اطلاع‌رسانیمقالات

جلوگیری از نشت داده

سازوکار DLP نحوه محافظت از داده‌های حساس در برابر سرقت و نشت داده‌ها

جلوگیری از نشت داده (DLP) همچنان یکی از موضوع­‌های چالش برانگیز در حوزه امنیت برای سازمان‌ها محسوب می‌شود. دلیل پیچیدگی این امر، وجود سطوح حمله مختلف و نامحدود بودن سناریوهای نشت داده و خروج داده از شبکه است. تمرکز این مقاله، هک و به خطر افتادن شبکه یا سیستم‌ها نیست. میزان حساسیت و جدی بودن هک کمتر از رخنه است، هک شدن اتفاقی است که پیش از رخنه رخ می‌دهد.

هدف این مقاله، فعالیت‌های مرتبط با شناسایی نشت داده و خروج اطلاعات است. پیچیدگی، صرفاً یک چالش فنی نیست بلکه چالش موجود بیشتر تعداد زیاد سناریوهایی است که یک برنامه DLP باید در آنها بین فعالیت‌های بی­‌خطر و فعالیت‌های نشان دهنده نشت داده و خروج اطلاعات از شبکه تفاوت قایل شود. تعریف فعالیت‌هایی که «خوب شناخته شده‌اند»، کسب و کارها را قادر می‌سازد به عملکردشان ادامه دهند. جهت طراحی تنظیمات تشخیص نشت داده و خروج داده‌ها از شبکه، مهندس DLP باید مثل یک مهاجم فکر کند و دید مناسبی نسبت به سطوح حمله مختلفی که ممکن است در فرایند استخراج داده‌ها مورد بهره‌برداری قرار گیرد، داشته باشد.

تحقیقات و سناریوهای معرفی شده در این مقاله نشان می‌دهد که روش‌های استخراج اطلاعات مناسب چگونه می‌توانند مکانیزم‌های تشخیص در شبکه را دور بزنند و باعث نشت داده به بیرون شوند. در این مطالعه، از پلتفرم‌های تجاری استفاده شده است. هدف این مطالعه ارتقا و بهبود مداوم برنامه‌های DLP سازمانی است که برای مقابله با خطر نشت داده و از دست رفتن داده‌های حساس طراحی شده‌اند.

مقدمه‌ای بر جلوگیری نشت داده

مقابله با نشت داده‌ها چالشی است که در مقایسه با لایه‌های امنیتی سنتی سازمان‌ها کاملاً متفاوت محسوب می‌شود. لایه‌های امنیتی سنتی سازمانی شامل «برنامه‌های تشخیص نفوذ شبکه» و «برنامه‌های محافظت از نقاط انتهایی شبکه» هستند. ویژگی‌های متفاوت برنامه DLP با سازوکارهای محافظتی امنیتی سنتی، دخالت سهام­‌داران (ذینفعان) کسب و کاری مختلف در برنامه DLP، مسئولیت کسب و کار برای بازرسی داده‌ها و مدیریت چرخه عمر برنامه است. این موارد مستلزم وجود هماهنگی، خط­‌مشی و تحلیل‌های دقیق و مبتنی بر جزییات است که منجر به افزایش پیچیدگی برنامه می‌شود.

تشخیص و جلوگیری از نشت داده‌ها می‌تواند از آسیب رسیدن به برند، باز ماندن از رقابت یا مشکلات قانونی جلوگیری کند. برنامه DLP سازوکاری است که یک سازمان با استفاده از آن حساس‌ترین داده‌های خود، محل‌های مجاز برای ذخیره یا پردازش داده، افراد یا برنامه‌های کاربردی که به داده‌ها دسترسی دارند و نحوه محافظت از داده‌های حساس در برابر سرقت و از دست رفتن را مشخص می‌کند. در بخش‌های زیر، یک چارچوب برای تعریف اجزای یک برنامه DLP را ارایه می‌کنیم.

در بخش‌های بعدی اجزای تشکیل دهنده استراتژی DLP و سطح شمول آنها در برنامه DLP را مشخص خواهیم کرد. این اجزا عبارتند از نوع داده‌ها، طبقه‌بندی داده‌ها و عوامل تهدید کننده امنیت داده‌ها. لازم است که طی چرخه مدیریت برنامه DLP این اجزا به صورت دوره‌ای تعریف، ارزیابی مجدد و تکمیل شوند.

انواع داده

به صورت کلی داده‌ها به دو صورت متفاوت ذخیره می‌شوند: ساخت یافته و بدون ساختار (یا غیرساخت یافته). Nemschoff (سال ۲۰۱۴) مثال‌های عملی و کاربری استفاده از داده‌های ساخت یافته و بدون ساختار را ارایه کرده است.

مثال قدیمی داده‌های ساخت یافته، یک پردازش در پایگاه داده است که عددهای باینری را به روشی ساخت یافته ذخیره و اندیس­‌گذاری می‌کند و به این ترتیب امکان ارجاع‌­دهی یا وابستگی‌های تکرار شونده (یا یادآوری) را فراهم می‌کند. ورودی و خروجی‌های هر پردازش، قابل تکرار و قابل پیش­بینی هستند و اینها ویژگی داده‌های ساخت یافته هستند. کاربردهای قابل پیش­بینی این داده‌ها پایان­‌پذیر و قطعی است. بنابراین منطق بازرسی DLP در رابطه با داده‌های ساخت یافته نیز پایان­‌پذیر و محدود است.

داده‌های بدون ساختار یا غیرساخت یافته شامل داده‌های مربوط به پردازش مستندات، ایمیل‌ها، اعلامیه‌های سرویس پیام کوتاه (SMS)، تعاملات صوتی/ تصویری یا عکس­‌ها هستند. DLP برای کار با چنین داده‌هایی با چالش روبرو است زیرا حالت پردازش این داده‌ها تصادفی و بی­‌پایان است. برخلاف داده‌های ساخت یافته، داده‌های غیرساخت یافته تکرارپذیر یا قابل پیش­بینی نیستند. به عنوان مثال، برنامه‌های کاربردی پردازش سند که به کاربران اجازه می‌دهند مستندات مختلف را تغییر داده و ذخیره کنند، جزو داده‌های بدون ساختار در نظر گرفته می‌شوند. تعیین این که چه چیزهایی باعث می‌شود محتوا یا زمینه یک سند حساس تلقی شود، یک چالش است و یک فرایند پایان­‌پذیر و قطعی نیست.

تعریف و طبقه‌بندی داده‌ها

تعریف نوع داده‌ها در برنامه DLP با دو هدف صورت می‌گیرد. اول این که پس از تعریف نوع داده، سازمان کاربرد داده را درک کرده و مکان‌های محدودی که ممکن است داده‌ها در آنجا وجود داشته باشد را شناسایی می‌کند تا از نشت داده جلوگیری نماید. دوم تعریف نوع داده، سازمان را قادر می‌کند تا یک روش و متد خاصی را برای طبقه‌بندی نوع داده تعریف کند. تعریف نوع داده مشخص می‌کند که آیا داده، ساخت یافته است یا غیرساخت یافته و یا هر دو.

در طبقه‌بندی، سازمان ویژگی‌های داده را تعریف می‌کند تا مطمئن شود که فناوری‌های تشخیص می‌توانند بر اساس آنچه در خط­‌مشی‌ها تعریف شده است، داده‌ها را شناسایی و مدیریت کنند. طبقه‌بندی نوع داده‌های حساس کمک می‌کند برنامه DLP بتواند قابلیت‌های تشخیصی مورد نیاز برای هشدار دهی به سازمان و پیشگیری از تخلفات مرتبط با داده‌ها و نشت داده را تعیین کند.

وجود ساختار طبقه‌بندی برای موفقیت یک برنامه DLP برای جلوگیری از نشت داده ضروری است. موقعیت، کاربران و نوع داده‌ها دایماً در حال تغییر است. با ارزیابی مداوم طبقه‌بندی و تغییر احتمالی مکان‌های مورد بازرسی، ساختار طبقه‌بندی باید حداکثر به پنج طبقه‌بندی یا خط‌‌­مشی محدود شود. وجود خط‌­مشی‌های استاندارد داخلی می‌تواند به کاهش زمان ارزش­‌گذاری کمک کند و علاوه بر این، پیاده‌­سازی آن دشواری کمتری دارد. این خط­‌مشی‌های داخلی، متمرکز بر داده‌هایی با کاربردهای سنتی هستند. کاربردهای غیراستانداری مثل جستجوی مالکیت معنوی منجر به افزایش پیچیدگی خواهد شد.

عوامل ایجاد خطر برای DLP

DLP در اصل برای هشدار دادن به سازمان‌ها در رابطه با سوءاستفاده‌های ناخواسته از داده‌ها و نشت داده توسط کارمندان سازمان طراحی شده است و هنگام اکتشاف، فرایندهای کسب و کاری مختل شده را شناسایی می‌کند.

هدف این طراحی، شناسایی تهدیدهای داخلی غیرمخرب است. این تهدید در مواقعی متداول است که کارمندی با دسترسی مناسب به داده‌ها، سهواً اما با اهداف غیر بدخواهانه از داده‌ها سوءاستفاده (استفاده نادرست) کرده و منجر به نقض فرایندها یا سیاست‌های حاکمیت داده و نشت داده می‌شود.

به عنوان یک مثال ساده، فرض کنید کارمند X داده‌های طبقه‌بندی شده را بر روی یک رسانه ذخیره خارجی متعلق به خودش ذخیره می‌کند تا کارهایش را در منزل انجام دهد. طبق خط‌­‌‌مشی‌های استاندارد حاکمیت داده، کارمندان اجازه ندارند داده‌های طبقه‌بندی شده را روی دارایی‌های طبقه‌بندی نشده شده کپی کنند یا بر روی سیستم‌های غیرسازمانی کپی یا تغییر دهند.

با گذشت زمان و پیشرفت فناوری، کاربردهای DLP هم تکامل پیدا کرده است. موارد به خطر افتادن امنیت شبکه و سیستم که منجر به نشت داده توسط کاربران خرابکار می‌شوند، افزایش چشم‌­گیری پیدا کرده‌اند. این افزایش، نشان دهنده نیاز به ارزیابی دوباره ویژگی‌­های افراد خطرناکی است که به دنبال دسترسی، سرقت یا نابودن کردن داده‌ها و ‌نشت داده هستند. این ارزیابی مجدد، منجر به تعریف دو نوع عامل خطر می‌شود که عبارتند از عوامل مخرب داخلی و خارجی.

عامل مخرب داخلی، کارمندی است که به دنبال نقض خط‌­مشی حاکمیت داده است. دلایل مختلفی برای این رفتار وجود دارد، ممکن است کارمند اخراج شده باشد، از این که به زودی کاهش رتبه پیدا می‌کند مطلع شده باشد یا یک شخص دیگری وی را متقاعد به سرقت داده‌ها و نشت داده‌ها کرده باشد.

عامل مخرب خارجی با سازمان در ارتباط نیست. خطرات ناشی از افراد خارجی می‌تواند از سوی رقبا، دشمنان یا غریبه‌هایی ایجاد شده باشد که قصد فروش داده‌های سازمان را دارند. ممکن است تهدیدهای خارجی DLP به دنبال این باشند که شرکت‌ها را وادار به توقف عملکرد فعلی کنند یا بر تصمیم‌گیری‌های آنها تأثیر بگذارند.

چند نمونه از این موارد عبارتند از تلاش برای پیشگیری از انتشار فیلمی توسط شرکت سونی پیکچرز که گروه‌هایی خاص آن را ناپسند می‌دانستند یا حمله به وب سایت اشلی مدیسون که در این حمله مهاجمین خواهان توقف عملکرد این سایت بودند. این سبک حملات، جزو فعالیت‌های هکتیویستی تلقی می‌شود. طبقه‌بندی عوامل خارجی می‌تواند بر اساس باورها و عقاید افراد دخیل متفاوت باشد. در هر صورت، حفظ حریم خصوصی مطابق با قانون یک عامل مهم است.

استقرار فناوری

تصمیم‌­گیری‌های صورت گرفته در رابطه با اجزای تشکیل دهنده راهبرد DLP برای جلوگیری از نشت داده تأثیر مستقیمی بر پیاده‌­سازی فناوری دارد. پیاده‌­سازی فناوری DLP، متمرکز بر ۳ عنصر کلیدی است یعنی قابلیت مشاهده بازرسی، قابلیت‌های بازرسی و واکنش در هنگام شناسایی.

قابلیت مشاهده بازرسی

تشخیص با توجه به قابلیت مشاهده و درک یا شناسایی محتوا تعیین می‌شود. بدون دستیابی به هر دوی این اهداف، بازرسی DLP غیرممکن است.

قابلیت دید به استقرار راهکار DLP به صورتی گفته می‌شود که این پلتفرم، دسترسی کاملی به جایی که قرار است داده در آن بازرسی شود را داشته باشد. در ابتدا راهبر DLP مشخص می‌کند که داده‌های حساس کجا استقرار یافته‌­اند و چه قابلیت‌هایی برای بازرسی وجود دارد. سه روش برای بازرسی وجود دارد که شامل اسکن کردن داده‌هایی که در حالت استراحت هستند، اسکن کردن داده‌هایی که در شبکه در حال حرکت هستند و اسکن کردن داده‌ها در نقاط انتهایی است.

برای اسکن کردن داده‌های در حال استراحت، یک بخش از پلتفرم DLP نزدیک داده‌های حساس قرار می‌گیرد و شروع به جستجوی محتوای حساس می‌کند. این پلتفرم‌های اسکن عموماً متمرکز بر محل‌های به اشتراک‌­گذاری داده‌ها در شبکه، ذخیره طولانی مدت داده‌ها، پشتیبان‌های پایگاه داده یا محل‌های ذخیره آرشیو هستند.

در رابطه با اسکن داده‌های در حال استراحت دو موضوع اهمیت چشم­‌گیری دارد:

  1. اثرات منفی شبکه بسیار دورتر از بخشی از DLP هستند که اسکن از آنجا انجام می‌شود. ممکن است بخش‌های اسکن داده‌های در حال استراحت نسبت به اسکن آسیب‌پذیری نویز بیشتری داشته باشند.
  2. درک راهبردهای پشتیبان‌­گیری و مدیریت رکوردها کلیدی است، زیرا اسکنر داده‌های در حال استراحت به صورت پیش­‌فرض فایل‌ها را باز کرده یا تاریخ‌های “last modified” را ویرایش می‌کند. بنابراین ممکن است منجر به ایجاد یک مغایرت بین راهکارهای پشتیبان‌­گیری و اسکن دوره‌ای DLP شود.

اسکن کردن داده‌های در حرکت در شبکه، یکی از قابلیت‌های بازرسی DLP برای جلوگیری از نشت داده است که به قسمتی از پلتفرم DLP امکان می‌دهد پروتکل‌های مبتنی بر شبکه که قادر به انتقال داده‌ها در پی‌لود هستند را بررسی کند. برای همگام ماندن با سرعت شبکه، برخی از این اجزا به گونه‌ای توسعه داده شده‌اند که بر پروتکل‌های محدودی متمرکز شوند؛ به عنوان مثال:

  • DLP مخصوص ایمیل بر پروتکل ساده نامه‌رسانی (SMTP)
  • پروتکل دفتر پست، نسخه ۳ (POP3)
  • ایمیل لوتوس و پروتکل دسترسی به پیام اینترنتی (IMAP)

سایر بخش‌های مبتنی بر شبکه DLP فقط بر بازرسی پروتکل‌های پرخطر قادر به انتقال داده متمرکز هستند مثل

  • پروتکل انتقال فایل (FTP)
  • پیام­‌رسانی فوری (IM)

می‌توان بخش‌های مختلف DLP شبکه را به صورت درون خطی معماری کرد تا بین جریان داده قرار بگیرند (محتوا به داخل آنها جریان پیدا می‌کند سپس به سمت رابط کاربری مجزا هدایت می‌شود) یا می‌توان آنها را خارج از باند بازرسی کرد.

برای طراحی درست معماری DLP مبتنی بر شبکه باید چند نکته را در نظر داشت. استقرار پلتفرم‌های بازرسی DLP را می­‌توان به صورت درون خطی یا در حالت Tap طراحی کرد. در هر دو روش، بازرسی به یک صورت انجام می‌شود اما قابلیت‌های واکنش در این دو حالت بسیار متفاوت است.

حالت درون خطی نیاز به دو رابط کاربری دارد؛ برای هر طرف ارتباط یک عدد. برای این که بین دو سیستم ارتباط انجام شود نشست باید از تجهیزات DLP عبور کند. در هنگام عبور از این تجهیزات می‌توان از طریق خط­‌مشی‌ها، نشست را بررسی کرد تا محتوای غیرمجاز شناسایی و از نشت داده جلوگیری شود. اگر محتوای غیرمجازی وجود داشت، تجهیزات DLP می‌تواند تمام روش‌های واکنشی را مورد استفاده قرار دهد.

حالت Tap نیاز به یک رابط کاربری واحد دارد که یک کپی از داده‌ها برای بازرسی بیشتر به آن ارسال می‌شود. از آنجایی که نشست وارد تجهیزات نمی‌شود، امکان استفاده از سازوکارهای عکس‌­العمل مثل قطع ارتباط درون این تجهیزات وجود دارد. دو سازوکار واکنشی کلی در این روش وجود دارد:

۱. برای ارتباطات مربوط به پروتکل کنترل انتقال (TCP) می‌توان یک ریست (reset) تنظیم کرد تا ارتباط قطع شود.

۲. دومین واکنش ممکن که توانایی کمتری دارد، ارسال یک فلگ به دستگاه Tapping است که نشان دهد یک تخلف (نشت داده) اتفاق افتاده است. این کار باعث می‌شود که اگر پیکربندی دیگری روی دستگاه Tapping وجود داشته باشد، این تخلف را مدیریت کند.

در رابطه با نحوه استقرار و پیاده­‌سازی، یک موضوع چالش برانگیزتر هم وجود دارد. یک شرکت کانادایی پیش‌­بینی کرده بود که تا انتهای سال ۲۰۱۶ درصد ترافیک رمزنگاری شده در مقایسه با ترافیک رمزنگاری نشده در این قاره ۹۰ به ۱۰ خواهد بود. نت فلیکس قرار است به سمت یک مدل استریمینگ رمزنگاری شده حرکت کند. برای بازرسی درست و کارآمد ترافیک رمزنگاری شده توسط تجهیزات DLP نیاز به طی کردن یک گام دیگر هم وجود دارد؛ یعنی باید پی­‌لود این ارتباطات رمزگشایی شود.

رمزگشایی ترافیک شبکه از دو جنبه مهم چالش برانگیز است، ۱. از لحاظ ظرفیت و ۲. حریم خصوصی.

برای رمزگشایی ترافیک به صورت بلادرنگ و لحظه‌ای جهت بازرسی، نیاز به یک سری نرم افزارهای تخصصی وجود دارد که برای رمزگشایی و رمزنگاری دوباره طراحی شده‌اند. این فرایند ممکن است به دلیل اضافه شدن پردازش‌های مازاد منجر به افزایش ۲ تا ۳ برابری تأخیر شود.

در رابطه با نوع داده‌هایی که رمزگشایی می‌شود، چالش حریم خصوصی هم وجود دارد. ممکن است کاربران شبکه هنگام انجام تراکنش‌های بانکداری آنلاین یا مشاهده اطلاعات حساس حوزه مراقبت‌های بهداشتی انتظار حفظ حریم خصوصی را داشته باشند. اتحادیه اروپا و کانادا سیاست‌ها و مقررات سنگین‌تری برای محافظت از شهروندان دارند. به همین دلایل مرتبط با حریم خصوصی لازم است نهادهای قانونی در مراحل اولیه و در بحث‌های مربوط به معماری پلتفرم DLP مشارکت داده شوند.

۳. سومین بخش از قابلیت دید در مرحله شناسایی اسکن کردن داده‌ها در نقاط انتهایی است. این بخش تفاوت چشم­گیری با دو بخش قبلی دارد. این راهکار که روی نقاط انتهایی پیاده‌­سازی می‌شود ماهیت نرم افزاری دارد و قابلیت مشاهده کاملی از سیستمی که نرم افزار DLP روی آن نصب شده است، دارد. برای فراهم کردن قابلیت دید، عامل DLP نقاط انتهایی باید دسترسی کاملی به پشته شبکه داشته باشد (بسیار شبیه به DLP شبکه) و به نقطه انتهایی نیز دسترسی سطح فایل داشته باشد.

ممکن است شناسایی داده‌های حساس در نقاط انتهایی نیاز به درک داده‌های ساخت یافته و بدون ساختار داشته باشد. تمرکز تشخیص‌های غیرساخت یافته، داده‌های حساس موجود در اسناد متنی و روش‌های مختلف دست‌کاری اسناد و داده‌ها است. کپی کردن، جاگذاری کردن، ذخیره به صورت یک فایل متفاوت و رمزگشایی برخی از دست‌کاری‌هایی هستند که عامل DLP باید حین بازرسی‌ها آنها را ارزیابی کند.

بازرسی داده‌های ساخت یافته حساس مبتنی بر برنامه‌های کاربردی مورد استفاده کاربران است. افزایش استفاده از برنامه‌های کاربردی وب منجر به افزایش نیاز به این روش‌های بازرسی مختلف شده است. به دلیل قابلیت تکرار فرایند، مقادیر ثابت و ماهیت توزیع شده باز نشر (به اشتراک­‌گذاری)، این داده‌ها ساخت یافته هستند. افزایش تعداد کاربران دستگاه‌های تلفن همراه هم موجب افزایش خطر نشت داده‌های ساخت یافته حساس شده است زیرا مالکان برنامه‌های کاربردی، نسخه‌های مخصوص تلفن همراه از این برنامه‌ها منتشر می‌کنند که در دستگاه‌های غیرشرکتی مورد استفاده قرار گرفته و امکان دسترسی به داده‌ها را فراهم می‌کنند.

قابلیت‌های بازرسی

وقتی قابلیت مشاهده برای شناسایی فراهم شد، نوبت به قابلیت‌های بازرسی می‌رسد. نصب و استقرار درست روی شبکه یا نقاط انتهایی با قابلیت شناسایی حرکت یا کار با داده‌ها متفاوت است. یک مثال مفید در این خصوص، شخصی است که قادر به مشاهده است (قابلیت مشاهده برای بازرسی) و اطلاع دارد که باید به دنبال چه فردی باشد (قابلیت بازرسی).

قابلیت بازرسی برای DLP دو دسته‌­بندی کلی دارد، ۱. بازرسی زمینه و ۲. بازرسی محتوا.

داده‌هایی که بر اساس زمینه بازرسی می‌شوند، با توجه به موقعیت، کاربردهای برنامه کاربردی یا کاربران توصیف می‌شوند. می‌توان بازرسی زمینه را مثل ابرداده‌ها برای داده‌های باینری واقعی در نظر گرفت. ابرداده به داده‌هایی گفته می‌شود که یک داده دیگر را توصیف می‌کنند. محل حساس داده‌ها، در واقع داده نیست بلکه مسئولیت بازرسی زمینه، اطمینان از این امر است که داده‌ها از یک محل حساس جابه‌­جا و منتقل نمی‌شوند. یک مثال دیگر از این موضوع، سندی است که یک برچسب متای مرتبط به آن الحاق شده تا بازرس زمینه بتواند داده را مطابق با خط­‌مشی تنظیم شده مدیریت کند.

داده‌های بازرسی شده بر اساس محتوا توسط برچسب یا نشانه­‌گذاری، تطبیق دقیق داده (EDM)، تطبیق سندهای اندیس­‌گذاری شده (IDM) و تطبیق رشته داده توصیف می‌شوند. همچنین می‌توان بازرسی داده را به دو صورت با پیچیدگی کم و با پیچیدگی زیاد انجام داد. روش بازرسی داده با پیچیدگی کم یک روش بازرسی است که در آن از برچسب، کلمات کلیدی، عبارت­‌های منظم یا سایر شرایط و قوانین ساده استفاده می‌شود.

بازرسی محتوا با پیچیدگی کم، تأثیرات کمتری بر کارایی دارد و به فعالیت‌های ناهنجار انجام گرفته روی محتوا توجه نمی‌کند. برچسب­‌گذاری یا نشانه‌گذاری روشی برای تشخیص سریع محتوای حساس از محتوای غیرحساس است. برچسب­‌گذاری خود داده با تگ‌های متایی که در بازرسی زمینه مورد استفاده قرار می‌گرفت تفاوت دارد. چالش برچسب یا نشانه­‌گذاری، حفظ کردن این برچسب‌ها و نشانه‌ها در کل چرخه عمر داده است. لحظه‌ای که پردازش محتوا باعث حذف یک نشانه یا برچسب شود، قابلیت بازرسی محتوای DLP از بین می‌رود مگر این که پلتفرم بازرسی DLP طوری طراحی شده باشد که داده حین پردازش ماندگار بماند که لزوماً این شرط در هر جایی برقرار نیست.

EDM از این اطلاعات که محتوا در یک پایگاه داده یا یک فرمت رابطه‌ای یا جدولی دیگر اندیس­‌گذاری شده، استفاده می‌کند. EDM یک روش بازرسی محتوا برای داده‌های ساخت یافته است. IDM یک روش بازرسی محتوا برای داده‌های بدون ساختار است که تمرکز آن اندیس­‌گذاری سندهایی است که در قالب پایگاه داده یا سایر روش‌های سازمان­دهی شده و تکرارپذیر قرار ندارند. تفاوت IDM با EDM این است که پلتفرم DLP (در روش IDM) باید همه یا بخشی از اجزای حساس سند را در اختیار داشته باشد تا تطبیق را بررسی کند زیرا (در غیر این صورت) منبع، مثل EDM ناشناس خواهد بود.

تطبیق داده برای تشخیص این که چه بخش‌هایی از محتوا حساس است، به پیکربندی خط­‌مشی DLP بستگی دارد. یک مثال متداول، جستجوی عددهای مربوط به کارت اعتباری است. یک مثال از عبارت منظم (Regex) در عکس زیر نمایش داده شده است:

 شکل ۱. مثالی از تطبیق داده‌ها با استفاده از عبارت­‌های منظم

شماره کارت بیشتر شرکت‌های صادر کننده کارت اعتباری به این صورت است که با یکسری اعداد و ارقام ثابت شروع می‌شود و بعد از آن یکسری ارقام متغیر با علایم متفاوت قرار می‌گیرد. تطبیق عبارت­‌های منظم این امکان را فراهم می‌کند که در بازرسی محتوا از منطق و الگوها استفاده شود تا بتوان بین داده‌های حساس و داده‌های غیرحساس تمایز قایل شد.

علاوه بر قالب‌های استاندارد کارت اعتباری، صادر کنندگان کارت اعتباری از الگوریتمی به نام Luhn استفاده می‌کنند تا به صورت خودکار اعداد معتبر برای صدور کارت اعتباری را تعیین کنند. در واقع ترکیب تشخیص بر اساس عبارت­‌های منظم و اعتبارسنجی با الگوریتم Luhn به پلتفرم‌های بازرسی DLP امکان می‌دهد با تعیین یک مجموعه عدد که منطبق با یک الگو هستند، تشخیص‌های مثبت کاذب را کم کنند.

بازرسی محتوای پیچیده بیشتر با قابلیت کاراکترخوان نوری (OCR) در ارتباط است. یک پلتفرم DLP که قادر به بازرسی OCR باشد می‌تواند در عکس­‌های با قالب‌های مختلف بازرسی محتوا با پیچیدگی کم را انجام دهد. یک مثال از این موضوع باز شدن داده‌های حساس در یک نقطه انتهایی مجاز و معتبر از شبکه با مایکروسافت ورد است. سپس کاربر وقتی سند باز است یک اسکرین­‌شات گرفته و فایل را با قالب PNG ذخیره می‌کند. روش‌های بازرسی محتوا با پیچیدگی کم قادر به تشخیص محتوای حساس داخل فایل PNG نیستند، چه قابلیت مشاهده برای تشخیص روی نقاط انتهایی نصب شده باشد یا شبکه و یا هر دو.

در بازرسی OCR از قواعد مخصوص محتوایی با پیچیدگی کم برای تشخیص داده‌های حساس درون فایل PNG استفاده می‌شود. ماهیت بازرسی OCR پیچیده به گونه‌ای است که نیاز به حافظه‌ای با ظرفیت بالا و قدرت پردازش زیاد دارد. به همین دلیل استفاده از OCR در قابلیت تشخیص برای شناسایی به ندرت صورت می‌گیرد. در واقع OCR نمی‌تواند تشخیص را به صورت بلادرنگ و لحظه‌ای انجام دهد.

واکنش به تشخیص

روش‌های واکنشی، اقدام‌­هایی هستند که می‌توان برای پیشگیری از بازنشر غیرمجاز داده‌ها (نشت داده) انجام داد. هشدار وقوع یک حادثه برای مقابله با نشت داده‌ها به تنهایی کافی نیست زیرا ممکن است هنگامی که بررسی رویداد انجام می‌شود، مهاجم رخنه مورد نظر را انجام داده و نشت داده اتفاق افتاده باشد.

روش‌های واکنشی بسته به این که آیا مطلوب است مهاجم متوجه شود اقدام­‌های او تحت نظارت قرار دارند و غیرمجاز هستند یا خیر متفاوت هستند. به عنوان مثال مسدود کردن عمل خروج داده‌ها باعث می‌شود مهاجم متوجه شود از عمل او برای نشت داده‌ها جلوگیری شده و بنابراین ممکن است نتواند عملیات خروج داده مورد نظر را انجام دهد. هر چند این مسدود کردن فوق­‌العاده کارآمد است اما منجر به دو سناریوی متداول می‌شود:

  1. ممکن است مهاجم سعی کند حمله را به روش‌های دیگری انجام دهد.
  2. تحلیل­گر DLP نمی‌تواند اطلاعات لازم درباره مهاجم را جمع‌­آوری کند.

برای پیشگیری از این شرایط، روش‌های واکنشی بدون مسدود کردن اقدام معرفی شده‌اند که عبارتند از تغییر داده‌ها، پاک­سازی داده‌ها و تحریف داده‌ها. این روش‌ها اطمینان می‌دهند داده‌ای به دست مهاجم می‌رسد که بی‌­استفاده شده است. هدف این روش‌ها، محافظت از نشت داده‌ها به گونه‌ای است که مهاجم از تلاش برای خروج داده‌ها منصرف نشود؛ تلاش‌های بعدی برای جمع­‌آوری تاکتیک‌ها، روش‌ها و رویه‌های (TTP) مورد استفاده مهاجم مفید است و می‌توان این اطلاعات را در سایر پلتفرم‌های امنیتی به عنوان شاخص‌های نشان دهنده به خطر افتادن (IOC) به کار بست.

در روش تغییر داده‌ها از روش پوشش بیتی استفاده می‌شود. پوشش بیتی یک روش واکنشی است که در آن از عملیات AND، NOT و OR برای تغییر داده‌های اصلی و تولید یک مقدار متفاوت استفاده می‌شود. از پوشش بیتی در فشرده‌­سازی داده‌ها و طراحی‌های گرافیکی جهت کاهش اندازه فایل استفاده می‌شود اما تفاوت آن در این نکته است که اینجا برنامه کاربردی ارسال کننده از عملیات پوشش بیتی اطلاع دارد و برنامه کاربردی دریافت کننده می‌تواند با معکوس کردن این عملیات به فایل اصلی دست پیدا کند.

DLP از روش تغییر داده برای تغییر داده‌ها در سطح باینری استفاده می‌کند به صورتی که نتیجه نهایی برای مهاجم قابل تحلیل یا قابل خواندن نیست. خطر چنین روشی این است که ممکن است مهاجم بتواند برای بازیابی داده‌های اصلی از الگوریتم‌های معکوس‌­سازی استفاده کند. در اصلاح داده‌ها می‌توان یکسری داده‌های بلااستفاده که از قبل مشخص شده‌اند را هم به داده‌های اصلی تزریق کرده و یکسری از بیت‌ها را بارها و بارها بازنویسی کرد. معکوس کردن این عملیات سخت‌تر است به این دلیل که نمی‌توان پیش­‌بینی کرد چه داده‌هایی بین داده‌های اصلی تزریق شده‌اند.

در پاک‌سازی داده‌ها هدف محتوایی خاص از یک مجموعه داده بزرگتر است. این داده‌ها که حداقل، داده‌های حساس را شامل می‌شوند، حذف می‌شوند. استفاده از این روش واکنشی نشان می‌دهد که مهاجم شناسایی شده است.

تحریف (معیوب­‌سازی) داده‌ها همان­طور که از آن نام پیدا است واکنشی است که منجر به ایجاد نقص و عیب در داده‌ها می‌شود. این روش ترکیبی از تغییر و پاک­‌سازی داده‌ها است.

اقدام و عمل کردن در هنگام وقوع یک رویداد DLP، هدف نهایی یک برنامه DLP است. رشد سریع حجم داده‌ها و تغییر فرایندهای کسب و کاری باعث شده دستیابی به این روش‌های واکنشی فوق­‌العاده سخت شود. روش‌های واکنشی نیاز به بازبینی دایم خط‌­مشی‌های تریگر کننده رویداد و واکنش‌های بعد از آن در هنگام وقوع تغییرات در سازمان دارد تا از اختلال در کار و صدور هشدارهای مثبت کاذب پیشگیری کنند.

تشخیص نشت داده و خروج داده

در ادامه یک روش نشت داده که در مقاله اکتبر ۲۰۱۴ در سایت Dark Reading تشریح شد را بررسی می‌کنیم. در این مقاله، هویت سازمانی که خروج داده‌ها از آن صورت گرفته است مشخص نشده اما این مقاله سطح بالای روش‌های مورد استفاده برای مبهم کردن عملیات و مقابله با تشخیص را نشان می‌دهد.

وقتی مهاجمین به سیستم مورد نظر دسترسی پیدا کردند از «قطعه­‌بندی» استفاده می‌کنند تا ابتدا داده‌ها را بخش‌­بندی کنند. پس از بخش­‌بندی، بخش‌های کوچکتر رمزنگاری می‌شود. این رمزنگاری با این هدف صورت گرفته تا سازمان نتواند داده‌های اصلی را تشخیص دهد. در نهایت، این داده‌های رمزنگاری شده به صورت یک قالب ویدیویی درآمدند تا سیستم بازرسی از این فایل‌هایی که نوع آنها تغییر کرده مطلع نشود.

مهاجم پس از خروج و نشت داده‌ها شناسایی شد و شاخص اصلی که نشان داد این اتفاق به وقوع پیوسته، یکسان بودن تمام بخش‌های ویدیو بود. پروتکل‌های ویدیویی معمولاً حین انتقال فایل آن را به قطعاتی با اندازه یکسان تقسیم نمی‌کنند. این مثال نشان دهنده پیچیدگی و چند لایه بودن روش‌های خروج و نشت داده است که تحلیل­گر DLP باید برای آن برنامه­‌ریزی کند و سناریوهای مختلف پیاده‌­سازی فناوری را برای مقابله با این روش‌ها ارزیابی کند.

تشخیص درون خطی نشت داده‌ها

روش‌های مبتنی بر خط‌­مشی بر اساس خط­‌مشی‌های تنظیم شده در فناوری تشخیص انجام می‌شوند. این سناریوی آزمایشی شامل دو کلاینت می‌شود (کلاینت A و کلاینت B) که هر یک در یکسوی پلتفرمی قرار دارند که خط­‌مشی در آنجا پیکربندی می‌شود. پروتکل انتقال داده‌ها بلوک پیام ساده  (SMB) است؛ یک پروتکل ویندوزی برای انتقال داده‌ها به صورت بدون رمزنگاری.

خط­‌مشی در این سناریو به گونه‌ای طراحی شده است تا وقتی یک شماره تامین اجتماعی (SSN) در استریم داده وجود داشته باشد، از انتقال فایل جلوگیری کند. بازرسی به صورت درون خطی انجام می‌شود. بنابراین می‌توان تکنیک واکنشی مسدود کردن را در این روش استفاده کرد.

در شکل‌های ۲ تا ،۹ دیاگرام و گام‌های پیکربندی خط­‌مشی را مشاهده می‌کنید. این دیاگرام، محلی از شبکه که در آن بازرسی انجام می‌شود را نشان می‌دهد.

شکل ۲. دیاگرام سناریوی درون خطی تشخیص SSN

در روش تعریف الگوی داده از مالکیت معنوی پلتفرم امنیتی جهت شناسایی SSN در استریم داده‌ای شبکه استفاده می‌شود. در قسمت Weight می‌توان یک آستانه حداقلی تنظیم کرد تا هنگامی که عدد مورد نظر از آن بیشتر شد، واکنش لازم صورت گیرد.

شکل ۳. تعریف الگوی داده

پروفایل فیلتر داده، به دنبال ترافیکی با الگوی از پیش تعریف شده است. همه برنامه‌های کاربردی و تمامی انواع فایل‌ها به صورت دو طرفه مورد بازرسی قرار می‌گیرند. واکنش‌های هشداردهی و مسدودسازی، هر دو تنظیم شده‌اند و مسدودسازی اولویت دارد.

شکل ۴. پروفایل فیلترینگ داده

سپس قانون خط‌­مشی امنیتی به نقاط ورودی و خروجی خاصی از شبکه جهت بازرسی اعمال می‌شود. در این پیکربندی، فیلترینگ داده­‌ها روی حالت SSN Profile تنظیم می‌شود. این کار اطمینان می‌دهد که قانون خط­‌مشی امنیتی متوجه می‌شود که نه تنها منبع و مقصد در مجاز دانستن یا رد کردن ترافیک تأثیر دارد بلکه محتوا نیز مورد بازرسی قرار می‌گیرد.

شکل ۵. خط­‌مشی امنیتی با پروفایل فیلترینگ داده

در ادامه محتوای فایل، موقعیت فعلی فایل آزمایشی و مقصد مورد نظر برای کپی فایل را مشاهده می‌کنید. یک پیام خطا به کاربر نمایش داده می‌شود مبنی بر این که فایل قابل کپی نیست.

شکل ۶. محتوای فایل

شکل ۷. محل فایل

شکل ۸. ناموفق بودن تلاش برای کپی

بررسی فایل‌های لاگ، تلاش برای برقراری ارتباط را همراه با پورت و پروتکل (برنامه کاربردی)، فایل مربوطه و اقدام واکنشی انجام شده نشان می‌دهد.

شکل ۹. لاگ‌­های ثبت شده برای کپی ناموفق

تشخیص SPAN/TAP خروج داده

نحوه استقرار شبکه برای سناریوی آزمایشی، در شکل ۱۰ نمایش داده شده است. پلتفرم بازرسی DLP خارج از رابط کاربری شبکه تحلیل­گر پورت نشست (SPAN) قرار گرفته است. پورت SPAN به نحوی پیکربندی شده است تا ترافیک دو طرفه مشاهده شده در رابط کاربری که کلاینت A به آن متصل شده است را کپی کند. سپس ترافیک کپی شده به خارج از رابط کاربری SPAN و به سمت پلتفرم بازرسی DLP هدایت می‌شود. بنابراین قابلیت مشاهده ترافیک به صورت خارج از باند را فراهم می‌کند.

یک فایل ورد متنی با داده‌های SSN از کلاینت A به مسیر http://contentiqtest.com آپلود می‌شود. پلتفرم بازرسی DLP با محتوا، قواعد و خط­‌مشی مورد نیاز برای تشخیص پیکربندی شده و اگر در شبکه SSN مشاهده شود، هشدار می‌دهد. وب سایت Contentiqtest.com یک سایت رایگان حاوی انواع فایل‌های تستی برای ارزیابی قواعد و خط­‌مشی‌های DLP است. این سایت برای انتقال داده‌ها از رمزنگاری استفاده نمی‌کند.

پیکربندی محتوا، قواعد و خط­‌مشی‌ها با آنچه در سناریوی درون خطی قبلی مشاهده شد متفاوت است. این پلتفرم بازرسی DLP با پلتفرمی که در شکل ۲ نمایش داده شده تفاوت دارد و امکان پیکربندی بیشتری را فراهم می‌کند. یکی از تفاوت‌های این دو پلتفرم، میزان قوی بودن پیکربندی است. Gartner تمایل دارد که پلتفرم سناریوی درون خطی DLP Lite باشد و نمی‌توان قابلیت‌های بازرسی جزیی را برای این حالت پیکربندی کرد.

شکل ۱۰. دیاگرام سناریوی SPAN/TAP جهت تشخیص SSN

پروفایل بازرسی محتوا یکی از جنبه‌های پیکربندی لازم برای بررسی محتوا توسط قوانین DLP است. محتوای Identity Profile برای شناسایی SSN با قالب‌های مختلف (مثلاً مواردی که با خط تیره، بدون خط تیره، با فاصله یا بدون فاصله هستند) به عبارت‌­های از پیش تنظیم شده وابستگی دارد. یک نمونه از تفاوت‌های بین پلتفرمی با DLP کامل و پلتفرم DLP Lite قابلیت بازرسی محتوا برای تشخیص این موضوع است که لزوماً تمام ترکیب‌های ۹ رقمی (برای SSN در آمریکا) SSN نیستند. مثلاً شماره ۱۲۳۴۵۶۷۸۹ در آمریکا یک شماره تامین اجتماعی معتبر نیست و منجر به تشخیص مثبت کاذب در پلتفرم‌های DLP Lite می‌شود.

شکل ۱۱. پروفایل بازرسی محتوا

سپس این پروفایل تشخیص با قوانین و بعد خط­‌مشی ارتباط داده می‌شود و اگر محتوایی مربوط به SSN موجود بود یک هشدار ایجاد می‌شود تا به تحلیل­گر DLP درباره وقوع حادثه اطلاع­‌رسانی کند.

شکل ۱۲. یک قانون که از عبارت پروفایل بازرسی محتوا استفاده می‌کند.

شکل ۱۳. قانون اعمال شده داخل خط­‌مشی

سپس این قانون به حسگری که قرار است بازرسی در آن انجام شود، اعمال می‌شود.

شکل ۱۴. آپلود داده‌های SSN به ContentIQTest

سپس کلاینت A به http://contentiqtest.com متصل شده و سعی می‌کند فایل ورد حاوی SSN را آپلود کند، همان محتوایی که در شکل ۲۱ مشاهده می‌شود. در ادامه مشاهده می‌کنید که یک حادثه سطح بالا ایجاد شده است.

هشدار سطح بالا

شکل ۱۵. واکنش هشدار سطح بالا

با انتخاب کردن گزینه Alert Summary می‌توان اطلاعات بیشتری را درباره حادثه مشاهده کرد. امکان نمایش این اطلاعات یکی دیگر از تفاوت‌های قابلیت‌های بازرسی DLP کامل با راهکارهای DLP Lite است؛ از این جهت که محتوایی که باعث تریگر شدن حادثه شده، برای تحلیل آسان­‌تر و تشخیص مثبت‌های کاذب از مثبت‌های درست نمایش داده می‌شود. مثال مربوط به سناریوی درون خطی منجر به تریگر شدن حادثه و مسدود شدن فایل شد اما اطلاعات و شواهد کمی در پلتفرم DLP Lite برای تشخیص وجود دارد.

واکنش به حادثه

شکل ۱۶. جزییات واکنش به حادثه

تشخیص رمزنگاری SSL خروج داده‌ها

در این بخش، پروتکل SSL که یک پروتکل انتقال داده رمزنگاری شده است به سناریوی تست SPAN/TAP قبلی اضافه می‌شود. SSL به عنوان یک پروتکل رمزنگاری، منجر به ایجاد یک چالش اضافه برای بازرسی DPL می‌شود. امکان بازرسی بدون دسترسی به پی­‌لود رمزگشایی شده وجود ندارد. در این سناریوی آزمایشی، سازوکار رمزگشایی SSL هم اضافه شده و ترافیک SSL رمزگشایی شده به سمت پلتفرم بازرسی DLP هدایت می‌شود.

اضافه شدن کانال ارتباطی رمزنگاری شده منجر به ایجاد مفهوم خروج داده به روش مخفی یا آشکار می‌شود. در خروج آشکار، داده‌ها به صورتی خارج می‌شود که قابل مشاهده هستند. در روش مخفی سعی می‌شود این کار به شکلی انجام شود که به آسانی قابل شناسایی نباشد و گاهی به صورت ترافیک رمزنگاری شده انجام می‌شود.

تغییر معماری در دیاگرام بعدی نمایش داده شده که قابلیت رمزگشایی SSL به صورت درون خطی با ترافیکی که قرار است بازرسی شود را نمایش می‌دهد.

رمز گشایی

شکل ۱۷. دیاگرام تشخیص رمزگشایی SSL خروج داده‌ها

سعی می‌شود همان سند ورد که در سناریوی SPAN/TAP استفاده شد به مسیر https://dataleaktest.com آپلود شود. این سایت امکان استفاده از SSL رمزنگاری شده را به صورت پروتکل فراهم کرده است.

خلاصه هشداری که در ادامه نمایش داده شده، نشان می‌دهد در فایلی که در حال انتقال بوده یک SSN شناسایی شده است. این حادثه با بررسی جزییات هشدار به راحتی قابل تأیید است. این سناریو نشان می‌دهد که تشخیص خارج از باند DLP منجر به ارسال داده‌های رمزنگاری نشده از پلتفرم رمزگشایی و انتقال SSL شده است، در غیر این صورت بازرسی انجام نمی‌شد.

خلاصه هشدار

شکل ۱۸. خلاصه هشدار قابلیت مشاهده SSL (فقط هشدار)

جزییات هشدار

شکل ۱۹. جزییات هشدار

رمزگشایی SSL خروج داده دور زدن تشخیص عکس

در آخرین سناریو از تمام قابلیت‌های تست رمزگشایی و انتقال SSL قبلی استفاده می‌شود. تنها تفاوت اینجا است که سند ورد حاوی SSN معتبر تأیید شده تبدیل به یک فایل تصویری PNG شده است. این آزمایش، ناتوانی پلتفرم DLP Network Based برای بازرسی فایل‌های OCR جهت تشخیص وجود الگو یا محتوا را نشان می‌دهد.

آپلود عکس

شکل ۲۰. آپلود عکس

محتویات فایل

شکل ۲۱. محتویات فایل PNG

OCR منجر به مصرف بسیار زیاد منابع می‌شود و برای پلتفرم‌های بازرسی DLP مبتنی بر شبکه توصیه نمی‌شود. از OCR در پلتفرم‌های بازرسی DLP آفلاین و نقاط انتهایی استفاده می‌شود. آپلود با موفقیت انجام می‌شود و شواهدی از ترافیک شبکه موجود است. به دلیل عدم وجود امکان بازرسی OCR نقض خط‌­مشی گزارش نشده است.

نشت داده

شکل ۲۲. ترافیک تشخیص داده شده قابلیت بازرسی OCR یا هشداردهی وجود ندارد.

در این سناریو، داده‌های حساس با موفقیت از داخل سازمان به یک نهاد بیرونی ارسال شده و نشت داده اتفاق افتاده است.

نتیجه ­گیری

برای موفقیت برنامه‌های DLP نیاز به ارزیابی، ارزیابی‌های مجدد، تعریف موارد استفاده و تست و آزمایش وجود دارد. تعریف و آشنایی با روش‌های تحقیقاتی برای قابلیت مشاهده DLP، تشخیص و پیشگیری جزو فعالیت‌های همیشگی و ثابت تحلیل­گران و راهبران DLP است. بهبود مداوم برنامه با توجه به نرخ ایجاد سیستم‌های کسب و کاری دارای داده‌های حساس، تکامل روش‌های پیچیده خروج داده، پیشرفت‌های مداوم پروتکل‌ها و توسعه برنامه‌های کاربردی انجام می‌شود. بهبود برنامه، راهبر DLP را به چالش می‌کشد تا محیط فناوری اطلاعات سازمان را بررسی کرده، داده‌های حساس را تعریف و مشخص کند چگونه می‌توان به بهترین شکل ممکن پردازش داده‌های حساس را شناسایی کرد.

در این مقاله فقط بر جنبه «داده‌های در حرکت» DLP پرداخته شد. برای تعریف و آزمون سناریوهای مختلف، نیاز به کارهای بیشتری وجود دارد. باید تحقیقاتی مشابه برای بررسی داده‌های در حال استراحت و داده‌های روی نقاط انتهایی انجام شود. این مقاله یک برنامه DLP Protection کامل را برای شرکت‌ها ارایه می‌کند. جلوگیری از نشت داده را جدی بگیرید.

پیشنهاد ما مطالعه مقاله:

هشدار: هزینه نشت داده رو به افزایش است” می‌باشد.

با ما همراه باشید.

نمایش بیشتر

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

18 − 8 =

دکمه بازگشت به بالا
بستن
بستن