Jsou to produkty založené na technologii nazvané data loss prevention (zkráceně DLP) – volně přeloženo systém pro prevenci ztráty dat. O DLP systémech, jejich vlastnostech a přínosech už toho bylo napsáno hodně. V následujícím textu jsou základní informace popsány znovu, ale hlavním přínosem toho článku má být širší pohled na bezpečnostní koncepci a také rizika a doporučení pro úspěšnou implementaci do firemní sítě.

Ztráta dat

Dle studií bezpečnostních rizik, nejsou v současné době největším rizikem úniky dat způsobené cizími útočníky, ale vlastními zaměstnanci. Ať už se jedná o úmysl, nedbalost, nebo prostou zvědavost zaměstnanců. Výsledek je vždy stejný, firemní materiály se volně pohybují mimo zabezpečenou firemní síť se všemi nepříjemnými důsledky. Statisticky je nejpravděpodobnější důvod ztráty dat překvapivě odeslání na špatnou e-mailovou adresu.
Jak tuto situaci řešit? Odpověď je v implementaci DLP do firemní infrastruktury. Celý proces začíná podrobnou analýzou, nejdříve je nutné pomocí propracované odpovědět na zásadní otázky, týkající se současného a požadovaného stavu. Analytická část návrhu řešení je velmi důležitá. Nesmí se zanedbat technická ani procesní část, jinak nebude řešení přinášet požadované vlastnosti. Klíčovým poznatkem je, jaká citlivá data se ve společnosti nalézají. Odpověď typu „citlivá jsou všechna data ve firemní síti, kromě jídelníčků“ nepřináší požadovaný přínos pro efektivní nasazení. Při sledování veškerých dat totiž bude v centrální správě velké množství nerelevantních incidentů. Vždy je vhodné definovat extra citlivé, citlivé a normální (nechráněné) informace. Další otázkou je: kdo bude mít práva s daty legálně nakládat? Pozor na snahu vytvořit pro každou skupinu uživatelů (ze struktury Active Directory) jedinečná pravidla – není efektivní. Vznikl by totiž velmi nepřehledný koncept, jenž není možné jednoduše měnit a rozvíjet. Správným přístupem je aplikovat základní (restriktivní) politiku na všechny a následně vytvářet privilegované skupiny pracovníků. A dále: kdo bude řešit nalezené bezpečnostní události? Jsou dvě možnosti, buď je o incidentech informován nadřízený pracovník, nebo veškeré incidenty řeší příslušní pracovníci bezpečnostního oddělení. Obě možnosti mají svá pro a proti, vždy záleží na velikosti společnosti, její struktuře a konkrétních požadavcích.
Na další otázky už lze získat odpovědi v počátečních fázích implementace. Jedná se o informace o tom, jaká data a kde se reálně nalézají. Překvapivě je to v nejnevhodnějších místech, o kterých nemají administrátoři přehled. Realita bývá taková, že uživatelé nahrávají data automaticky do sdílených adresářů, na FTP servery s anonymním přihlašováním atd. Důležitým aspektem je i vyhodnocení chování uživatelů. Pomocí pasivního monitorování získá zákazník přehled o nejčastějších činnostech uživatelů s daty. Tím je zodpovězena i otázka, jaké kanály je potřebné chránit. Na základě toho je možné zvolit správnou technologii a konkrétní produkt.

Typy DLP systémů

V podstatě u všech významných hráčů na poli DLP se setkáme s víceméně stejnou koncepcí, liší se jen v pojmenování jednotlivých modulů a některých dílčích funkcionalitách. Přesto nejsou všechny produkty vhodné pro veškerá nasazení. Někteří výrobci poskytují více propracované (korporátní) řešení, jiní optimalizaci pro snadnou implementaci. Často se liší i podporou operačních systémů na koncových stanicích, dokonalostí ochrany jednotlivých komunikačních kanálů či možností lokalizace jazykového prostředí.
Hlavní dělení je na stanicovou (host) a síťovou (network) variantu:

Stanicová varianta

Představuje program, který se instaluje přímo na klientský počítač. Díky tomu může sledovat a v případě potřeby blokovat uživatelské činnosti, jako je kopírování na externí zařízení a síťová úložiště, změna formátu dat, copy/paste, snímek obrazovky (screenshot), odesílání přes e-mail a nahrávání na web. Někteří výrobci nabízejí i propracované možnosti ochrany portů počítače (device control). Díky ní je možné navíc nastavovat pro konkrétní zařízení speciální pravidla. Typickým příkladem je možnost ukládání dat na hardwarově šifrované flash disky.

Síťová varianta

Vždy obsahuje sondu pro monitorování síťového provozu (pasivní čtení HTTP, FTP, SMTP, POP3, IM a dalších protokolů). Síťová varianta muže obsahovat i modul pro aktivní ochranu jednotlivých protokolů. Využívá se napojení na proxy server (prostřednictvím ICAP protokolu) pro možnost zasahovat do síťového provozu. A nejen to, tyto systémy dokážou prověřovat a blokovat i šifrovanou komunikaci HTTPS, za použití řízených metod man-in-the-middle. Přesná konfigurace je závislá na požadavcích zákazníka (jen monitoring, možnost blokování, karantény atd.).

Centrální správa

Je neméně důležitou součástí systému, musí totiž umožňovat snadnou a efektivní správu celého řešení. Slouží k řešení jednotlivých incidentů, jejich eskalaci, generování reportů atd. Dále je možné dělení z funkčního hlediska na systémy pracující na principu „tagování“, což je označení citlivých dat pomocí kódů v rozšířené NTFS tabulce, nebo přidání headeru k souboru a systémy využívající „fingerprint“. První metoda má velkou výhodu v rychlosti detekce chráněných dat, a naopak nevýhodu v dědění tagu, a tím i politik při kopírování třeba jen jediného slova mezi dokumenty. Naproti tomu metoda s „otisky“ je náročnější na počáteční vytvoření databáze otisků. Její výhodou je zachycení dokumentů i jen s malou shodou obsahu. Většina dat se tak v reálném provozu prakticky chytá přes další metody detekce, jako je shoda se slovníky, nebo pomocí regulárních výrazů.

Ucelená bezpečnostní koncepce

DLP systémy jsou ale jen jedním z mnoha článků celkové bezpečnosti a je vhodné počítat s ucelenou bezpečnostní koncepcí už ve fázích návrhu řešení bezpečnosti dat. Následující text stručně objasňuje jednotlivé aspekty.
Je potřebné si uvědomit koncepční možnosti DLP systému. Ten sám o sobě nikdy neomezuje přístup uživatele k citlivým informacím. K jakým firemním zdrojům bude mít uživatel přístup, je nutné nastavit pomocí přístupových práv. Systémy na ochranu dat jen umožňují určovat, jakým způsobem může konkrétní uživatel s těmito daty dále nakládat.
Velkým přínosem je napojení DLP systému do současné infrastruktury společnosti a spolupráce s dalšími bezpečnostními produkty. Jedná se hlavně o produkty na ochranu počítačů, dat a dále napojení na monitorovací systémy (SIEM). V dalších fázích projektu je vhodné počítat s integrací následujících produktů:

Šifrování dat

Existují dvě hlavní skupiny. Šifrování celého disku počítače a šifrování dat a flash disků. Šifrování disku má opodstatnění tam, kde hrozí ztráta celého zařízení, jedná se obvykle o notebooky a inteligentní mobilní telefony. Uživatel si obvykle pro možnost dokončení práce doma (například o víkendu) bere citlivé materiály s sebou, čímž narůstá riziko ztráty, zcizení či zneužití. Správným opatřením, bez omezení uživatele, je šifrování disku, víceúrovňová autorizace a použití šifrovaných flash disků pro přenos dat.

Napojení na SIEM

Možnost integrace DLP řešení se SIEM přináší velkou výhodu v možnosti dohledat a řešit veškeré bezpečnostní události v jednom systému. Díky tomu má administrátor dokonalý přehled o všech činnostech systémů a uživatelů. Následné vyhodnocení s možností korelace dat přináší velké možnosti.

Right management

Někteří výrobci spolupracují na ochraně specifických dat, díky tomu dokáže DLP systém například spolupracovat s Adobe Right Management Serverem a chránit tak data ve formátech Microsoft Office a Adobe PDF. Díky těmto propracovaným pravidlům je možné lépe sledovat konkrétní toky dat. Stejně tak důležitou součástí je i funkční antivirová ochrana, firemní firewall a gateway pro ochranu mailového a internetového provozu. Tyto bezpečnostní produkty přímo nesouvisí s DLP, ale vytvářejí celkovou bezpečnostní koncepci bez slabých míst. Velkou váhu je vhodné klást na důkladný pilotní provoz, ten by měl vždy předcházet plošné nasazení. Ověří se tak kvalita návrhu, možnosti nasazení i kompatibilita s produkty třetích stran.

Implementace

Zájemci o DLP systémy mají často velmi nejasnou představu o způsobu a náročnosti nasazení. Samotný proces implementace do firemní sítě je relativně rychlý (podobný například instalaci AV řešení), ale následné nastavení a optimalizace zaberou delší čas. Celý proces je možno rozdělit do několika etap. Jak už je zmiňováno v předchozím textu začíná se důkladnou analýzou, vytvořením bussines a následně i technických politik, samotnou implementací, testovacím provozem, optimalizací systému (dle poznatků z pilotního provozu), plošným nasazením a následným laděním systému, včetně change managementu.
V zájmu plynulého chodu společnosti je doporučeno nasazovat v počátečních fázích pouze monitorovací politiky. Při nasazení restriktivních by velmi pravděpodobně došlo k omezení regulární práce zaměstnanců. Systém je nutné nejdříve správně odladit, což je vhodné dělat průběžně. Celý proces lze rozdělit do fází (analytická, vyhledávání rizik, redukce rizik, postimplementační), a ty následně do jednotlivých etap (obr. 1):

1. vyhledávání citlivých dat (úložiště, databáze, disky uživatelů, analýza toku dat),
2. monitoring chování uživatelů,
3. výchova uživatelů – notifikace (informování) uživatelů o reakcích systému v první fázi a dále justifikace uživatelů (musí objasnit své chování – což přináší velkou redukci počtu incidentů),
4. blokování činností – což představuje finální provoz po odladění systémů.

Jednotlivé fáze trvají v řádu měsíců, celý proces je možné zvládnout za šest až čtrnáct měsíců podle složitosti implementace a nároků uživatele.

Obr. 1: Ukázka časového rámce množství incidentů v prvním roce nasazení s rozpisem jednotlivých fází

Rizika a doporučení

Ve stručnosti uvádím několik bodů k zamyšlení. Jsou to praktické poznámky a zkušenosti z jednotlivých implementací a dotazů zákazníků:

1. Klasická otázka „kdo hlídá hlídače“ je u těchto systémů řešena pomocí definovatelných uživatelských rolí. Administrátor může spravovat jen přidělenou část systému, stejně tak například auditor vidí jen informace o incidentech, konkrétní data ale stáhnout nemůže.
2. Je nutné mít zabezpečené nejen koncové stanice, na kterých pracují zaměstnanci, ale i servery. A to nejen z pohledu nainstalovaného DLP, ale i fyzickou ochranu serveru před možností prostě si jej odnést z firmy s veškerými daty.
3. Přes všechnu snahu existují data, která je možné jednoduše odnést. Jedná se například o stručné informace o konkrétním klientovi, jež si uživatel prostě opíše či vyfotí na monitoru, případně i zapamatuje. Těmto hrozbám předchází jedině správná firemní kultura a zodpovědnost pracovníků.
4. Uživatel s administrátorskými právy dokáže DLP systém vypnout.
5. Vždy se objeví určité množství falešných detekcí (false positive), je nutné je řešit za pomocí helpdesku. Pro řešení jednotlivých situací, které mohou vzniknout, je potřebné mít vypracované postupy řešení.

Shrnutí

DLP produkty představují silný nástroj pro ochranu dat. V budoucnu se s nimi budeme setkávat stále častěji ve všech odvětvích, a to nejen kvůli prosazováním nových legislativních požadavků. Pro jejich správnou funkci je ale nutné počítat s ucelenou bezpečnostní koncepcí, zvolit kvalitní produkt a implementaci svěřit odborníkům. Tím je možné minimalizovat rizika spojená se špatnou integrací a celý proces nasazení urychlit a zjednodušit.

Petr Javora
Autor působí jako IT security consultant ve společnosti AEC.