شماره: IRCAR201510276
تاريخ: 18/07/94
خط مشي ها، برنامه ها، تجارب و افراد
استراتژي پيشگيري از نشت و از دست رفتن داده حول 4 مولفه اصلي قرار دارد:
- خط مشي ها. پيش از آنكه سيستمي براي اجراي استراتژي هاي پيشگيري از نشت و از دست رفتن داده پياده سازي كنيد، بايد تصميم بگيريد كه چه مواردي را مي خواهيد اجرا كنيد. برخي از سازمان ها ابتدا به راه حل هاي نرم افزاري DLP نگاهي مي اندازند اما اولين قدم تعيين خط مشي ها و سياست ها است زيرا تا زمانيكه ندانيد كه با راه اندازي DLP چه موارد خاصي را مي خواهيد انجام دهيد، ارزيابي بسته ها و راه حل هاي مختلف بسيار دشوار خواهد بود و نمي توانيد راه حل مورد نياز خود را به درستي انتخاب كنيد.
- برنامه ها. نرم افزارهاي پيشگيري از نشت و از دست رفتن داده قالب هاي متفاوتي دارد. برخي از توليدكنندگان تلاش مي كنند تا تمامي موارد را در يك بسته و از طريق يك راه حل كليدي ارائه دهند. هم چنين DLP مي تواند توسط پياده سازي راه حل هاي مختلف در لايه هاي متفاوت (لبه شبكه، سرور و نقاط پاياني) انجام شود و يك استراتژي DLP جامع شامل تعدادي راه حل مي باشد كه در كنار هم كار مي كنند.
- تجارب. مي توان براي انتخاب يك راه حل DLP موثر براي سازمان مورد نظر از بهترين تجارب بهره برد. اين تجارب به شما نشان مي دهند كه راه حل DLP چگونه طراحي، پيكربندي و مديريت مي شود.
- افراد. عامل انساني هميشه در مسائل مربوط به امنيت حضور دارد و استراتژي پيشگيري از نشت و از دست رفتن داده نيز از اين امر مستثني نيست. اين افراد شامل كاربران نهايي كه به طور قانوني به داده ها دسترسي دارند، كاربران غيرمجاز كه به داده ها دسترسي يافتند (شامل مهاجمان داخلي و خارجي) و ساير متخصصان امنيت و ادمين هاي شبكه كه وظيفه حفاظت از داده ها را برعهده دارند و هم چنين مدير سازمان و مديران اجرايي و شايد مديراني كه در سازمان تصميم گير هستند و تصميمات آن ها بر روي استراتژي DLP تاثير گذار است مي شود.
حال هر يك از اين مولفه ها با جزئيات بيشتر تشريح مي شود.
خط مشي ها: اساس استراتژي DLP
طراحي خط مشي هاي DLP يك فرآيند دو بخشي است كه شامل تصميم گيري در خصوص قوانين شناسايي اطلاعات حساس و پياده سازي كنترل هايي براي حفاظت از اين اطلاعات مي باشد.
به عنوان مثال، ممكن است بخواهيد انواع اطلاعات زير به عنوان اطلاعات شخصي/حساس شناسايي شوند:
- شماره هاي كد ملي
- شماره هاي گواهينامه
- شماره هاي پاسپورت
- شماره سريال دفترچه بيمه
- شماره كارت اعتباري
- شماره حساب مالياتي
- شماره حساب بانكي
- آدرس هاي IP
تعدادي كمي از اطلاعات عددي وجود دارد كه به عنوان داده هاي شخصي حساس در نظر گرفته مي شود در نتيجه بايد نقل و انتقال اين اطلاعات را به بيرون از شبكه محدود كرده و بر آن ها نظارت داشت. مي توان با استفاده از نرم افزارهاي DLP اين اطلاعات را شناسايي كرد و از رشته داده هاي غيرحساس ديگر تشخيص داد.
برنامه ها: تشخيص و حفاظت
يك راه حل خوب DLP شامل نرم افزاري است كه مي تواند داده ها را به منظور يافتن الگوهاي تشخيصي بررسي كند و انواع اطلاعاتي كه نياز به نظارت دارند را از بين رشته اطلاعات تشخيص داده و بر آن ها نظارت داشته باشد. اين امر در دو حالت قابل استفاده خواهد بود:
- حالت نظارت و هشدار. نرم افزار داده هاي حساسي كه در معرض خطر افشاء قرار دارند را اسكن مي كند و هشدار مي دهد.
- حالت اجرايي. نرم افزار قوانيني كه شما براي مسدود نمودن يا حذف اطلاعات حساس (كه به صورت غيرقانوني ارسال شده و يا به اشتراك گذارده شده اند) مشخص كرده ايد را اعمال مي كند.
نرم افزارها از راه هاي مختلفي مي توانند اطلاعات حساس را شناسايي كنند. قوانين شناسايي اطلاعات تعريف شده اي مانند شماره كارت ملي آسان مي باشد. اما شناسايي انواع داده هاي خاص مانند اظهارات مالي شركت بسيار دشوار است. نرم افزارهايي وجود دارد كه مي تواند كل يك سند را ارزيابي كرده و مجموعه اي از الگوها را بررسي نمايد.
يك نرم افزار خوب DLP به شما اجازه مي دهد تا انواع اطلاعات حساس تعبيه شده را شخصي سازي كنيد. اين مساله به شما اجازه مي دهد تا خط مشي هاي خاص سازمان يا قوانين خاص رگولاتوري را اعمال نماييد. بسته به نرم افزار DLP، نوشتن و اعمال خط مشي هاي سازمان ممكن است نيازمند داشتن مهارت هاي برنامه نويسي باشد.
نرم افزار DLP بايد بتواند انواع مختلف داده ها را در مكان هاي متفاوتي كه در بخش اول مقاله شرح داده شد اسكن و فهرست كند. اگر سازماني برخي يا تمامي اطلاعاتش را در ابر ذخيره كرده باشد، راه حل DLP بايد قادر باشد تا اطلاعات حساس را در سيستم محلي و ابر شناسايي و حفاظت كند. وب سايت ها و ايميل ها متداول ترين مكان هاي هدف حمله براي نشت و از دست رفتن اطلاعات مي باشند.
يكي از مشكلاتي كه كار نرم افزارهاي DLP را بسيار دشوار مي كند آن است كه امروزه با وجود دستگاه هاي BYOD و سرويس هاي ابر، زندگي خصوصي و كاري كارمندان به هم گره خورده است. بسياري از كارمندان از حساب هاي ايميلي يكساني براي كارهاي خصوصي خود و كارهاي شركت استفاده مي كنند. وجود ايميل هاي وبي مانند جيميل، ياهو يا هاتميل كار نرم افزارهاي DLP را دشوار كرده است.
نرم افزار DLP بايد قادر باشد تا اطلاعات حساس ارسالي از طريق پورت هاي SMTP، HTTP، HTTPS، NNTP، FTP، IM و پورت هاي خاص ديگري كه ممكن است مورد استفاده قرار بگيرند را شناسايي كند. يك نرم افزار DLP خوب مي تواند ارسال پيام هاي حاوي اطلاعات حساس به وب سايت ها را مسدود كرده يا اطلاعات حساس را از روي وب سايت ها حذف نمايد.
امروزه در محيط هاي كاري، شناسايي و حفاظت كافي نيست. نرم افزارهاي DLP بايد قادر باشند تا از عملكرد سازمان و رويدادهاي به وقوع پيوسته گزارش گيري كنند. ثبت و قايع و گزارش گيري يكي از مهم ترين ويژگي هاي نرم افزارهاي امنيتي است. متخصصان سازمان بايد قادر باشند تا گزارش را با فرمت هاي متفاوت مشاهده كرده و رخدادها و ريسك هاي برطرف شده را بازبيني كنند.
در نهايت براي عملكرد و حفاظت بهينه، نرم افزار DLP بايد با ساير راه حل هاي امنيتي يكپارچه شود. به عنوان مثال اين نرم افزار بايد بتواند با نرم افزار پشتيبان گيري يكپارچه شده و داده هاي حساس موجود در داده هاي پشتيبان را اسكن كند.
لينك مرتبط:
پياده سازي و ارزيابي استراتژي DLP- بخش اول
پياده سازي و ارزيابي استراتژي DLP- بخش دوم
منابع:
- 14