سیستم های جلوگیری از نشت اطلاعات (DLP)
موضوع حافظت از اطلاعات و داراییها در سازمانها و همچنین الزامات قانونی در مورد حفاظت از اطلاعات مشتریان و شرکای تجاری دو محور اصلی در بررسی نیازمندیهای امنیتی سازمانها به حساب میآید. اکثر سازمانها برخلاف تصور بیشتر از جهت رعایت الزامات قانونی مربوط به حفاظت از اطلاعات مشتریان و شرکای تجاری خود تحت فشار قرار دارند. معمولا سازمانها برای کاهش این فشارها به راهکارهایی مانند DLP روی آوردهاند.
مقررات عمومی حفاظت از داده اتحادیه اروپا ((The General Data Protection Regulation (GDPR) مقرراتی است که در مورد حفاظت از داده و محرمانگی همه اشخاص و خروج داده در اتحادیه اروپا و منطقه اقتصادی اروپا وضع شدهاست. آمارها نشان میدهد ارزش سهام این سازمان طی سال های گذشته در بازار بورس اروپا افزایش چشمگیری داشته است. این سازمان جریمهها و ضررهای سنگینی برابر با 4 تا 5 درصد درآمد سالیانه را برای سازمانهایی که امنیت اطلاعات مشتریان و شرکای تجاری خود تامین نکرده باشند، پیش بینی کرده است. این جریمهها به طور ویژه تری برای عدم رعایت اصول امنیت اطلاعات برای حوزه های پزشکی و مالی در نظر گرفته شده است.
Angel Serrano مدیر ارشد تجزیه و تحلیل ریسکهای پیشرفته و قواعد تحلیلی در شرکت PwC انگلستان در لندن، درمورد جایگاه GDPR میگوید: “تفاوت فضای امنیت اطلاعات در حوزههای مختلف قبل و بعد GDPR به شدت قابل احساس میباشد. در ادامه به این موضوع نیز اشاره میکند که: “حتی اگر در جایی یک دفتر کوچک داشته باشیم، بایستی از محرمانه بودن دادههای آن اطمینان حاصل کنیم.” او می گوید “تنها راه مدیریت موثر این چالشها، اتوماتیک کردن بررسیهاست.”
جلوگیری از نشت اطلاعات حساس
سیستم های DLP علاوه بر پیشگیری از نشت اطلاعات و جلوگیری از آسیب به آنها از ارسال اطلاعات حساس و طبقه بندی شده توسط کاربران غیرمجاز به خارج از شبکه سازمان نیز جلوگیری می کنند.
با وجود اینکه در سالهای نه چندان دور در سازمان ها جهت جلوگیری از کپی و ارسال اطلاعات حساس سازمان از برچسب هایی برای مسدودسازی پورت های USB استفاده می شده است. بدلیل مواجه بودن سازمان ها با چالش های پیچیده و پیشرفته برای حفاظت از اطلاعات حساس خود محصولات مدرن DLP بسیار پیچیده تر از این تفکر طراحی و پیاده سازی شده اند. این چالش ها شامل دسته بندی و برچسب گذاری فایل های دارای مالکیت معنوی و دارایی های تجاری حساس سازمان برای مشخص کردن سطوح محرمانگی دارایی ها می شود. سیستم های DLP به مدیران امکان می دهد تا با استفاده از قوانین کسب و کار خود نوع و نحوه انتقال اطلاعات توسط کاربران را بهتر و موثرتر مدیریت کنند.
با وجود موارد ذکر شده در مورد سیستم های DLP و طبق گفته Uzi Yair بنیانگذار تکنولوژی های GTB: در بازار هیچ توافقی رسمی در مورد اصطلاحات و قابلیت های مورد نیاز در سیستم های DLP وجود ندارد.
طبق گفته آقای یوزی: یک سیستم DLP، یک موجودیت تنها مانند گوجه فرنگی نیست، بلکه به مجموعه ای از محصولات GTB گفته می شود. سیستم های DLP علاوه بر استفاده از روش های مرسوم مانند اسکن نقاط پایانی و شبکه، فضاهای ذخیره سازی و ابزارهای کنترل گردش کار، شامل سرور برای مدیریت سیاست های مربوط به کنترل دسترسی اطلاعات (IRM) می باشد. این سرور از کنترل دسترسی مبتنی بر فایل برای مشخص کردن نوع دسترسی افراد استفاده می کند.
دلایل نشت و از دست دادن اطلاعات
داده های حساس سازمان می تواند از طریق کارمندان خود که بدون ملاحظه اطلاعات را به اشتراک می گذارند یا بدلیل اشتباهات و روش های نا امن مورد استفاده توسط شرکای تجاری به بیرون نشت کند.
پرونده Google-Uber یکی از موارد کلاسیک نشت اطلاعات می باشد. شرکت گوگل طی شکایتی اذعان داشته است که کارمند سابق شرکت تابعه و توسعه دهنده ی خودروهای بدون سرنشین اش قبل از اخراج 14000 فایل هایی با مالکیت معنوی گوگل را از این شرکت برای راه اندازی شرکت خودروهای بدون سرنشین (Otto) به سرقت برده است. این شرکت همان شرکتی است که بعدها توسط شرکت اوبر خریداری شد.
قانون حفظ حریم خصوصی HIPAA علاوه بر مراکز مالی و شرکت های بیمه شامل پزشکان و بیمارستان ها نیز می شود. با توجه به قوانین HIPAA پزشکان و بیمارستان ها مسئول حفظ حریم خصوصی شرکای تجاری خود از قبیل بیماران و پیمانکاران می باشند. این قانون برای عدم ایجاد حریم خصوصی مناسب برای حفاظت از اطلاعات شرکای تجاری توسط افراد و مراکز جریمه های میلیون دلاری در نظر گرفته است. افراد و مراکز در مواردی مانند افشای اطلاعات موجود در یک لپ تاپ گم شده یا دسترسی افراد غیر مجاز به اطلاعات سرورها بدلیل تنظیمات اشتباه و یا افشای اطلاعات امنیتی مربوط به قراردادهای قدیمی پیمان کاران که منجر به فاش شدن اطلاعات بیماران شود، مشمول این جریمه ها می شوند. توسعه دهندگان فن آوری های حوزه سلامت مانند Fitbit و HealthKit اپل که مستقیماً با اطلاعات سلامت کاربران سروکار دارند، بایستی با مد نظر قرار دادن این قوانین در نرم افزارهای خود حریم خصوصی مورد نیاز برای کاربران را تامین نمایند.
هزینه های مربوط به افشای اطلاعات
با توجه به تحقیقات موسسه Ponemon تحت حمایت بخش امنیت Intel، اتاق های فکر زیادی برای بهبود عملکرد کسب و کارهای مربوط به تکنولوژی های DLP وجود دارد. این موسسه میانگین هزینه
از دست دادن داده های دولتی برای هر رکورد اطلاعات را در حدود 80 دلار و بیش از 350 دلار برای داده های مربوط به حوزه سلامت برآورد کرده است.
چکیده ای از نکات مهم گزارش:
- سازمان های بزرگ در سراسر جهان روزانه به طور متوسط 20 بار نشت اطلاعات را تجربه می کنند.
- در این گزارش آمده است با وجود اینکه 83 درصد از سازمان ها اظهار کرده اند که در مجموعه های خود راه کارهای کاملی جهت پوشش نیازهای امنیتی خود مستقر کرده اند، با این وجود 33 درصد از آنها در این گزارشات اظهار کرده اند که هنوز از موضوع افشای اطلاعات رنج می برند. این در آمار در حالی است که ممکن است بسیاری از سازمان ها از نشت اطلاعات در سازمان شان بی اطلاع باشند.
- راه حل های DLP از متدهای متعددی مانند عبارات منظم، قوانین مبتنی بر فرهنگ لغت و داده های بدون ساختار جهت تشخیص حوادث استفاده می کنند. با این حال براساس این پزارش تنها 40 درصد از پاسخ دهندگان حداقل از یکی از این روش ها استفاده می کنند. از این 40 دصد هم فقط 5 درصد با این تکنولوژی چآشنا بودند.
- بسیاری از سازمان ها از راهکارهای DLP فقط برای برنامه هایی مانند ایمیل و برنامه های کاربردی مشابه استفاده می کنند. طبق گزارش معمولا از این ابزارها برای پوشش طیف وسیعی ازراه هایی که ممکن است داده ها نشت پیدا کنند، استفاده نمی شود .
- این گزارش همچنین نشان می دهد که افزایش موارد نقض اطلاعات که اصلی ترین نگرانی سازمان هاست به عنوان محرک اصلی رشد و توسعه راهکارهای DLP می باشد.
نظرسنجی اخیر Haystax بین 508 عضو انجمن امنیت اطلاعات در LinkedIn نشان می دهد که 49 درصد افراد شرکت کننده در نظر سنجی در مورد اینکه در 12 ماه گذشته تجربه حمله ای را داشته اند یا نه، هیچ نظری نداشته اند.
همچنین در این نظرسنجی هفتاد و چهار درصد از افراد اعلام کرده اند که دارایی های آنها در برابر تهدیدات داخلی آسیب پذیرند. این درحالی است که این آمار در مقایسه با نظرسنجی سال گذشته 7 درصد افزایش داشته است. علاوه بر این 56 درصد از افراد در این نظرسنجی اعلام کرده اند که تعداد زیادی حمله، به طور مکرر و از طریق شبکه داخلی انجام می شود. طبق این نظرسنجی 54 درصد افراددر مورد افزایش تعداد دستگاه هایی که به اطلاعات حساس سازمان دسترسی دارند، اتفاق نظر داشتند.
محصولات و فروشندگان DLP
طبق اطلاعات سایت گارتنر محصولات DLP کلا در دو کلاس دسته بندی می شوند:
- محصولات DLP حرفه ای معمولا در پکیج هایی به صورت Agent های نرم افزاری برای سیستم عامل های دسکتاپ و سرویس دهنده ها، سرورهای فیزیکی و مجازی برای نظارت بر تجهیزات شبکه و Agentها و یا applianceهای نرم افزار ی برای کشف داده ها ارایه می شوند. محصولات زیر از رهبران بازار در رده ی محصولات DLP می باشند.
- Symantec
- (Intel Security (MacAfee
- Digital Guardian
- (Forcepoint (Websense
- محصولات مجتمع DLP که قابلیت های محدودتری نسبت به دسته قبلی ارائه می دهند و بیشتر تمرکزشان بر روی امنیت نقطه پایانی است. این محصولات معمولا برای افزایش توان خود با دیگر محصولات امنیتی یا مجموعه ای از محصولات امنیتی ترکیب می شوند.
علاوه بر این مجموعه ای از پروژ های جدید توسعه سیستم های DLP با ظهور سرویس های ابری و مطرح شدن چالش های جدید برای پیشگیری از نشت اطلاعات که سیستم های قدیمی قادر به انجام آن نمی باشند، در حال انجام می باشد. استفاده روزافزون از خدمات ابری شخصی و سازمانی، استفاده از دستگاه های BYOD در سازمان ها و انواع مختلف سیستم عامل ها و همچنین کارمندانی که از Wi-Fi رایگان در مکان های عمومی استفاده می کنند از عوامل اصلی توسعه راهکارهای جدید می باشند.
طبق تحقیقات Netskopa کارگزار امنیت سرویس های ابری (CASB)، سازمان ها به طور متوسط از 1031 سرویس ابری استفاده می کنند. این تحقیق نشان می دهد که نیمی از کارکنان سازمان ها در کنار سرویس های ذخیره سازی ابری امنی که استفاده می کنند یک حساب کاربری در یک سرویس مشابه نیز دارند. طبق گزارش 66 درصد سرویس های ابری برای GDPR به اندازه کافی امن نمی باشند.
آقای Narayanaswamy موسس و دانشمند برجسته Netskopa می گوید: “تمامی برنامه های کاربردی تحت وب مانند Google Drive و Office 365 در حال ادغام شدن با سایر برنامه های کاربردی می باشند.” برای مثال “نرم افزار Salesforce از فضای ذخیره سازی گوگل درایو به عنوان مکانی برای ذخیره فایل ها خود استفاده می کند. همچنین برنامه DocuSign می تواند اسناد امضا شده خود را در Google Drive ذخیره نماید. نکته اصلی در حفاظت از اطلاعات این است که شما از تمامی نقاطی که داده ها در این برنامه ها قرار می گیرند اطلاعات کافی داشته باشید و بتوانید این اطلاعات را در حالت بدون تغییر(Rest) بررسی و تعیین کنید که چه کسی این داده ها را آپلود کرده است. نکته دیگر این است که کلیه ایمیل های ورودی و خروجی را بررسی و سیاست های مورد نظر را بر روی آنها اعمال نمایید.”
طبق گفته Narayanaswamy بدلیل اینکه کاربران اکثراً با آدرس ایمیل خود در شبکه های اجتماعی از جمله Linkedin ,Twitter و Facebook فعالیت می کنند DLP ها بایستی موارد مربوط به شبکه های اجتماعی را نیز پوشش دهند. نکته قابل توجه این است که با توجه با اینکه اکثر ارتباطات از طریق SSL و رمز شده انجام می شود، به همین دلیل این موضوع به عنوان یک نقطه تاریک در اکثر DLP ها مطرح می باشد که اکثرا به آن توجه نمی شود.
از انجایی که سرویس های وب براساس مدل API پیاده سازی می شوند، به همین دلیل سیستم های قدیمی تمامی تراکنش های متد پست را مانیتور و محتویات مربوط به داده های حساس مانند شماره کارت های اعتباری را اسکن و بررسی می نمایند.
بر اساس گفته Narayanaswamy: “هنگامی که شما به وب معنایی نگاه می کنید، دلایل زیادی برای ارسال اطلاعات از داخل به خارج از سازمان وجود دارد که دلیل بعضی از آنها منطقی می باشد.” برای مثل “برنامه های کاربردی جدید به طور مداوم و برای بهبود تجربه کاربری خود اطلاعات مربوط به نحوه استفاده کاربران از برنامه ها، زمان پاسخ و بحث های توسعه ای به طور مداوم به خارج از سازمان ارسال می کنند. با بررسی تراکنش مربوط به نوع اطلاعات ارسالی احتمال تشخیص مثبت اشتباه (false positives) توسط DLP وجود دارد”.
امکانات جدید سیستم هایDLP:
- Data classification: این تکنولوژی به سازمان ها کمک می کند تا دارایی های خود را با توجه به سطوح حساسیت و نحوه استفاده از آنها شناسایی و دسته بندی کنند. برای مثال Varonis از یک پلت فرم فراداده ای برای مشخص کردن کاربران، گروه های کاربری، سطوح دسترسی و نوع فعالیت های آنها استفاده می کند. علاوه براین Varonis یک کراس پلت فرم نیز برای طبقه بندی اطلاعات ارائه می دهد. طبق گفته Narayanaswamy طبقه بندی اطلاعات باید شامل مواردی بیش از اسکن پسوند فایل باشد که به راحتی تغییر یا شکسته نشود.
- Digital fingerprinting: این تکنولوژی از الگوریتم هایی برای برچسب گذاری دارایی های حساس و پیوند آنها با سیاست های قابل اجرا در DLP استفاده می کند. این تلنولوژی بر روی کانال ها و جریان اطلاعات (ایمیل، چاپگرها، ترافیک TCP یاFTP یا آپلود از طریق وب) مربوط به کسب و کار نظارت می کند.
- (OCR (Optical Character Recognition: شرکت روسی ABBYY با همکاری Symantec اسکن تصاویر و فایل های ضمیمه شده به اسناد و ایمیل ها بر روی محصول DLP خود ارایه کرده است. همچنین شرکت گوگل نیز قبلا روش OCR خود را برای gmail و Drive خود ارائه کرده بود. علاوه بر این شرکت گوگل اخیرا API قابل توسعه ای در نسخه بتا برای Google Cloud Platform معرفی و ارایه کرده است. همه این تکنولوژی ها در کنار هم کار تجزیه و تحلیل عمیق را بر روی محتوا برای پیدا کردن موارد منطبق در یک لیست با بیش از 40 نوع داده حساس انجام می دهند. در این کلاس از DLP ها، محصول GTB اثبات کرد که چگونه فناوری استفاده شده در آن می تواند ایمیل حاوی تصویر، شماره کارت اعتباری و یا متن در زبان های مختلف را متوقف کند.
- تجزیه و تحلیل مجاورت(Proximity analysis): طبق گفته آقای Narayanaswamy یک سند اسکن شده با وجود اینکه نام، شماره کارت اعتباری و تاریخ انقضای کارت در مکان های متفاوتی قرار داشته باشد، ممکن است به هیچ وجه مشکوک نباشد. به همین دلیل بایستی برای کاهش تشخیص های غلط صحیح از تجزیه و تحلیل مجاورت برای نقاط با اطلاعات حساس استفاده شود. به عنوان مثال برای نشان دادن اینکه تاریخ موجود در سند واقعا یک تاریخ انقضا صحیحی می باشد، بایستی این تاریخ در کنار سایرعناصرموجود مورد تحلیل قرار گیرد.
- تحلیل رفتار(Behavior analysis): وب سرویس شرکت آمازون پروژه harvest.ai را که به نوعی یک پروژه استارت آپ برای استفاده از الگوریتم های هوش مصنوعی برای تحلیل و بررسی رفتار کاربران در سیستم های مختلف توسط سیستم DLP بود را خرید. در پست وبلاگی شرکت تحلیل رفتاری Prelert توسط Elastic توضیح داده شده که چگونه می توان از تکنولوژی برای تشخیص فرایند داده استفاده کرد.
آموزش و رفتار کاربر
آماده شدن برای GDPR و کنترل و جلوگیری از نشت اطلاعات، علاوه بر شفاف سازی داده ها وجریان اطلاعات در سازمان نیازمند آموزش کارمندان نیز می باشد.
با توجه به گفته Serrano شما باید علاوه بر شناسایی محتویات دارایی خود، اطلاعاتی را که در دو ماه گذشته استفاده نشده اند را نیز شناسایی نمایید. پس از آن این داده ها را در قرنطینه نگهداری کنید. هر کاربری که درخواست استفاده از داده های قرنطینه شده را داشته باشد، بایستی حداقل یک مورد استفاده از این اطلاعات در کسب و کار را ارسال نماید.
در ادامه آقای Serrano به این موضوع اشاره می کند که: ” توصیه می شود این اطلاعات قرنطینه شده را اسکن کرده و اولویت بندی نماید. همچنین برای استفاده از این اطلاعات قوانینی ایجاد کنید یا به طور کلی از شر آن ها خلاص شوید.”
با این حال اجرای DLP مجموعه ای از “قبول مسئولیت هاست”. طبق ISACA این موضوع مسئولیت اولین گام در ایجاد فرهنگی است که می تواند به طور موثر اطلاعات حساس را مدیریت نماید.
به گفته ییر بدون مولفه فرهنگ، سیستم های DLP یک اسباب بازی گران قیمتی بیش نیست.
همچنین آقای ییر درباره تعداد بالای هشدارهای تولید شده می گوید: “اگر شما کسی را در تمام طول روز مانیتور نمایید مشکل از شماست و شما باید به این نکته که کارمندان شما نیاز به آموزش دارند بیشتر توجه کنید.”
دیدگاهتان را بنویسید