chương 1. Hiểu được khái niệm chống thất thoát dữ liệu đồng thời nắm được hiện trạng thực tế trong doanh nghiệp từ đó nhận thấy tính cấp thiết của việc bảo vệ dữ liệu trong doanh nghiệp. Trình bày các nguy cơ dẫn đến việc thất thoát dữ liệu, từ đó sẽ hiểu hơn về các phòng chống thất thoát dữ liệu. 22 CHƯƠNG 2: KỸ THUẬT PHÒNG, CHỐNG THẤT THOÁT, RÒ RỈ DỮ LIỆU.
Mô hình của hệ thống chống thất thoát, rò rỉ dữ liệu. Chương này đề cập đến cách thức DLP hoạt động. Dưới đây là mô hình tổng quan của một hệ thống DLP (Hình 14). Endpoint DLP được cài đặt trực tiếp trên máy trạm và theo dõi cách dữ liệu được lưu trữ (data at rest) và được sử dụng (data in use).
Mạng DLP thường được đặt giữa LAN và WAN như một proxy giám sát lưu lượng mạng (data in motion). Mô hình hoạt động cơ bản của hệ thống DLP. Chính sách chống thất thoát, rò rỉ dữ liệu Chính sách là trái tim của một hệ thống DLP. Nếu không có các chính sách thì sẽ không có sự khác biệt giữa dữ liệu công cộng và dữ liệu nhạy cảm.
Các chính sách có thể được xây dựng dựa trên các yêu cầu của tổ chức sở hữu thông số kỹ thuật, yêu cầu từ bên ngoài, chẳng hạn như PCI DSS. Việc thiết lập các chính sách không phải là nhiệm vụ của riêng bộ phận IT mà là nhiệm vụ của toàn bộ công ty. Ở giai đoạn này, điều quan trọng là cần xem xét các chính sách hiện tại và thảo luận, thống nhất với những người chịu trách nhiệm xử lý dữ liệu của công ty về cách phân loại đúng, xác định và bảo vệ dữ liệu này. Các chính sách này sau đó sẽ được chuyển đổi thành các quy tắc mà các hệ thống DLP có thể thực thi trong khi hoạt động.
Ví dụ như chính sách phân loại mã nguồn java, đây là dữ liệu rất quan trọng của công ty do đó nó là dữ liệu nhạy cảm. Vì vậy, mã nguồn nên được lưu trữ trong kho lưu trữ mã và trên các máy của các nhà phát triển java. Nếu 24 một nhà phát triển/một ai đó cố gắng lưu mã nguồn ở bất kỳ vị trí nào khác thì DLP thực thi chính sách và chặn yêu cầu đó. Mô hình tổng quan khi chính sách được áp dụng.
Hình 15 cho thấy các chính sách thông thường được chuyển đổi thành các quy tắc mà hệ thống DLP có thể sử dụng để thực thi chính sách nói trên. Các quy tắc phát hiện giúp hệ thống biết làm thế nào để nhận ra đâu là dữ liệu nhạy cảm, trong khi các quy tắc phòng ngừa chỉ định cách xử lý nội dung được phát hiện. Các quy tắc này sau đó được triển khai đến các máy trạm và cổng mạng và DLP sẽ sử dụng chúng trong quá trình theo dõi các trạng thái dữ liệu khác nhau. Tập đoàn RSA-một tập đoàn chuyên cung cấp các chiến lược, giải pháp bảo mật đề xuất ra những câu hỏi cần được trả lời khi xây dựng chính sách: Ai là đối tượng chính sách sẽ áp dụng và làm thế nào nó ảnh hưởng đến họ? Những loại thông tin bạn đang cố gắng bảo vệ? Tại sao bạn bảo vệ nó? Bạn cần bảo vệ dữ liệu ở đâu? Là các dữ liệu chuyển động (in motion) hay các dữ liệu trong một trung tâm? Dữ liệu đang được sử dụng tại các điểm cuối? Khi nào bạn nên cảnh báo một phạm? Làm thế nào bạn có thể bảo vệ được dữ liệu? Kiểm toán, mã hóa, ngăn chặn,…Lựa chọn tùy thuộc vào loại thông tin.
Các kỹ thuật chống thất thoát, rò rỉ dữ liệu. Hệ thống DLP sẽ hoạt động khác nhau tùy thuộc vào trạng thái của dữ liệu. Hiện nay, có ba phương pháp giảm thất thoát, rò rỉ dữ liệu tương ứng với ba nhóm 25 thông tin trong doanh nghiệp, bao gồm: dữ liệu nghỉ (data at rest), dữ liệu chuyển động (data in motion), dữ liệu đang sử dụng (data in use). Mỗi trạng thái của dữ liệu được đảm bảo an toàn bằng các công nghệ khác nhau: Hình 16.
Dữ liệu nghỉ (data at rest). Phương pháp phát hiện sự tồn tại của dữ liệu nhạy cảm nằm trong các máy trạm, máy chủ, ổ đĩa cứng, thiết bị đầu cuối,…Một chức năng cơ bản của giải pháp DLP là khả năng xác định và ghi vết cụ thể các loại thông tin được lưu trữ trong toàn doanh nghiệp. Điều đó có nghĩa các giải pháp DLP phải có khả năng tìm kiếm và xác định các loại tập tin cụ thể, như bảng tính, văn bản tài liệu,…dù nó được lưu trữ bất kì nơi nào trong hệ thống. Sau khi tìm thấy, DLP có thể mở tập tin và quét nội dung để xác định phần thông tin cụ thể đang có.
Thu thập thông tin này là một bước quan trọng trong việc cho phép các doanh nghiệp xác định vị trí của những thông tin nhạy cảm, cho dù nó được lưu trữ tại những vị trí được bảo vệ bởi nhiều chính sách khác nhau. Dữ liệu chuyển động (data in motion). Phương pháp phát hiện và kiểm soát thông tin lưu chuyển trên mạng như qua mail, website,…phương pháp này còn được gọi là ngăn ngừa mức mạng (network based DLP). Để theo dõi dữ liệu chuyển động trong hệ thống mạng của doanh nghiệp, DLP sử dụng các phần meemg thường chú (Agent) để nắm bắt, phân thích lưu lượng, nhận diện chính xác các luồng dữ liệu, lắp ráp các gói tin thu thập được, tái tạo các tập tin thực trong luồng dữ liệu và sau đó thực hiện phân thích so sánh với các chính sách áp dụng cho dữ liệu đó.
Cốt lõi của phương pháp này là quá trình mang tên kiểm tra sau gói tin (DPI – Deep Packet Inspection) cho phép xác định nội dung, địa chỉ nguồn, đích. Nếu dữ liệu nhạy cảm được phát hiện đi đến một địa điểm không được phép hệ thống sẽ cảnh bảo và chặn luồng dữ liệu đó. Dữ liệu đang sử dụng (data in use). Đối với dữ liệu đang sử dụng phương pháp phát hiện và kiểm soát dữ liệu trên máy trạm, máy chủ như copy ra USB, ghi CD/DVD, in giấy,… Phương pháp này được gọi là ngăn ngừa tại các điểm đầu cuối (Endpoint DLP).
Việc theo dõi dữ liệu này phải xuất phát từ thao tác của người dùng trên thiết bị của họ. DLP thường thực hiện điều này thông qua việc sử dụng phần mềm có vai trò như tác nhân, giúp kiểm soát, quản lý tập trung cùng các giải pháp tổng thể DLP. Việc áp dụng các 27 chính sách lên những thiết bị người dùng cuối sẽ tồn tại nhiều điểm hạn chế. Tùy thuộc vào số lượng và độ phức tạp của các chính sách việc áp dụng một phần hay toàn bộ chính sách đưa ra sẽ tỷ lệ nghịch với những khoảng trống trong giải pháp tổng thể.
Sau đây là một số các phương pháp tương ứng với các công nghệ được sử dụng nhiều nhất trong các bộ giải pháp DLP. Quét nội dung Trước khi hệ thống DLP được triển khai thì các tổ chức thường phải đối mặt với tình huống mà dữ liệu của họ bị phát tán đến nhiều vị trí mà không kiểm soát được vị trí của dữ liệu nhạy cảm. DLP sẽ sử dụng kỹ thuật quét nội dung đang được áp dụng chính sách để phát hiện các tệp tin nhạy cảm đang nằm ở đâu. Cách thức hoạt động cũng tương tự như việc quét virus, nhưng thay vì tìm kiếm virus hay phần mềm độc hại thì nó tìm kiếm tài liệu nhạy cảm và ghi lại vị trí của chúng.
Từ kết quả thu được mà quản trị viên và quản lý có thể quyết định làm thế nào để hợp nhất các tập tin. Phương pháp quét nội dung thường được sử dụng khi triển khai hệ thống DLP lúc đầu, và việc quét nội dung thường xuyên diễn ra. Hãy thận trọng việc quét nội dung có thể chiếm tài nguyên hệ thống và mất thời gian để hoàn thành, vì vậy không nên chạy trong giờ làm việc. Chống thất thoát dữ liệu trên các máy trạm (endpoint DLP) Để bảo vệ các thiết bị đầu cuối thì DLP được cài đặt trên máy trạm và các thiết bị khác như các phần mềm agent.
Các phần mềm này thực thi chính sách bằng cách theo dõi tất cả các hoạt động của dữ liệu và quét tất cả các tệp được lưu trữ cục bộ. Các vị trị lưu dữ liệu nhạy cảm ở endpoint. Trên Hình 19 các tài liệu nhạy cảm được phép lưu trữ trên mạng chia sẻ ổ cứng cục bộ và cơ sở dữ liệu, nhưng không phải trong email hay trên các thiết bị lưu trữ di động. Phần mềm bảo vệ endpoint truyền thống cho phép chặn tương tự, nhưng thiếu thành phần nhận biết nội dung của DLP.
Với cả hai sản phẩm chức năng chụp ảnh màn hình cùng được kiểm soát, nhưng với DLP có thể phát hiện ngay cả khi tài liệu nhạy cảm không được mở và tính năng chụp màn hình sẽ bị vô hiệu hóa ngay. Nguyên tắc tương tự cũng được áp dụng cho chức năng sao chép-dán (copy- paste). Ví dụ DLP chỉ chặn hành động khi sao chép dữ liệu nhạy cảm và vẫn cho phép sao chép các dữ liệu không nhạy cảm. Ở phía endpoint DLP có các kiểu bảo vệ khác nhau và có thể phân loại như sau: Bảo vệ hệ thống tập tin: Giám sát tất cả các hoạt động của tập tin tương tự như bảo vệ thời gian thực được tìm thấy trong phần mềm chống virus.
Điều này là để đảm bảo rằng các tập tin không được sao chép vào các vị trí trái phép hoặc mã hóa đó được tự động áp dụng bởi DLP khi lưu dữ liệu vào các vị trí nói trên. Thao tác quét cũng có thể được thực hiện trên dữ liệu được lưu trữ nhằm phát hiện vi phạm chính sách. 29 Bảo vệ mạng: Khi máy trạm/thiết bị đầu cuối (endpoint) không nằm trong hệ thống mạng của công ty thì mọi dữ liệu truyền đi trên mạng đều sẽ bị theo dõi. Ngoài ra, các trường hợp truyền dữ liệu trên mạng còn lại sẽ được DLP mạng (network DLP) giám sát.
Bảo vệ ứng dụng/hệ điều hành: DLP tích hợp trong hệ điều hành và các ứng dụng để ngăn chặn các hành động như: Sao chép vào bộ nhớ đệm, chụp ảnh màn hình hoặc nhập dữ liệu nhạy cảm vào các chương trình trò chuyện. Mối quan tâm chung của endpoint DLP là khả năng chủ động lọc nội dung dữ liệu. Hầu hết các sản phẩm DLP đều cho phép cấu hình để nhận diện và ngăn chặn một số loại dữ liệu, vị trí lưu trữ và các hoạt động. Điều quan trọng là đảm bảo các cấu hình đó vẫn tuân thủ các chính sách của DLP.