اصول انتخاب یک راهکار DLP مناسب
نشت دادهها و خروج غیرمجاز اطلاعات سازمانی همواره یکی از دغدغههای اصلی سازمانها بوده است. پیشبینی میشود که با همهگیری بیماری کرونا و دورکاری کارمندان، نشت اطلاعاتی روند صعودی داشته باشد.
سوءاستفاده کارمندان از سطح دسترسی که به دادههای سازمانی دارند، انتقام کارمند اخراجی از سازمان و عامل مخرب بیرونی که معمولاً نفوذگری است که با سازمان در ارتباط نیست، از جمله عوامل مهم نشت داده ها محسوب می شوند.
یکی از راهکارهای امنیتی برای جلوگیری از نشت دادهها، DLP است که نحوه محافظت از داده های حساس و مکان های مجاز برای ذخیره یا پردازش آنها را تعیین می کند. در واقع هدف DLP، توقف افشای غیرمجاز اطلاعاتی است که به عمد یا تصادفی به خارج از سازمان انتقال می یابند. بنابراین تمام سازمانهایی که دارای دادههای ارزشمند هستند، نیازمند استفاده از راهکارهای DLP می باشند.
با توجه به اهمیت موضوع نشت اطلاعات و حفاظت از دادههای سازمانی، راهکارهای DLP همواره در حال توسعه هستند. حتی تعدادی از سازمانها از راهحلهای ترکیبی برای راه اندازی DLP بر روی دادههای مختلف شان استفاده می نمایند. این اقدام می تواند درصد موفقیت راهکار DLP را تا حدود زیادی افزایش دهد.
امروزه راهکارهای DLP بسیار پیچیدهتر از گذشته شدهاند و هر یک از آنها نیز به صورت متفاوتی رشد و تکامل پیدا کرده اند. در این مطلب از فراست به شما خواهیم گفت که چگونه میتوانید یک سیستم DLP مناسب را بر اساس قابلیتهای مورد نظر سازمان تان انتخاب کنید.
راهکارهای جلوگیری از نشت داده (DLP) از جمله ابزارهای مورد استفاده تیمهای امنیت سایبری هستند که با توجه به میزان اهمیت اطلاعات سازمانی، همواره بر محبوبیت آنها افزوده میشود. با این حال، بسیاری از سازمانها از نکات و اصول انتخاب یک راهکار DLP مناسب مطلع نیستند.
متأسفانه معمولاً سیستمهای DLP قابلیتهایی دارند که در تبلیغات انجام شده برای بازاریابی، اشارهای به آنها نمی شود. مثلاً هزینه انتخاب غلط در این زمینه میتواند برای سازمان بسیار زیاد باشد. در نتیجه کارشناسان امنیت اطلاعات باید ویژگیهای این راهکارها را به دقت بررسی کرده و به دنبال رویکردی فراتر از مقایسه معمولی راهکارهای موجود باشند.
بسیاری از سیستمهای DLP، سطوح پیچیدگی مختلفی دارند. معمولاً ویژگیهای اضافهای که برای این راهکارها گفته میشود منجر به جلب توجه مشتریان می شود. باید به این نکته توجه داشت که وجود چنین ویژگیهایی به معنای آن نیست که این راهکارها قادر به برطرف کردن نیازها و برآورده کردن انتظارات مشتریان شان هستند. بعضی از طراحان این محصولات که برای عرضه آنها عجله نسبتاً زیادی هم دارند در زمینه توجه به تجربیات کاربری، قابلیت استفاده و سطح کیفیت محصول دچار غفلت میشوند.
مزیت اصلی یک راهکار سازمانی بالغ این است که ارایه دهنده آن میتواند همواره از راهکار خود پشتیبانی کرده و قابلیتهای جدیدی را به آن اضافه نموده و در صورت نیاز نیز اقدام به بهروزرسانی آن کند. باید توجه داشته باشید که سیستمهای DLP معمولاً بر اساس یک چشمانداز سه تا پنج ساله انتخاب میشوند. بنابراین تنها شرط انتخاب آنها نباید انطباق با قوانین و استانداردهای فعلی باشد بلکه می بایست مطمئن شوید ارایه دهنده آنها قادر است کارها و مشکلاتی که ممکن است شرکت شما در آینده با آنها روبرو شود را پیشبینی و مرتفع نماید.
در ادامه این مطلب، نکاتی را مطرح کردهایم که میتوانید با در نظر گرفتن و به کارگیری آنها یک راهکار DLP مناسب که مطابق با خواستهها و استانداردهای مدنظر سازمان تان باشد را انتخاب کنید.
ایجاد محدودیت در محتوا
وظیفه یک سیستم DLP، جلوگیری از نشت دادهها در اثر خطاهای کارمندان یا آلودگیهای بدافزاری است. تنها راه رسیدن به این هدف، خاتمه دادن به هرگونه عملیات مشکوک در سیستم ها به صورت پیشگیرانه میباشد. بسیاری از شرکتها ترجیح میدهند از راهکارهای DLP فقط در حالت نظارتی استفاده کنند، نه برای دستکاری مستقیم جریانهای دادههای شبکه.
استفاده از راهکارهای مسدودسازی محتوا ممکن است جزو اولویتهای سازمانها نبوده و مسئولان امنیتی هم تدابیر و برنامهریزی های لازم را در این خصوص نکرده باشند. کارشناسان امنیت سایبری میتوانند با استفاده از روشی که نظارت تهاجمی کمتری دارد، با تشخیصهای مثبت کاذب یا نقص در سیستم های DLP مقابله کنند. برای مثال اگر چنین راهکاری، واکنش افراطی به یک رویداد را در پی داشته و منجر به ایجاد اختلال در سامانه ایمیل سازمانی یا سایر سامانه های حیاتی سازمان شود، احتمال دارد پیامدهای این اختلال حتی از نشت داده ها هم بیشتر باشد.
مشکل بسیاری از سیستمهای DLP این است که گزینههای محدودی برای پیکربندی دارند. نشت اطلاعاتی که در صورت عدم فعالیت گزینه حالت مسدودسازی محتوا رخ میدهد، پیامدهای سنگین و هزینههای زیادی در پی دارد. علاوه بر این همواره بر تعداد قوانین بین المللی که سازمانها را ملزم به استفاده از سیستمهای مسدودسازی محتوا برای جلوگیری از نشت اطلاعات میکند، افزوده میشود.
بعضی از سازوکارهای ارتباطی تحت نظارت ابزارهای DLP را نمی توان به دلایل امنیتی مسدود کرد. برای نمونه، در رابطه با پیامرسانهای تلگرام و واتساپ به دلیل فنون رمزنگاری خاص آنها تنها گزینه قابل استفاده، اعمال نظارت غیرفعال است. با این حال، یک سیستم DLP در صورتی که قابلیت پشتیبانی از مسدودسازی ایمیل، چاپگر، پورت USB و سرویسهای وب مبتنی بر پروتکل های HTTP/HTTPS را نداشته باشد، در هنگام تشخیص یک فعالیت ناهنجار از کارایی کافی برای برطرف سازی آن برخوردار نخواهد بود.
تحلیل محتوا و سیاستها
سیستمهای DLP به گونهای طراحی نشده اند که به عنوان یک ابزار حفاظتی کامل عمل کنند. با گذر زمان، بعضی از توسعهدهندگان، لایههای امنیتی و کنترلهای جدیدی را برای حفاظت از کانالهای ارتباطی مختلف به آنها اضافه کرده اند. از آنجا که محدودیتها و ویژگیهای خاص ماژول اصلی باید با تغییرات بعدی معماری سازگار باشد بنابراین این احتمال وجود دارد که نتیجه نهایی کار آن چنانکه باید با کارایی مورد انتظار از محصول نهایی همخوانی لازم را نداشته باشد.
در نتیجه، نحوه پیادهسازی تحلیل محتوا در یک سیستم DLP میتواند راجع به نقطه شروع تحول آن اطلاعات لازم را بدهد. برای مثال اگر یکی از کارگزارهای (Agent) نقاط انتهایی در یک دستگاه تحت نظارت، جهت تحلیل بیشتر از پروتکل SMTP (از این پروتکل برای ارسال ایمیل استفاده میشود) برای ارسال داده به سرور DLP استفاده کند میتوان چنین گفت که این راهکار در ابتدا فقط شامل ماژول بررسی ایمیل بوده است. کارگزار در این حالت ممکن است حکم نهایی سرور را پس از تحلیل مربوطه دریافت نکند. در این صورت امکان اجرای روش مسدودسازی محتوا برای شرایطی که در آن فایلی روی یک حافظه فلش ذخیره شده است، دیگر میسر نمی باشد.
یکی دیگر از نقاط ضعف پیادهسازی چنین راهکاری این است که مانع ارتباط دایمی با سرور میشود. در نتیجه ممکن است تراکم شبکه باعث ایجاد اختلال در اجرای فرایند کار تحلیل شود. بنابراین شما باید بررسی کنید که آیا راهکار DLP مورد نظرتان امکان اولویتبندی ترافیک شبکه را دارد یا خیر.
با داشتن یک معماری کامل و جامع میتوان تحلیل محتوا را در نقطهای انجام داد که سیاستها تأثیر زیادی در آن دارند؛ یعنی در سطح کارگزار نقاط انتهایی. به این ترتیب نیازی به ارسال حجم انبوهی از داده در شبکه وجود نداشته و احتیاجی هم به آن نیست که در معادلات امنیتی تان به چالشهای تنظیم اولویت ترافیک فکر کنید.
عدم ارتباط با شبکه سازمانی
به جز پیادهسازی راهکار تحلیل محتوا و اعمال سیاستهای سازمانی، کارگزار DLP باید قادر به ارسال اطلاعات رویدادها، کپی برداری از فایلهای مختلف و سایر اطلاعات مدنظر به سرور باشد. این جزییات ارزشمند در صورتی که مخزن دادههای سرور در دسترس نباشد، از دست میروند. بنابراین معمولاً چنین اطلاعاتی در یک درایو درون شبکه باقی مانده و به محض برقراری مجدد ارتباط، به سرور ارسال میشوند.
با توجه به وضعیت ارتباط با سرور میتوان از سیاستهای مختلفی استفاده کرد که مشخص میکنند در صورت برقراری ارتباط با سرور یا زمانی که ارتباط از طریق ویپیان برقرار یا قطع میشود، چه اقداماتی باید انجام شود. این موضوع برای مواقعی که مثلاً کارمندان، لپتاپهای سازمانی را برای انجام دورکاری یا در سفرهای کاری، به خارج از محیط سازمان منتقل میکنند، اهمیت زیادی دارد.
راحتی
کاربران مختلف نسبت به سطح راحتی استفاده از سیستم و مدیریت کارها دیدگاههای متفاوتی دارند. بعضی از آنها استفاده از خط فرمان را برای مدیریت DLP ترجیح میدهند و بعضی دیگر نیز خواهان آن هستند که امکان تنظیم سیاستها و قوانین، با استفاده از زبانهای اسکریپت نویسی وجود داشته باشد. در بسیاری از مواقع وجود یک رابط کاربری مناسب و ساده، مهمترین مزیت محصول تلقی میشود.
در رابطه با تجربیات کاربران از نظر کار با رابط کاربری باید به چند نکته مهم توجه داشت. اول اینکه بیشتر کاربران مایل به وجود یک داشبورد مدیریتی یکپارچه هستند. امروزه استفاده از کنسولهای تحت وب، به امری بسیار متداول تبدیل شده است. علاوه بر این، امکان پشتیبانی از آنها در سیستم عامل های مختلف وجود داشته و نیازی به نصب نرمافزار اضافه وجود ندارد. همچنین کار کردن با آنها نیز از طریق تلفن همراه به راحتی امکان پذیر است.
اگر محصولی برای کار با ماژولهای مختلف، کنسولهای متفاوتی را در اختیار شما قرار میدهد به معنای آن است که چنین محصولی به عنوان یک راهکار جامع واحد، طراحی نشده و ممکن است اجزای مختلف آن توسط مهندسان یا شرکتهای متفاوتی طراحی شده و سپس در سایر مراحل چرخه توسعه، به هم متصل و ادغام شده اند.
یکی دیگر از جنبههای مهم این سیستمها، «چندکاناله» بودن آنها است. برای مثال در چنین سیستمی اگر بخواهید سیاست خاصی را برای مدیریت الزامات قانونی تعریف کنید، کافی است که آن را یک بار انجام داده و کانالهای مورد نظر (ایمیل، سرویسهای تحت وب، درایو USB و غیره) را تعریف کرده تا سیاست مدنظر شما به شکل خودکار به این کانالها اعمال شود.
در یک سیستم DLP که چنین طراحی یکپارچهای نداشته باشد باید سیاستها را برای هر کانال به صورت مجزا تعریف کنید. هر چند ممکن است این موضوع در ابتدا مهم به نظر نرسد اما افزایش تعداد سیاستها منجر به پیچیدگی سیستم میشود. وقتی تعداد سیاستها زیاد شده و شرایط اعمال آنها از جمله نوع کاربران و بازه زمانی تأثیرگذار بر آنها متفاوت باشد، حفظ هماهنگی بین همه آنها بسیار دشوار خواهد شد.
الزامات مربوط به تعداد سرورها
یکی از نشانههای یک سیستم DLP غیربالغ، تعداد بسیار زیاد سرورهایی است که سیستم برای اجرای عملیات به آنها نیاز دارد. برای مثال اگر پروژهای آزمایشی که برای 100 کارمند اجرا شده به بیش از 1 سرور نیاز داشته باشد، منابع مورد نیاز چنین معماری در مرحله پیادهسازی نهایی بسیار بیشتر خواهد بود.
یک سیستم قوی و حرفهای، قابلیت مقیاسپذیری زیادی دارد. در سازمانهای بزرگ باید گزینهای جهت ایزوله کردن اجزای مختلف سیستم و تخصیص سرورهای ویژه به هر یک از این اجزا وجود داشته باشد؛ در حالی که در شبکههای کوچکتر، تعداد سرورهای مورد نیاز برای حفظ عملکرد سیستم DLP نباید به صورت نمایی رشد کنند.
پیادهسازی انعطافپذیر
یک سیستم DLP باید از نظر روش پیاده سازی، انعطافپذیری کافی را داشته باشد. به این ترتیب علاوه بر راحت بودن ترکیب این راهکار با زیرساختهای فعلی سازمان، برقراری توازن بین عملکرد و بار پردازشی سیستم، همزمان با حفظ کنترل بر کانالهای مختلف راحتتر انجام میشود.
سیستمهای DLP مختلف، گزینههای ویژه ای برای کنترل کانالهای متفاوت در سطح کارگزار نقاط انتهایی دارند. به همین خاطر شرکتها میتوانند در هنگام توسعه، این راهکارها را کاهش داده و هزینه های مهندسی نرم افزار را کمتر کنند.
یک ابزار DLP کارآمد، به جز استفاده از کارگزار نقاط انتهایی به عنوان منبع کنترل حرکت دادهها، روشهای پیادهسازی جایگزین را هم در اختیار شما قرار میدهد. این روشها عبارتند از:
- امکان یکپارچگی با سرور ایمیل که به شما این امکان را میدهد تا بر ایمیلهای داخلی نیز نظارت داشته باشید.
- امکان دریافت مکاتبات ایمیلی ورودی از یک صندوق پیام
- استفاده از پروتکل ICAP[1] به منظور یکپارچگی با اینترنت
- یک سرور مجزای انتقال ایمیل
معمولاً شرکتهای بزرگ، سرورهای پروکسی خاص خودشان را داشته که به صورت یکپارچه با سیستم DLP برای نظارت بر ترافیک های HTTP و HTTPS ادغام میشوند.
زیرساخت ابری
از آنجا که امروزه بسیاری از شرکتها به سمت دورکاری حرکت کرده و به دلیل شرایط به وجود آمده مجبور هستند در هزینه سرویسهای امنیتی خود صرفهجویی کنند، به تدریج بر تعداد و کیفیت راهکارهای DLP ابری در حال افزوده شدن است. هم اکنون ممکن است حتی بعضی از اجزای سرورهای DLP، در بسترهای ابری قرار داشته باشند. معمولاً چنین شرایطی برای پروژههای آزمایشی و سازمانهای کوچک اتفاق میافتد.
آرشیو یک سیستم DLP شامل اسرار سازمانی زیادی است و بسیاری از کسبوکارها مایل به قرار گرفتن آن در یک محیط کنترل نشده نیستند. اگر سیستم DLP از قابلیت میزبانی ماژولهای سرور در ابر پشتیبانی نکند، این ویژگی ممکن است برای سازمان ها پیامدهای ناگواری را در پی داشته باشد.
البته در رابطه با کنترل سرویسها و مخازن ذخیره اطلاعات در بستر ابری مشکلات خاصی وجود دارد. به عنوان مثال احتمال دارد سازمانی قصد استفاده از Google Workspace یا سرورهای ایمیل مایکروسافت Office 365 را داشته باشد که شامل جزییات و ریزهکاریهای زیادی است. بنابراین جهت دسترسی به سرورهای ایمیل میتوانید از مرورگر خودتان یا از یک کلاینت قدیمی مثل Microsoft Outlook استفاده کنید که برای هر گزینه، پروتکلهای متفاوتی باید پیاده سازی شود.
همچنین هنگام استفاده از سرویس ذخیره ابری باید مطمئن شد که سیستم DLP همه پوشههای ذخیره شده در بستر ابر را به صورت مداوم ارزیابی میکند. برای حل این مشکل، راهکارهای جدیدی موسوم به «کارگزار امنیت دسترسی به ابر (CASB)» ابداع شدهاند که از نظر قابلیتها شباهتهایی با سیستمهای DLP دارند.
امکان یکپارچگی با سایر سرویسهای امنیتی سازمان
بهره مندی از این ویژگی به وجود سرویس اکتیو دایرکتوری مایکروسافت ارتباطی ندارد زیرا این قابلیت، به صورت پیشفرض در تمام سیستمهای DLP وجود دارد. در واقع ویژگی یکپارچگی با سایر سرویسهای امنیتی، به قابلیت ادغام با یکی از راهکارهای زیر اشاره دارد:
- مدیریت رویدادها و اطلاعات امنیتی (SIEM[2]): نداشتن قابلیت سازگاری در این زمینه، یکی از متداولترین خلاءهای موجود در زیست بوم امنیتی سازمانها محسوب میشود. هر متخصص امنیت اطلاعات تمایل دارد رویدادهای DLP، قابل ادغام با سیستم SIEM باشند. اگرچه بیشتر سیستمهای SIEM مدرن، امکان دانلود دادهها از یک پایگاه داده DLP را دارند ولی اگر راهکار DLP از همان ابتدا از پروتکلهایی مثل Syslog و CEF پشتیبانی کند، کارایی آن بسیار بیشتر خواهد بود. در چنین حالتی میتوان سیستم DLP را به گونهای تنظیم کرد که همیشه در جریان اطلاعاتی که وارد پایگاه داده SIEM میشود، قرار گیرد.
- مدیریت حقوق دیجیتال سازمانی (EDRM[3]): این سیستمها میتوانند مکملی برای راهکارهای DLP بوده و حتی برعکس این قضیه نیز عمل نمایند. اگر پیکربندی آنها به خوبی انجام شده باشد، این دو راهکار در ترکیب با هم؛ یک لایه حفاظتی بسیار قوی را تشکیل میدهند. در این حالت، DLP هیچ مشکلی برای تفسیر سیاستهای EDRM نخواهد داشت و میتواند از بعضی قوانین آن برای اجرای سیاستهای خودش مثلاً درباره فعالیتهایی همچون تولید گزارش یا جستجوی محتواهای آرشیو شده استفاده کند. علاوه بر این، سیستم DLP میتواند به طور کامل و بر اساس اصول از پیش تعریف شده، از تعدادی از سیاستهای EDRM نیز استفاده نماید.
- سیستمهای طبقه بندی داده: ابزارهای DLP قوی و حرفهای میتوانند نشانه ها و برچسبهایی که توسط سیستمهای طبقه بندی داده ها بر روی اسناد درج شده اند را پردازش کنند. به این ترتیب اگر کار پرزحمت طبقه بندی دادهها از قبل انجام شده باشد میتوان به راحتی از کارهای از پیش انجام شده، استفاده کرد.
سازگاری با سیستم عامل های مختلف
یک سیستم DLP کارآمد، قابلیت سازگاری با سیستم عامل های مختلف را دارد. بسیاری از ابزارهای ابتدایی و ساده فقط امکان پشتیبانی از سیستم عامل ویندوز را دارند که ممکن است برای شما کافی نباشد. از طرف دیگر با توجه به اینکه شاید در آینده به هر دلیلی ملزم به استفاده از سیستم عامل های دیگری مثل لینوکس شویم پس توصیه میشود سیستمهای DLP مورد استفاده، ماژولهای کارگزاری داشته باشند که برای ویندوز، مک و لینوکس طراحی شدهاند.
در خصوص دستگاههای سیار هم باید به سیستم عاملهای iOS و اندروید توجه لازم را داشت. بنابر دلایل فنی، در حال حاضر امکان ایجاد یک کارگزار کامل برای تبلت و گوشیهای هوشمند وجود ندارد (به ویژه برای محصولات اپل که حملات مختلفی به آنها صورت گرفته است). در این شرایط، بهترین راهکار وجود کنسول تحت وب است. بنابراین هنگام پیادهسازی راهبرد «دستگاه خودتان را به سرکار بیاورید» میتوانید از یک راهکار مدیریت دستگاههای سیار استفاده کرده تا علاوه بر امکان استفاده از قابلیتهای سیستم عاملهای تلفن همراه، قابلیت تعریف سیاستهای حریم خصوصی و به حداقل رساندن مخاطره نشت دادهها را نیز داشته باشید.
نتیجه گیری
سیستمهای DLP، رشد ناهمگونی را تجربه کردهاند. یک سیستم DLP کارا می بایست قابلیت یکپارچگی، عملکرد هماهنگ و امکان پشتیبانی از کانالهای مختلف را داشته باشد. در دنیای امروزی هزینههای تهیه و پشتیبانی از چنین راهکاری میتواند بسیار متفاوت باشد. با این حال، خرید یک سیستم DLP قوی و قابل اطمینان، سرمایه گذاری ارزشمندی برای مقابله با مشکلات امنیتی مربوط به نشت داده های محرمانه سازمانی محسوب میشود.
[1] Internet Content Adaptation Protocol
[2] Security Information and Event Management
[3] Enterprise Digital Rights Management