسخه پیشنهادی اعمال کند. این فرآیند برای بررسی اینکه آیا تغییرات اعمال شده خوب است یا نه ، آیا حادثه تکرار می شود ؟ ، آیا هشدار ایجاد شده یا نه بسیار حائز اهمیت می باشد. اگر پاسخ نه باشد ، پس از آن تغییرات نهایی اعمال می شود، اما اگر بله باشد ، تنظیمات خوب در سیاست هایی که در محصول DLP تنظیم شده است، مورد نیاز است.

لازم به ذکر است که در DLP هیچ مرحله حل و فصل حادثه ای وجود ندارد، زیرا هر حادثه گزارش شده به معنای از دست رفتن اطلاعات است (به شرط آنکه false positive نباشد) .

بهترین روش برای پیاده سازی DLP موفق

  • در زیر برخی از بهترین شیوه هایی گرآوری شده که باید برای به دست آوردن موفقیت در پیاده سازی DLP ( پیش از پیاده سازی و پس از پیاده سازی ) در آن اتخاذ شود.

  • قبل از انتخاب یک محصول DLP، سازمان باید نیاز تجاری را برای DLP مشخص کند.

  • سازمانها باید داده های حساس قبل از استقرار DLP را شناسایی کنند.

  • هنگام انتخاب یک محصول DLP، سازمان باید بررسی کند که آیا محصول DLP از فرمت های داده ای پشتیبانی می کند که در آن داده ها در محیط خود ذخیره می شوند.

  • بعد از انتخاب یک محصول DLP، پیاده سازی DLP باید با حداقل مبنایی برای رسیدگی به اعتبارات اشتباه شروع شود و پایه باید با شناسایی بیشتر اطلاعات مهم یا حساس افزایش یابد.

  • عملیات DLP باید در برطرف کردن اثرات مخرب و تنظیم مناسب سیاست های DLP موثر باشد.

  • ماتریس RACI باید تنظیم شود تا مسئولیت های سیاست های DLP، اجرا و نیازها را برآورده سازد.

  • به روز رسانی منظم از مخاطرات و یک مستندات کامل از حوادث DLP.

نتیجه

DLP یک تکنولوژی دفاعی و پیشگیرانه بسیار خوبی است که اگر به درستی اجرا شود، مطمئنا برای سازمان ها در راستای حفاظت از داده های خود یا داده های مشتریان ، نفع بسیار زیادی دارد .

 More

تهیه کننده : سید محمد اسماعیلی

 

نوشته های مرتبط

مدیریت دستگاه های IOT

۰۵

آبان
همه موضوعات

مدیریت از راه دور دستگاه های IOT با استفاده از ابزار Upswift

انتشار محتوای سایت ایران سایبر فقط با ذکر منبع رسمی مجاز است اگر فقط از یک دستگاه IoT استفاده می کنید و درحال توسعه پروژه های خود هستید، به روزرسانی و مدیریت آن سریع و آسان است. اما اگر ۱۰ ، ۵۰ یا ۱۰۰ دستگاه داشته باشید چه می کنید؟ مدیریت همه آنها ناگهان به یک دردسر […]

رکوردهای DNS

۱۹

مهر
همه موضوعات

مدیریت رکوردهای DNS با DNStable

یافتن اطلاعات در مورد سوابق DNS فرآیندی است که متخصصان امنیتی با عملیات های خاصی انجام می دهند. این اطلاعات از چند طریق قابل دستیابی است که در این مقاله به آنها خواهیم پرداخت. مشکل این است که بیشتر ابزارها برای یافتن سوابق DNS به روز شده و استفاده از آنها دشوار است. بیشتر متخصصان با تجربه[…]