Οι νέες απειλές και οι εξελίξεις στις τεχνολογικές τάσεις του mobile και του cloud, ώθησαν στην περεταίρω εξέλιξη των τεχνολογιών Πρόληψης Απώλειας Δεδομένων ή αλλιώς DLP (Data Loss Prevention), όπως είναι ευρέως γνωστή η συγκεκριμένη έννοια. Τι πρέπει λοιπόν να γνωρίζουμε πριν πάρουμε αποφάσεις σχετικά την τεχνολογία DLP.
Του Δημήτρη Θωμαδάκη
Το DLP είναι φυσικά μια ώριμη τεχνολογία και πάντα αποτελεί ένα κρίσιμο θέμα για μία επιχείρηση ή οργανισμό. Υπάρχει εδώ και χρόνια, ίσως όχι τόσο πολύ ευρέως διαδεδομένη όπως άλλες παραδοσιακές λύσεις όπως τα firewall, αλλά και πάλι είναι παρούσα σε πολλούς σχεδιασμούς ασφαλείας. Όλο και περισσότερο τα τελευταία χρόνια, εμφανίζεται στο πεδίο δράσης των επαγγελματιών ασφάλειας πληροφοριών, που επιδιώκουν να διασφαλίσουν πολύτιμα δεδομένα ενάντια στις επιθέσεις των κακόβουλων hacker.
Στην πάροδο του χρόνου, το DLP ως τεχνολογία εξελίσσεται και αναπτύσσεται ανάλογα την εποχή. Έπρεπε φυσικά και αυτό ως τεχνολογία να προσαρμοστεί, καθώς τα δίκτυα άλλαξαν και ειδικά σήμερα όπου όλο και περισσότεροι εργαζόμενοι χρησιμοποιούν προσωπικές φορητές συσκευές, αλλά και το cloud για να εργαστούν. Ο τρόπος και ο προορισμός που τα δεδομένα της επιχείρησης “ταξιδεύουν”, έχει αλλάξει ριζικά, γι ’αυτό και η ενημέρωση σχετικά με τις εξελίξεις στο DLP και που πιθανόν οδεύει, είναι ιδιαίτερα χρήσιμη. Παρακάτω, θα ρίξουμε μια ενδελεχή ματιά στο cloud DLP, στα πλεονεκτήματα και τις προκλήσεις που υπάρχουν, ενώ θα ακολουθήσουν συμβουλές διαχείρισης και βέλτιστων επιλογών.
Που οδεύει το DLP και πως πρέπει να προσαρμοστούμε
Την περασμένη δεκαετία, το DLP είχε καθιερωθεί ως όρος στην επιχειρηματική ασφάλεια και πλέον έχει καταξιωθεί ως αξιόπιστη λύση ελέγχου ασφαλείας, στη μάχη κατά των ψηφιακών απειλών.
Ένα από τα πράγματα που εμπόδιζαν την ευρεία αποδοχή του DLP στο παρελθόν, ήταν η περιπλοκότητα του σχεδιασμού, της υλοποίησης και της επιτήρησης και όλα αυτά πριν το mobile computing και τις υπηρεσίες cloud. Η απουσία επεκτασιμότητας και γνώσης του mobile και cloud computing, μπορεί να συνεχίσει να επηρεάζει αρνητικά την αποτελεσματικότητα του DLP. Πολλοί επαγγελματίες πληροφορικής και ασφαλείας τα τελευταία χρόνια προσπάθησαν να υλοποιήσουν το DLP ως μέρος της συνολικής στρατηγικής endpoint προστασίας, αλλά συνάντησαν σημαντικές δυσκολίες στην εγκατάσταση του, καθώς παρήγαγε πολλά false positives, ή ήταν απλά πολύ ακριβό στην αδειοδότηση και εγκατάσταση σε όλα τα συστήματα της επιχείρησης που χρειάζονταν προστασία. Το DLP μπορεί να παρέχει πολύ καλή σχέση τιμής / απόδοσης, αλλά με τι κόστος;
Στα ενδότερα του cloud DLP και οι προκλήσεις του σήμερα
Το DLP, όπως προαναφέραμε αποτελεί ένα κρίσιμο θέμα για τις επιχειρήσεις. Αν και υπήρχε εδώ και πολλά χρόνια ως τάση, πολλές εταιρείες μόλις πρόσφατα προσέγγισαν με ωριμότητα την συγκεκριμένη τεχνολογία και μπήκαν στη διαδικασία να σκεφτούν την υλοποίηση της. Ακόμα πιο ωφέλιμη για τις επιχειρήσεις σήμερα είναι η έλευση διαφόρων επιλογών DLP στο cloud, που προσφέρει περισσότερες ευκαιρίες υλοποίησης με μεγαλύτερη ταχύτητα και περισσότερες δυνατότητες επέκτασης των εταιρικών πολιτικών DLP. Οι επιχειρήσεις σήμερα πρέπει να σκεφτούν σοβαρά τις επιλογές DLP που έχουν, ώστε να αποφύγουν τα προβλήματα υλοποίησης και τις αυξανόμενες απειλές στα IT περιβάλλοντα τους.
Κάποιες υπηρεσίες DLP που προσφέρονται σήμερα, είναι πλήρως βασισμένες στο cloud. Σε αυτές τις υπηρεσίες, οι εταιρείες πληρώνουν συνδρομή ανά χρήστη και όλες οι μεταφορές δεδομένων παρακολουθούνται από τον πάροχο cloud. Το κυριότερο θέμα με αυτή την υπηρεσία είναι ότι τα ευαίσθητα δεδομένα επεξεργάζονται στο cloud και πολλές εταιρείες δεν είναι διατεθειμένες να βγάλουν τα πλέον ευαίσθητα δεδομένα τους, εκτός τοπικού δικτύου.
Για να είναι αποτελεσματικό το DLP, πρέπει να καλύπτει όλη την εξερχόμενη Διαδικτυακή κίνηση, σε όλες τις συσκευές, μαζί με τα αρχεία που ανεβαίνουν στο OneDrive, στο Google Drive, στο DropBox, κ.ο.κ. Ευτυχώς, πολλές υπηρεσίες cloud DLP προσφέρουν έλεγχο όλων των αρχείων που ανεβαίνουν σε τέτοιες σελίδες file sharing. Μία υπηρεσία DLP συνήθως έχει τρείς προκαθορισμένες αποκρίσεις σε περίπτωση που ο χρήστης προσπαθήσει να στείλει ή να ανεβάσει ευαίσθητα δεδομένα:
- Να στείλει μία ειδοποίηση στον διαχειριστή συστήματος
- Να κρυπτογραφήσει τα δεδομένα πριν αποσταλούν
- Να αποτρέψει την αποστολή των δεδομένων
Αν και το DLP είναι εξαιρετικό στη θεωρία, στην πράξη παρουσιάζει αρκετές δυσκολίες στο να υλοποιηθεί επιτυχώς και οι προσδοκίες μίας επιχείρησης για τις δυνατότητες του θα πρέπει να μετριάζονται. Το DLP έχει τόση δυναμική όσο οι κανόνες που ορίζει η εταιρεία, αλλά και όσο οι υπηρεσίες που μπορεί να ελέγξει. Για παράδειγμα, δεν είναι χρήσιμη μία υπηρεσία DLP που ελέγχει εταιρικές υπηρεσίες email και cloud, αν οι χρήστες μπορούν απλά να αποθηκεύσουν δεδομένα από το δίκτυο σε ένα USB stick.
Ένα κύριο πρόβλημα με το cloud DLP είναι το ίδιο θέμα που είχε πάντα το DLP. Πως ορίζεις κανόνες για να μπλοκάρουν περιεχόμενο που εξέρχεται από το δίκτυο, περιορίζοντας παράλληλα τα false positives; Το DLP πρέπει να προσφέρει διαφάνεια στους εταιρικούς χρήστες και να επεμβαίνει μόνο όταν κάποιος χρήστης κάνει λάθος ή προσπαθήσει επίτηδες να στείλει δεδομένα εκτός του δικτύου.
Άλλο ένα μεγάλο πρόβλημα με το cloud DLP -και το DLP συνολικά- είναι ότι σε πολλές περιπτώσεις παρακάμπτεται εύκολα. Για παράδειγμα, οι χρήστες μπορούν εύκολα να κάνουν τα παρακάτω ώστε να παρακάμψουν την προστασία του DLP:
- Να στείλουν δεδομένα ως κρυπτογραφημένο συμπιεσμένο αρχείο ZIP
- Να πάρουν screenshot των δεδομένων και να εισάγουν την εικόνα σε έγγραφο Word
- Να χρησιμοποιήσουν αρχεία μεγάλου μεγέθους που το DLP δεν μπορεί να ελέγξει
- Να αλλάξουν τη γραμματοσειρά των δεδομένων σε Wingdings, ώστε τα γράμματα να αντικατασταθούν με σύμβολα
Αν και οι παραπάνω περιπτώσεις προϋποθέτουν ότι ο χρήστης προσπαθεί εσκεμμένα να αποφύγει τους κανόνες του DLP, είναι μία σωστή υπόθεση. Ένα μεγάλο μέρος των επιθέσεων έχουν τουλάχιστον κάποια στοιχεία εμπλοκής εκ των έσω, ή εναλλακτικά κάποιος που επιτίθεται εξωτερικά, μπορεί να έχει υποκλέψει τα στοιχεία ενός εργαζομένου, ώστε να εξάγει δεδομένα. Αν αυτός ο υπάλληλος προσπαθήσει να παρακάμψει τους κανόνες του DLP, και γνωρίζει πως λειτουργούν οι κανόνες, είναι εύκολο να συντάξει ένα email που θα τους παρακάμψει.
Βέλτιστη διαχείριση
Ένα τελευταίο θέμα του DLP αφορά τη διαχείριση των κανόνων. Στην αρχική φάση, οι κανόνες πρέπει να οριστούν και να δοκιμαστούν. Η ευθύνη για τη διαχείριση του DLP πρέπει να ανατίθεται σε κάποιον υπάλληλο (ή ομάδα υπαλλήλων) που θα επιβλέπουν διαρκώς τις πολιτικές. Αυτή η ισορροπία εγγυάται ότι μπλοκάρεται κάθε απόπειρα να αποσταλούν ευαίσθητα και εμπιστευτικά δεδομένα, χωρίς όμως να μπλοκάρεται η νόμιμη εταιρική κίνηση δεδομένων. Σε πολλές εταιρείες, αυτή η ισορροπία μπορεί να αποδειχτεί δύσκολη, απαιτώντας συνεχή αξιολόγηση κανόνων, και είναι σχεδόν βέβαιο ότι θα οδηγήσει στο μπλοκάρισμα νόμιμων email, με ότι συνεπάγεται αυτό.
Ποιος χρειάζεται πραγματικά το DLP;
Όσο σημαντικό και αν είναι το DLP σε κάθε προσπάθεια προστασίας δεδομένων, δε σημαίνει ότι αποτελεί το απόλυτο εργαλείο για κάθε επιχείρηση. Πολλές εταιρείες αγοράζουν και υλοποιούν αυτές τις τεχνολογίες, όμως δεν απολαμβάνουν την αξία τους, εξ αιτίας λανθασμένων επιλογών όσον αφορά τα εργαλεία, την υλοποίηση, και τις ίδιες τις προσδοκίες τους.
Το πιο σημαντικό που πρέπει να θυμάστε, είναι ότι το DLP αποτελεί ένα εργαλείο μείωσης κινδύνου, όχι ένα 100 % αλάθητο σύστημα ελέγχου ασφαλείας. Αναζητά μόνο τα δεδομένα τα οποία του λέτε εσείς, στις τοποθεσίες που του ορίζετε, και προσπερνάει τελείως πολλές κακόβουλες δραστηριότητες, αν οι δράστες πάρουν τις απαραίτητες προφυλάξεις. Το DLP δεν θα σας ενημερώσει για κάποιο νέο προϊόν που αναπτύσσεται από κάποιο τμήμα της επιχείρησης, για το οποίο δεν έχει ενημερωθεί το εργαλείο DLP, ή αν αυτό δεν χρησιμοποιεί κοινές λέξεις κλειδιά που να είναι εύκολα ανιχνεύσιμες. Δεν μπορεί να ελέγξει κάποιον server αρχείων, αν ξεχάσατε να τον ορίσετε, και γενικά κανένα προϊόν DLP που κυκλοφορεί σήμερα δεν αποτελεί πανάκεια για την ανίχνευση αρχείων που αποστέλλονται με προσαρμοσμένη κρυπτογράφηση, στον έξω κόσμο, μέσω ενός μη τυποποιημένου συνδυασμού δικτυακών θυρών και πρωτοκόλλων.
Ένα από τα πιο σημαντικά πράγματα που πρέπει να γνωρίζετε πριν υιοθετήσετε το DLP είναι τι είδους δεδομένα θέλετε να προστατέψετε. Αυτή η τεχνολογία είναι βελτιστοποιημένη για να σας βοηθάει καλύτερα όταν μπορείτε να ορίζετε τα δεδομένα με τεχνικούς όρους και αποτυγχάνει εύκολα όταν δεν γνωρίζετε τι ακριβώς ψάχνετε. Αν και οι τεχνικές στατιστικής ανάλυσης αρχίζουν να εμφανίζονται στα προϊόντα, αυτό το είδος ανάλυσης περιεχομένου είναι ακόμα σχετικά νέο και δεν έχει δοκιμαστεί στην παραγωγή με πολλούς πελάτες. Το DLP λειτουργεί σωστά όταν τα δεδομένα σας έχουν προκαθορισμένο σχέδιο, όταν είναι αποθηκευμένα σε βάσεις δεδομένων, ή σε αναγνωρισμένα έγγραφα (και αρχεία, όπως προγραμματιστικός κώδικας). Είναι λιγότερο αποτελεσματικό όταν θέλετε να προστατέψετε γενικευμένη πνευματική ιδιοκτησία, η οποία δεν έχει κάποια πηγή που μπορείτε να προσδιορίσετε.
Το DLP τείνει να είναι πιο χρήσιμο σε εταιρείες με ρυθμιζόμενα δεδομένα (π.χ. στοιχεία πιστωτικών καρτών), πληροφορίες προσωπικής ταυτοποίησης των πελατών, ή πνευματική ιδιοκτησία. Αγορές όπως οικονομικές υπηρεσίες, υγειονομική περίθαλψη, βιομηχανίες υψηλής τεχνολογίας, λιανεμπόριο, φαρμακευτική και μηχανική, είναι καλά παραδείγματα. Όπως προαναφέραμε, είναι ιδιαίτερα χρήσιμο όταν υπάρχει συμμόρφωση, αν και γενικά δεν απαιτείται. Το DLP σας επιτρέπει να παρέχετε τεχνικό έλεγχο σε ελεγκτές ή εκτιμητές. Εσείς ελέγχετε που βρίσκονται (ή δε βρίσκονται) τα ρυθμιζόμενα δεδομένα στην εταιρεία σας, και μπορείτε να κάνετε χρήση αυτού για να μειώσετε σημαντικά το εύρος του ελέγχου.
Έσω έτοιμοι για DLP;
Πόσο είναι η εταιρεία σας έτοιμη να υποδεχτεί το DLP; Γνωρίζετε τι θέλετε να προστατέψετε; Μπορείτε να αντιστοιχήσετε αυτές τις επιθυμίες σε τεχνικούς κανόνες που υλοποιούνται με ένα εργαλείο; Έχετε τη θέληση να παρακολουθείτε υπαλλήλους και εν δυνάμει να μπλοκάρετε δραστηριότητες που παραβιάζουν τις πολιτικές σας; Γνωρίζετε το περιβάλλον σας αρκετά καλά ώστε να ελέγχετε επαρκώς τον αποθηκευτικό χώρο των αρχείων ή ακόμα και να αποκτήσετε πρόσβαση στις πηγές των δεδομένων; Είναι οι κεντρικοί servers σας αρκετά καθαροί ώστε να αντιστοιχήσετε χρήστες σε συγκεκριμένες δραστηριότητες; Ξέρει η διοίκηση της εταιρείας ότι αν και το DLP μειώνει σημαντικά τον κίνδυνο για διαφόρων ειδών απώλεια δεδομένων, προφανώς δεν μπορεί να σταματήσει τα πάντα;
Όλες αυτές οι ερωτήσεις θα πρέπει να απαντηθούν προκειμένου να αξιολογηθεί το επίπεδο ετοιμότητας για το DLP.
Η έλλειψη προετοιμασίας και οι λανθασμένες προσδοκίες μπορούν να “σκοτώσουν” γρήγορα οποιοδήποτε έργο DLP. Ακόμα και κοινοί τύποι δεδομένων χρησιμοποιούνται με εκπληκτικά ποικίλους τρόπους σε διάφορες εταιρείες. Αυτό είναι πολύ διαφορετικό από την ασφάλεια δικτύων ή endpoint, όπου γενικά πολλές πρακτικές δεν διαφέρουν τόσο πολύ μεταξύ εταιρειών.
Το DLP δεν είναι σήμερα ιδιαίτερα περίπλοκη τεχνολογία και μπορεί να προσφέρει απίστευτη αξία, αλλά μόνο αν είστε έτοιμοι όχι μόνο να κατανοήσετε πως χρησιμοποιούνται τα προστατευμένα δεδομένα εντός της επιχείρησης σας, αλλά επίσης να σχεδιάζετε τις πολιτικές και διαδικασίες σας με γνώμονα αυτό.