خبرمقالات

اصول انتخاب یک راهکار DLP مناسب

نشت داده‌ها و خروج غیرمجاز اطلاعات سازمانی همواره یکی از دغدغه‌های اصلی سازمان‌ها بوده است. پیش‌بینی می‌شود که با همه‌گیری بیماری کرونا و دورکاری کارمندان، نشت اطلاعاتی روند صعودی داشته باشد.

سوءاستفاده کارمندان از سطح دسترسی که به داده‌های سازمانی دارند، انتقام کارمند اخراجی از سازمان و عامل مخرب بیرونی که معمولاً نفوذگری است که با سازمان در ارتباط نیست، از جمله عوامل مهم نشت داده ها محسوب می شوند.

نشت داده‌ها و خروج غیرمجاز اطلاعات سازمانی

یکی از راهکارهای امنیتی برای جلوگیری از نشت داده‌ها، DLP است که نحوه محافظت از داده ­های حساس و مکان ­های مجاز برای ذخیره یا پردازش آنها را تعیین می­ کند. در واقع هدف DLP، توقف افشای غیرمجاز اطلاعاتی است که به عمد یا تصادفی به خارج از سازمان انتقال می یابند. بنابراین تمام سازمان‌هایی که دارای داده‌های ارزشمند هستند، نیازمند استفاده از راهکارهای DLP می باشند.

با توجه به اهمیت موضوع نشت اطلاعات و حفاظت از داده‌های سازمانی، راهکارهای DLP همواره در حال توسعه هستند. حتی تعدادی از سازمان‌ها از راه‌حل‌های ترکیبی برای راه اندازی DLP بر روی داده‌های مختلف شان استفاده می نمایند. این اقدام می تواند درصد موفقیت راهکار DLP را تا حدود زیادی افزایش دهد.

امروزه راهکارهای DLP بسیار پیچیده‌تر از گذشته شده‌اند و هر یک از آنها نیز به صورت متفاوتی رشد و تکامل پیدا کرده اند. در این مطلب از فراست به شما خواهیم گفت که چگونه می‌توانید یک سیستم DLP مناسب را بر اساس قابلیت‌های مورد نظر سازمان تان انتخاب کنید.

راهکارهای جلوگیری از نشت داده (DLP) از جمله ابزارهای مورد استفاده تیم‌های امنیت سایبری هستند که با توجه به میزان اهمیت اطلاعات سازمانی، همواره بر محبوبیت آنها افزوده می‌شود. با این حال، بسیاری از سازمان‌ها از نکات و اصول انتخاب یک راهکار DLP مناسب مطلع نیستند.

متأسفانه معمولاً سیستم‌های DLP قابلیت‌هایی دارند که در تبلیغات انجام شده برای بازاریابی، اشاره‌ای به آنها نمی شود. مثلاً هزینه انتخاب غلط در این زمینه می‌تواند برای سازمان بسیار زیاد باشد. در نتیجه کارشناسان امنیت اطلاعات باید ویژگی‌های این راهکارها را به دقت بررسی کرده و به دنبال رویکردی فراتر از مقایسه معمولی راهکارهای موجود باشند.

راهکارهای جلوگیری از نشت داده (DLP)

بسیاری از سیستم‌های DLP، سطوح پیچیدگی مختلفی دارند. معمولاً ویژگی‌های اضافه‌ای که برای این راهکارها گفته می‌شود منجر به جلب توجه مشتریان می شود. باید به این نکته توجه داشت که وجود چنین ویژگی‌هایی به معنای آن نیست که این راهکارها قادر به برطرف کردن نیازها و برآورده کردن انتظارات مشتریان شان هستند. بعضی از طراحان این محصولات که برای عرضه آنها عجله نسبتاً زیادی هم دارند در زمینه توجه به تجربیات کاربری، قابلیت استفاده و سطح کیفیت محصول دچار غفلت می‌شوند.

مزیت اصلی یک راهکار سازمانی بالغ این است که ارایه دهنده آن می‌تواند همواره از راهکار خود پشتیبانی کرده و قابلیت‌های جدیدی را به آن اضافه نموده و در صورت نیاز نیز اقدام به به‌روزرسانی آن کند. باید توجه داشته باشید که سیستم‌های DLP معمولاً بر اساس یک چشم‌انداز سه تا پنج ساله انتخاب می‌شوند. بنابراین تنها شرط انتخاب آنها نباید انطباق با قوانین و استانداردهای فعلی باشد بلکه می بایست مطمئن شوید ارایه دهنده آنها قادر است کارها و مشکلاتی که ممکن است شرکت شما در آینده با آنها روبرو شود را پیش‌بینی و مرتفع نماید.

در ادامه این مطلب، نکاتی را مطرح کرده‌ایم که می‌توانید با در نظر گرفتن و به کارگیری آنها یک راهکار DLP مناسب که مطابق با خواسته‌ها و استانداردهای مدنظر سازمان تان باشد را انتخاب کنید.

 

ایجاد محدودیت در محتوا

وظیفه یک سیستم DLP، جلوگیری از نشت داده‌ها در اثر خطاهای کارمندان یا آلودگی‌های بدافزاری است. تنها راه رسیدن به این هدف، خاتمه دادن به هرگونه عملیات مشکوک در سیستم ها به صورت پیشگیرانه می‌باشد. بسیاری از شرکت‌ها ترجیح می‌دهند از راهکارهای DLP فقط در حالت نظارتی استفاده کنند، نه برای دستکاری مستقیم جریان‌های داده‌های شبکه.

ایجاد محدودیت در محتوا

استفاده از راهکارهای مسدودسازی محتوا ممکن است جزو اولویت‌های سازمان‌ها نبوده و مسئولان امنیتی هم تدابیر و برنامه‌ریزی های لازم را در این خصوص نکرده باشند. کارشناسان امنیت سایبری می‌توانند با استفاده از روشی که نظارت تهاجمی کمتری دارد، با تشخیص‌های مثبت کاذب یا نقص در سیستم های DLP مقابله کنند. برای مثال اگر چنین راهکاری، واکنش افراطی به یک رویداد را در پی داشته و منجر به ایجاد اختلال در سامانه ایمیل سازمانی یا سایر سامانه های حیاتی سازمان شود، احتمال دارد پیامدهای این اختلال حتی از نشت داده ها هم بیشتر باشد.

مشکل بسیاری از سیستم‌های DLP این است که گزینه‌های محدودی برای پیکربندی دارند. نشت اطلاعاتی که در صورت عدم فعالیت گزینه حالت مسدود‌سازی محتوا رخ می‌دهد، پیامدهای سنگین و هزینه‌های زیادی در پی دارد. علاوه بر این همواره بر تعداد قوانین بین المللی که سازمان‌ها را ملزم به استفاده از سیستم‌های مسدودسازی محتوا برای جلوگیری از نشت اطلاعات می‌کند، افزوده می‌شود.

بعضی از سازوکارهای ارتباطی تحت نظارت ابزارهای DLP را نمی توان به دلایل امنیتی مسدود کرد. برای نمونه، در رابطه با پیام‌رسان‌های تلگرام و واتساپ به دلیل فنون رمزنگاری خاص آنها تنها گزینه قابل استفاده، اعمال نظارت غیرفعال است. با این حال، یک سیستم DLP در صورتی که قابلیت پشتیبانی از مسدودسازی ایمیل، چاپگر، پورت USB و سرویس‌های وب مبتنی بر پروتکل های HTTP/HTTPS را نداشته باشد، در هنگام تشخیص یک فعالیت ناهنجار از کارایی کافی برای برطرف سازی آن برخوردار نخواهد بود.

 

تحلیل محتوا و سیاست‌ها

تحلیل محتوا و سیاست‌ها

سیستم‌های DLP به‌ گونه‌ای طراحی نشده اند که به عنوان یک ابزار حفاظتی کامل عمل کنند. با گذر زمان، بعضی از توسعه‌دهندگان، لایه‌های امنیتی و کنترل‌های جدیدی را برای حفاظت از کانال‌های ارتباطی مختلف به آنها اضافه کرده اند. از آنجا که محدودیت‌ها و ویژگی‌های خاص ماژول اصلی باید با تغییرات بعدی معماری سازگار باشد بنابراین این احتمال وجود دارد که نتیجه نهایی کار آن چنانکه باید با کارایی مورد انتظار از محصول نهایی همخوانی لازم را نداشته باشد.

در نتیجه، نحوه پیاده‌سازی تحلیل محتوا در یک سیستم DLP می‌تواند راجع به نقطه شروع تحول آن اطلاعات لازم را بدهد. برای مثال اگر یکی از کارگزارهای (Agent) نقاط انتهایی در یک دستگاه تحت نظارت، جهت تحلیل بیشتر از پروتکل SMTP (از این پروتکل برای ارسال ایمیل استفاده می‌شود) برای ارسال داده به سرور DLP  استفاده کند می‌توان چنین گفت که این راهکار در ابتدا فقط شامل ماژول بررسی ایمیل بوده است. کارگزار در این حالت ممکن است حکم نهایی سرور را پس از تحلیل مربوطه دریافت نکند. در این صورت امکان اجرای روش مسدودسازی محتوا برای شرایطی که در آن فایلی روی یک حافظه فلش ذخیره شده است، دیگر میسر نمی باشد.

یکی دیگر از نقاط ضعف پیاده‌سازی چنین راهکاری این است که مانع ارتباط دایمی با سرور می‌شود. در نتیجه ممکن است تراکم شبکه باعث ایجاد اختلال در اجرای فرایند کار تحلیل شود. بنابراین شما باید بررسی کنید که آیا راهکار DLP مورد نظرتان امکان اولویت‌بندی ترافیک شبکه را دارد یا خیر.

با داشتن یک معماری کامل و جامع می‌توان تحلیل محتوا را در نقطه‌ای انجام داد که سیاست‌ها تأثیر زیادی در آن دارند؛ یعنی در سطح کارگزار نقاط انتهایی. به این ترتیب نیازی به ارسال حجم انبوهی از داده در شبکه وجود نداشته و احتیاجی هم به آن نیست که در معادلات امنیتی تان به چالش‌های تنظیم اولویت ترافیک فکر کنید.

 

عدم ارتباط با شبکه سازمانی     

به جز پیاده‌سازی راهکار تحلیل محتوا و اعمال سیاست‌های سازمانی، کارگزار DLP باید قادر به ارسال اطلاعات رویدادها، کپی برداری از فایل‌های مختلف و سایر اطلاعات مدنظر به سرور باشد. این جزییات ارزشمند در صورتی که مخزن داده‌های سرور در دسترس نباشد، از دست می‌روند. بنابراین معمولاً چنین اطلاعاتی در یک درایو درون شبکه باقی مانده و به محض برقراری مجدد ارتباط، به سرور ارسال می‌شوند.

با توجه به وضعیت ارتباط با سرور می‌توان از سیاست‌های مختلفی استفاده کرد که مشخص می‌کنند در صورت برقراری ارتباط با سرور یا زمانی که ارتباط از طریق وی‌پی‌ان برقرار یا قطع می‌شود، چه اقداماتی باید انجام شود. این موضوع برای مواقعی که مثلاً کارمندان، لپ‌تاپ‌های سازمانی را برای انجام دورکاری یا در سفرهای کاری، به خارج از محیط سازمان منتقل می‌کنند، اهمیت زیادی دارد.

 

راحتی

کاربران مختلف نسبت به سطح راحتی استفاده از سیستم و مدیریت کارها دیدگاه‌های متفاوتی دارند. بعضی از آنها استفاده از خط فرمان را برای مدیریت DLP ترجیح می‌دهند و بعضی دیگر نیز خواهان آن هستند که امکان تنظیم سیاست‌ها و قوانین، با استفاده از زبان‌های اسکریپت نویسی وجود داشته باشد. در بسیاری از مواقع وجود یک رابط کاربری مناسب و ساده، مهمترین مزیت محصول تلقی می‌شود.

عدم ارتباط با شبکه سازمانی     

در رابطه با تجربیات کاربران از نظر کار با رابط کاربری باید به چند نکته مهم توجه داشت. اول اینکه بیشتر کاربران مایل به وجود یک داشبورد مدیریتی یکپارچه هستند. امروزه استفاده از کنسول‌های تحت وب، به امری بسیار متداول تبدیل شده است. علاوه بر این، امکان پشتیبانی از آنها در سیستم عامل های مختلف وجود داشته و نیازی به نصب نرم‌افزار اضافه وجود ندارد. همچنین کار کردن با آنها نیز از طریق تلفن همراه به راحتی امکان پذیر است.

اگر محصولی برای کار با ماژول‌های مختلف، کنسول‌های متفاوتی را در اختیار شما قرار می‌دهد به معنای آن است که چنین محصولی به عنوان یک راهکار جامع واحد، طراحی نشده و ممکن است اجزای مختلف آن توسط مهندسان یا شرکت‌های متفاوتی طراحی شده و سپس در سایر مراحل چرخه توسعه، به هم متصل و ادغام شده اند.

یکی دیگر از جنبه‌های مهم این سیستم‌ها، «چندکاناله» بودن آنها است. برای مثال در چنین سیستمی اگر بخواهید سیاست خاصی را برای مدیریت الزامات قانونی تعریف کنید، کافی است که آن را یک بار انجام داده و کانال‌های مورد نظر (ایمیل، سرویس‌های تحت وب، درایو USB و غیره) را تعریف کرده تا سیاست مدنظر شما به شکل خودکار به این کانال‌ها اعمال شود.

در یک سیستم DLP که چنین طراحی یکپارچه‌ای نداشته باشد باید سیاست‌ها را برای هر کانال به صورت مجزا تعریف کنید. هر چند ممکن است این موضوع در ابتدا مهم به نظر نرسد اما افزایش تعداد سیاست‌ها منجر به پیچیدگی سیستم می‌شود. وقتی تعداد سیاست‌ها زیاد شده و شرایط اعمال آنها از جمله نوع کاربران و بازه زمانی تأثیرگذار بر آنها متفاوت باشد، حفظ هماهنگی بین همه آنها بسیار دشوار خواهد شد.

 

الزامات مربوط به تعداد سرورها

تعداد سرورها

یکی از نشانه‌های یک سیستم DLP غیربالغ، تعداد بسیار زیاد سرورهایی است که سیستم برای اجرای عملیات به آنها نیاز دارد. برای مثال اگر پروژه‌ای آزمایشی که برای ۱۰۰ کارمند اجرا شده به بیش از ۱ سرور نیاز داشته باشد، منابع مورد نیاز چنین معماری در مرحله پیاده‌سازی نهایی بسیار بیشتر خواهد بود.

یک سیستم قوی و حرفه‌ای، قابلیت مقیاس‌پذیری زیادی دارد. در سازمان‌های بزرگ باید گزینه‌ای جهت ایزوله کردن اجزای مختلف سیستم و تخصیص سرورهای ویژه به هر یک از این اجزا وجود داشته باشد؛ در حالی که در شبکه‌های کوچکتر، تعداد سرورهای مورد نیاز برای حفظ عملکرد سیستم DLP نباید به صورت نمایی رشد کنند.

 

پیاده‌سازی انعطاف‌پذیر

یک سیستم DLP باید از نظر روش پیاده سازی، انعطاف‌پذیری کافی را داشته باشد. به این ترتیب علاوه بر راحت بودن ترکیب این راهکار با زیرساخت‌های فعلی سازمان، برقراری توازن بین عملکرد و بار پردازشی سیستم، همزمان با حفظ کنترل بر کانال‌های مختلف راحت‌تر انجام می‌شود.

سیستم DLP

سیستم‌های DLP مختلف، گزینه‌های ویژه ای برای کنترل کانال‌های متفاوت در سطح کارگزار نقاط انتهایی دارند. به همین خاطر شرکت‌ها می‌توانند در هنگام توسعه، این راهکارها را کاهش داده و هزینه های مهندسی نرم افزار را کمتر کنند.

یک ابزار DLP کارآمد، به جز استفاده از کارگزار نقاط انتهایی به عنوان منبع کنترل حرکت داده‌ها، روش‌های پیاده‌سازی جایگزین را هم در اختیار شما قرار می‌دهد. این روش‌ها عبارتند از:

  • امکان یکپارچگی با سرور ایمیل که به شما این امکان را می‌دهد تا بر ایمیل‌های داخلی نیز نظارت داشته باشید.
  • امکان دریافت مکاتبات ایمیلی ورودی از یک صندوق پیام
  • استفاده از پروتکل ICAP[۱] به منظور یکپارچگی با اینترنت
  • یک سرور مجزای انتقال ایمیل

معمولاً شرکت‌های بزرگ، سرورهای پروکسی خاص خودشان را داشته که به صورت یکپارچه با سیستم DLP برای نظارت بر ترافیک های HTTP و HTTPS ادغام می‌شوند.

 

زیرساخت ابریزیرساخت ابری

از آنجا که امروزه بسیاری از شرکت‌ها به سمت دورکاری حرکت کرده و به دلیل شرایط به وجود آمده مجبور هستند در هزینه سرویس‌های امنیتی خود صرفه‌جویی کنند، به تدریج بر تعداد و کیفیت راهکارهای DLP ابری در حال افزوده شدن است. هم اکنون ممکن است حتی بعضی از اجزای سرورهای DLP، در بسترهای ابری قرار داشته باشند. معمولاً چنین شرایطی برای پروژه‌های آزمایشی و سازمان‌های کوچک اتفاق می‌افتد.

آرشیو یک سیستم DLP شامل اسرار سازمانی زیادی است و بسیاری از کسب‌وکارها مایل به قرار گرفتن آن در یک محیط کنترل نشده نیستند. اگر سیستم DLP از قابلیت میزبانی ماژول‌های سرور در ابر پشتیبانی نکند، این ویژگی ممکن است برای سازمان ها پیامدهای ناگواری را در پی داشته باشد.

البته در رابطه با کنترل سرویس‌ها و مخازن ذخیره اطلاعات در بستر ابری مشکلات خاصی وجود دارد. به عنوان مثال احتمال دارد سازمانی قصد استفاده از Google Workspace یا سرورهای ایمیل مایکروسافت Office 365 را داشته باشد که شامل جزییات و ریزه‌کاری‌های زیادی است. بنابراین جهت دسترسی به سرورهای ایمیل می‌توانید از مرورگر خودتان یا از یک کلاینت قدیمی مثل Microsoft Outlook استفاده کنید که برای هر گزینه، پروتکل‌های متفاوتی باید پیاده سازی شود.

همچنین هنگام استفاده از سرویس ذخیره ابری باید مطمئن شد که سیستم DLP همه پوشه‌های ذخیره شده در بستر ابر را به صورت مداوم ارزیابی می‌کند. برای حل این مشکل، راهکارهای جدیدی موسوم به «کارگزار امنیت دسترسی به ابر (CASB)» ابداع شده‌اند که از نظر قابلیت‌ها شباهت‌هایی با سیستم‌های DLP دارند.

 

امکان یکپارچگی با سایر سرویس‌های امنیتی سازمان

امکان یکپارچگی با سایر سرویس‌های امنیتی سازمان

بهره مندی از این ویژگی به وجود سرویس اکتیو دایرکتوری مایکروسافت ارتباطی ندارد زیرا این قابلیت، به صورت پیش‌فرض در تمام سیستم‌های DLP وجود دارد. در واقع ویژگی یکپارچگی با سایر سرویس‌های امنیتی، به قابلیت ادغام با یکی از راهکارهای زیر اشاره دارد:

  • مدیریت رویدادها و اطلاعات امنیتی (SIEM[۲]): نداشتن قابلیت سازگاری در این زمینه، یکی از متداول‌ترین خلاءهای موجود در زیست بوم امنیتی سازمان‌ها محسوب می‌شود. هر متخصص امنیت اطلاعات تمایل دارد رویدادهای DLP، قابل ادغام با سیستم SIEM باشند. اگرچه بیشتر سیستم‌های SIEM مدرن، امکان دانلود داده‌ها از یک پایگاه داده DLP را دارند ولی اگر راهکار DLP از همان ابتدا از پروتکل‌هایی مثل Syslog و CEF پشتیبانی کند، کارایی آن بسیار بیشتر خواهد بود. در چنین حالتی می‌توان سیستم DLP را به گونه‌ای تنظیم کرد که همیشه در جریان اطلاعاتی که وارد پایگاه داده SIEM می‌شود، قرار گیرد.
  • مدیریت حقوق دیجیتال سازمانی (EDRM[۳]): این سیستم‌ها می‌توانند مکملی برای راهکارهای DLP بوده و حتی برعکس این قضیه نیز عمل نمایند. اگر پیکربندی آنها به خوبی انجام شده باشد، این دو راهکار در ترکیب با هم؛ یک لایه حفاظتی بسیار قوی را تشکیل می‌دهند. در این حالت، DLP هیچ مشکلی برای تفسیر سیاست‌های EDRM نخواهد داشت و می‌تواند از بعضی قوانین آن برای اجرای سیاست‌های خودش مثلاً درباره فعالیت‌هایی همچون تولید گزارش یا جستجوی محتواهای آرشیو شده استفاده کند. علاوه بر این، سیستم DLP می‌تواند به طور کامل و بر اساس اصول از پیش تعریف شده، از تعدادی از سیاست‌های EDRM نیز استفاده نماید.
  • سیستم‌های طبقه بندی داده: ابزارهای DLP قوی و حرفه‌ای می‌توانند نشانه ها و برچسب‌هایی که توسط سیستم‌های طبقه بندی داده ها بر روی اسناد درج شده اند را پردازش کنند. به این ترتیب اگر کار پرزحمت طبقه بندی داده‌ها از قبل انجام شده باشد می‌توان به راحتی از کارهای از پیش انجام شده، استفاده کرد.

 

سازگاری با سیستم عامل های مختلف

سازگاری با سیستم عامل های مختلف

یک سیستم DLP کارآمد، قابلیت سازگاری با سیستم عامل های مختلف را دارد. بسیاری از ابزارهای ابتدایی و ساده فقط امکان پشتیبانی از سیستم عامل ویندوز را دارند که ممکن است برای شما کافی نباشد. از طرف دیگر با توجه به اینکه شاید در آینده به هر دلیلی ملزم به استفاده از سیستم عامل های دیگری مثل لینوکس شویم پس توصیه می‌شود سیستم‌های DLP مورد استفاده، ماژول‌های کارگزاری داشته باشند که برای ویندوز، مک و لینوکس طراحی شده‌اند.

در خصوص دستگاه‌های سیار هم باید به سیستم عامل‌های iOS و اندروید توجه لازم را داشت. بنابر دلایل فنی، در حال حاضر امکان ایجاد یک کارگزار کامل برای تبلت و گوشی‌های هوشمند وجود ندارد (به ویژه برای محصولات اپل که حملات مختلفی به آنها صورت گرفته است). در این شرایط، بهترین راهکار وجود کنسول تحت وب است. بنابراین هنگام پیاده‌سازی راهبرد «دستگاه خودتان را به سرکار بیاورید» می‌توانید از یک راهکار مدیریت دستگاه‌های سیار استفاده کرده تا علاوه بر امکان استفاده از قابلیت‌های سیستم عامل‌های تلفن همراه، قابلیت تعریف سیاست‌های حریم خصوصی و به حداقل رساندن مخاطره نشت داده‌ها را نیز داشته باشید.

 

نتیجه گیری

سیستم‌های DLP، رشد ناهمگونی را تجربه کرده‌اند. یک سیستم DLP کارا می بایست قابلیت یکپارچگی، عملکرد هماهنگ و امکان پشتیبانی از کانال‌های مختلف را داشته باشد. در دنیای امروزی هزینه‌های تهیه و پشتیبانی از چنین راهکاری می‌تواند بسیار متفاوت باشد. با این حال، خرید یک سیستم DLP قوی و قابل اطمینان، سرمایه گذاری ارزشمندی برای مقابله با مشکلات امنیتی مربوط به نشت داده های محرمانه سازمانی محسوب می‌شود.

 

[۱] Internet Content Adaptation Protocol

[۲] Security Information and Event Management

[۳] Enterprise Digital Rights Management

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

یک × یک =

0
سبد خرید
  • هیچ محصولی در سبدخرید نیست.