پيشگيری از نشت داده‌ها

IRCAR201111122
در اين مقاله به دنياي پيشگيري از نشت داده‌ها مي‌پردازيم و توضيح مي‌دهيم چگونه از اين تكنولوژي براي حفاظت بهتر داده‌هاي شركت روي دستگاه‌هاي شركت و دستگاه‌هاي شخصي استفاده كنيد.

مقدمه
در جهان هميشه در حال تغيير محاسبات، كاربران از دستگاه‌ها براي هر دو مورد شركتي و شخصي استفاده مي‌كنند. در صورت عدم وجود كنترل فني DLP (پيشگيري از نشت داده‌ها)، داده‌ها نشت پيدا مي‌كنند. در اين مقاله به دنياي پيشگيري از نشت داده‌ها مي‌پردازيم و توضيح مي‌دهيم چگونه از اين تكنولوژي براي حفاظت بهتر داده‌هاي شركت روي دستگاه‌هاي شركت و دستگاه‌هاي شخصي استفاده كنيد.
رخنه به داده‌ها و نشت داده‌ها يك حادثه امنيتي است كه در آن داده‌هاي حساس و محرمانه نسخه‌برداري مي‌شوند، انتفال داده مي‌شوند، رويت مي‌شوند، دزديده مي‌شوند يا بوسيله يك فرد غير مجاز استفاده مي‌شوند. اين داده‌ها مي‌توانند شامل داده‌هاي مالي ( بانك يا جزيئات كارت)، داده‌هاي بهداشت شخصي و جزئيات قابل شناسايي شخصي، اسرار تجاري و مالكيت معنوي شركت باشند.
موضوع نشت داده‌ها همواره از داده‌هاي مستقر در كامپيوتر، داده‌هاي در حال انتقال، پست الكترونيكي، IM و كانال‌هاي اينترنتي ديگر بوجود آمده است. با اين‌حال در حال حاضر با ظهور فناوري موبايل، نشت داده‌ها راحت‌تر اتفاق مي‌افتد. تهديد نشت داده‌ها از خارج شركت هنوز يك نگراني به حساب مي‌آيد، با اين‌حال بخش قابل توجهي از نشت داده‌ها از فعاليت‌هاي داخلي نيز نتيجه مي‌شود.
هر كارمند و هر دستگاه كه حاوي داده‌هاي شركت باشد يك تهديد بالقوه به حساب مي‌آيد، يك لپ تاپ گم شده اگر توسط يك بيگانه با نيت بدخواهانه مورد بازيابي قرار بگيرد، به سرعت مي‌تواند تبديل به يك تهديد براي نشت داده‌ها شود. نشت داده‌ها مي‌تواند نتيجه عدم آگاهي كارمندان باشد، آن‌ها ممكن است نسبت به اين حقيقت كه رفتار آن‌ها يا عمل آن‌ها ناامن است، بي‌توجه باشند. اغلب توصيه مي‌شود كه همه كارمندان از اقدامات امنيتي و احتياطي براي حفاظت از داده‌هاي حساس شركت آگاه باشند.
داده‌ها مي‌توانند شبكه را از طريق نقاط خروجي مختلف در زير ساخت آي‌تي ترك نمايند. شركت‌ها بايد با انتخاب راه‌حل‌هاي DLP كه در اين نقاط خروجي نظارت و عمل مي‌كنند مديريت خطر از دست دادن داده‌ها را در اولويت قرار دهند.

برخي رفتارهاي متداول كه به طور بالقوه منجر به نشت داده‌ها مي‌شود

• بلند صحبت كردن درباره داده‌هاي حساس شركت در محيط‌هاي عمومي
• قصور در خاموش كردن لپ تاپ
• اجازه استفاده از كلمه عبور حفاظت نشده
• دسترسي به وب سايت‌هاي غير مجاز
• از دست دادن يا سرقت دستگاه‌هاي شركت ( لپ‌تاپ‌ها، تلفن‌هاي همراه، درايوهاي هارد قابل حمل)
• از دست دادن يا سرقت دستگاه‌هاي شخصي كه در حال حاضر براي شركت‌ها استفاده مي‌شوند
• درايوهاي thumb
• رسانه نوري
• پست الكترونيكي
• پيام‌هاي فوري
• كنترل دسترسي فيزيكي و منطقي
• فقدان رمزگذاري
• فقدان دو فاكتور احرازهويت
• فقدان كنترل دسترسي از راه دور

چگونه مي‌توان از نشت داده‌ها جلوگيري كرد؟
نشت بالقوه داده‌ها توسط ابزاهاي مختلف از دست دادن داده‌ها مي‌‌تواند مديريت شود كه به عنوان حفاظت از نشت داده يا ابزاهاي فيلتركردن و نظارت محتوي شناخته مي‌شوند. اين ابزارها براي جلوگيري از داده‌هاي حساس شركت‌ها كه به صورت عمدي و غير عمدي ارائه مي‌شوند در نظر گرفته شده‌اند. اين كار از طريق شناسايي محتوي، رديابي فعاليت و مسدود نمودن نقل و انتقال بالقوه داده‌هاي حساس انجام مي‌گيرد.
از طريق مراحل زير پيشگيري از نشت داده‌ها مي‌تواند مديريت شود

• كنترل بسته‌ها بر روي ترافيك شبكه، هم چنين بر روي پست الكترونيكي و پروتكل‌هاي مختلف براساس آگاهي از محتوي آن‌ها صورت گيرد. اين نظارت بر اساس آگاهي از محتوي داده‌ها صورت مي‌گيرد و براساس سياست‌ها و قوانيني كه از قبل مشخص و تنظيم شده‌اند، داده‌هاي بسيار مهم را شناسايي مي‌كند. اين كار در مراحل مختلفي از جمله بر روي شبكه، نقطه پاياني و روي داده‌هاي ذخيره شده مي‌تواند صورت گيرد.
• اطمينان حاصل نماييد نه تنها بسته‌هاي داده‌هاي منحصر به فرد كه نشست‌هاي كامل هميشه براي تجزيه و تحليل رديابي شوند.
• بر اساس قوانين و سياست‌ها استفاده از محتواي خاص را شناسايي، مسدود و كنترل نماييد و به اين ترتيب محتواي از پيش تعيين شده خاص اجازه ذخيره شدن، چاپ گرفتن و ارسال شدن ندارد.
• ترافيك شبكه، ترافيك پست الكترونيكي و كانال‌هاي متعدد را از طريق يك محصول و يك رابط مديريت منحصر به فرد نظارت نماييد.
• روي پست الكترونيكي و ساير روش‌هاي ارتباطي خارجي مانند IM تخلف از سياست را مسدود نماييد.
• از اجراي سياست‌ها بر روي كاربر پاياني اطمينان حاصل نماييد. از طريق مديريت دستگاه‌هاي متصل شده و واسط‌هاي شبكه كنترل كنيد كه كاربران پاياني بر روي كامپيوترهاي خود چه كاري انجام مي‌دهند. برنامه‌هاي كاربردي كه استفاده مي‌كنند و وب سايت‌هايي كه كاربران به آن دسترسي دارند را مديريت كنيد. يك راه حل براي نقطه پاياني، مديريت تهديدات دستگاه‌هاي ذخيره قابل حمل است و به مديران شبكه اجازه كنترل مواردي از قبيل چه دستگاه‌هايي در حال استفاده هستند، چه زماني اين دستگاه‌ها استفاده مي‌شوند، توسط چه كساني داده‌ها نسخه‌برداري مي‌شوند، را بدهيد. فعاليت media playerها، درايوهاي USB، كارت‌هاي حافظه، PDAها، تلفن‌هاي همراه، كارت‌هاي شبكه و غيره مي‌توانند ثبت شوند و اگر لازم باشد به صورت مركزي مي‌توانند غير فعال شوند.
• تمامي ارتباطات و داده‌ها ( پست الكترونيكي، فايل‌هاي مشترك، ديسك‌هاي سخت، ذخيره‌سازي خارجي و رسانه‌هاي جداشدني) را رمزگذاري نماييد.

چگونه يك استراتژي DLP را به طور موثر گسترش دهيم؟
هنگامي‌كه به دنبال گسترش استراتژي DLP در محيط شركت خود هستيد، براي رسيدن به يك اثربخشي مطلوب موارد زير بايد در نظر گرفته شوند.

• اطمينان حاصل نماييد كه سياست‌هاي امنيتي شما براي تمامي كاربران شفاف است و توسط مدير ارشد تاييد و تصويب شده است.
  يك هدف در ساخت سياست‌هاي امنيتي آن است كه بايد درك اين سياست‌ها براي تمامي دست اندركاران ساده باشند. اسناد امنيتي بايد براي تمامي كاربران قابل دسترس باشند، زمينه‌هاي كليدي در سياست DLP بايد برجسته سازي شوند و توضيح داده شوند. اين سند بايد شامل انواع داده‌هاي در حال نظارت و هم چنين دلايل استفاده از نظارت و حفاظت از انواع داده‌هاي انتخاب شده خاص باشد. استراتژي DLP را بايد به همه اطلاع رساني كنيد به طوري‌كه اعتماد در درون شركت حفظ شود و نگراني استفاده از راه‌حل DLP به عنوان يك راه‌حل "جاسوسي" كاهش يابد.
• سازماندهي و گسترش فن آوري‌هاي حفاظت از داده‌ها براي جلوگيري از اتلاف ناخواسته داده‌ها.
  حوادث بيشتر از آن‌‌چه انتظار مي‌رود رخ مي‌دهند. كاربران اغلب دستگاه‌ها و لپ‌تاپ‌هايشان را گم مي‌كنند يا ايميلي را به يك گيرنده نادرست ارسال مي‌كنند. توسط استقرار استراتژي‌هايي از قبيل رمزگذاري و كنترل دستگاه و محتوي در هر جايي كه ممكن است، مي‌توانيد از داده‌ها در برابر اتلاف تصادفي حفاظت نماييد.
• از كم شروع كنيد و در طول زمان آن را گسترش دهيد ( اما اكنون شروع كنيد!)
  هنگامي‌كه اولويت سياست‌هاي امنيتي داده‌ها را تنظيم مي‌كنيد همه قوانين فورا اجرا نمي‌شوند. نظارت تقريبا هميشه بهترين شروع است. قوانين را براي دسته‌ي كوچكي از كاربران و داده‌هاي بسيار مهم اجرا كنيد و با گذشت زمان قوانين را بر روي داده‌هاي باقي مانده گسترش دهيد. اگر يك مرتبه تمامي قوانين را اجرا نماييد براي آي‌تي و هم‌چنين كاربران بسيار طاقت فرسا خواهد بود و عواقب اجتناب پذيري را به وجود مي‌آورد. شروع با يك گروه كوچكي از كاربران آي‌تي روش مطمئني خواهد بود.
• اطمينان حاصل كنيد پيام‌هاي امنيتي به خوبي ايجاد شده‌اند
  هنگام نوشتن اطلاعات امنيتي مطمئن شويد كه با دقت خوبي ايجاد شوند، به صورت مختصر و شفاف و به زبان قابل فهم براي كاربران نوشته شوند. در پيام‌ها از زبان اتهامي اجتناب كنيد، در عين حال مطمئن شويد كه پيام‌ها شفاف هستند و توضيح دهيد كه اگر اين عمل را انجام دهند يك تخلف امنيتي رخ خواهد داد.
• آموزش كاربران
  هدف سياست امنيتي آن نيست كه مردم را در خارج از اين سياست‌ها قرار دهد بلكه آن است كه به آن‌ها آموزش دهد كه چگونه عملي را با كاهش خطر امنيتي انجام دهند. كاربران هر چه بيشتر آموزش ببينند اين فرآيند آسان‌تر خواهد بود و ميزان پذيرش آن بالاتر مي‌رود.

انواع راه‌حل‌هاي DLP

رمزگذاري
رمزگذاري يك راه حل ساده و در عين حال بسيار موثر است. هنگامي‌كه داده‌ها رمزگذاري مي‌شوند نمي‌توانند توسط افراد غير مجاز خوانده شوند. رسانه قابل حمل رمزگذاري شده به شركت‌ها اين اطمينان را مي‌دهد كه همه داده‌هايي كه از محيط شركت خارج مي‌شوند در تمام مدت امن باقي مي‌مانند. در حال حاضر رمزگذاري در جايي ضروري است كه دستگاه‌هاي شخصي براي مقاصد شركت‌ها استفاده مي‌شوند. اين راه‌حل مي‌تواند به دستگاه‌هاي زيادي از جمله درايوهاي فلش، PDAها، تلفن‌هاي هوشمند يا به معناي واقعي هر دستگاه قابل حمل اعمال شود.
داده‌هاي روي دستگاه ذخيره سازي قابل حمل رمزگذاري شده مي‌توانند روي ماشيني خوانده شوند كه در حال اجراي نرم افزار رمزگذاري رسانه قابل حمل است و كليد رمزگذاري متناظر با آن نيز نصب شده است. در نتيجه داده‌ها روي هر كامپيوتر ديگري غير قابل دسترس خواهند بود. نرم افزار رمزگذاري نيز مي‌تواند استاندارهاي مجوز را فراهم كند تا اجازه دهد تنها فايل‌هاي خاصي بر روي دستگاه قابل حمل كپي شوند و هم چنين داده‌ها به طور خودكار روي اين دستگاه‌ها رمزگذاري شوند.

فناوري مديريت حقوق ديجيتال (DRM)
اين تكنولوژي براي امنيت گسترده‌تر سودمند است. اين تكنولوژي فايل‌ها را از طريق رمزگذاري محافظت مي‌نمايد و تنها اجازه دسترسي به فايل هاي رمزگذاري شده‌اي را مي‌دهد كه شناسه كاربر آن احرازهويت شده و حق دسترسي آن بررسي شده است. اين يك شكل بزرگ از رمزگذاري است و در جايي كه داده‌ها در محيط شركت‌ها يا روي يك دستگاه سيار مشترك شخصي/شركتي در پشت و جلوي فايروال شركت وجود دارند، رمزگذاري فعال باقي مي‌ماند.

همگام‌سازي DRM و سيستم‌هاي مديريت محتوي(CMS)
تعداد زيادي از شركت‌هاي بزرگ براي كمك به سازماندهي محتواي ديجيتال از سيستم‌هاي مديريت محتوي (CMS) استفاده مي‌كنند. CMSها در نظر گرفته شده‌اند تا كل محتوي از جمله ايجاد، مديريت، توليد و توزيع محتوي را به صورت متمركر كنترل نمايند. مجموع راه‌حل‌هاي DRM-CMS به شركت‌ها اين ضمانت را مي‌دهند كه عمليات اسناد و محتوي مطابق با قوانين نظارتي جاري، حفظ حريم خصوصي و قوانين امنيتي است.

خلاصه
هميشه خطرات امنيتي متعدد بالقوه توسط دستگاه‌هاي سيار و كار كردن از راه دور وجود خواهد داشت، با اين‌حال همه سازمان‌ها نياز دارند تا آن‌چه را كه مي‌توانند و در جايي كه امكان پذير است براي محدود كردن يا پيشگيري از اين تخلفات امنيتي انجام دهند. براي پياده سازي سيستم مجازي پيشگيري از نشت داده‌ها، شركت‌هاي بزرگ بايد اقدامات امنيتي موجود، رمزگذاري ( در اشكال مختلف آن)، تكنولوژي‌هاي DRM، DLP و CMS را به طور موثر باهم تركيب كنند. شركت‌هاي بزرگ بايد اين اقدامات را در اولويت قرار دهند تا با چالش پيشگيري از نشت داده‌ها برخورد نمايند.