Bài báo cáo này sẽ giới thiệu giải pháp chống thất thoát, rò rỉ dữ liệu cho doanh nghiệp – DLP là một giải pháp ngăn ngừa hiệu quả mất mát, rò rỉ thông tin nhạy cảm, bí mật của các doanh nghiệp, tổ chức.
Trang 1BAN C Y U CHÍNH PHƠ YẾU CHÍNH PHỦ ẾU CHÍNH PHỦ Ủ
H C VI N KỸ THU T M T MÃ ỌC VIỆN KỸ THUẬT MẬT MÃ ỆN KỸ THUẬT MẬT MÃ ẬT MẬT MÃ ẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Đ ÁN T T NGHI PỒ ÁN TỐT NGHIỆP ỐT NGHIỆP ỆP
TÌM HIỂU VỀ CHỐNG THẤT THOÁT, RÒ RỈ DỮ LIỆU
(DATA LOSS/LEAK PREVENTION)
Ngành: Công ngh thông tin ệ thông tin Chuyên ngành: An toàn thông tin
Mã s : ố: 7.48.02.02
Trang 2BAN C Y U CHÍNH PHƠ YẾU CHÍNH PHỦ ẾU CHÍNH PHỦ Ủ
H C VI N KỸ THU T M T MÃ ỌC VIỆN KỸ THUẬT MẬT MÃ ỆN KỸ THUẬT MẬT MÃ ẬT MẬT MÃ ẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Đ ÁN T T NGHI PỒ ÁN TỐT NGHIỆP ỐT NGHIỆP ỆP
TÌM HIỂU VỀ CHỐNG THẤT THOÁT, RÒ RỈ DỮ LIỆU
(DATA LOSS/LEAK PREVENTION)
Trang 3Ngành: Công ngh thông tin ệ thông tin Chuyên ngành: An toàn thông tin
Mã s : ố: 7.48.02.02
MỤC LỤC
DANH M C VI T T T ỤC VIẾT TẮT ẾT TẮT ẮT 5
DANH M C HÌNH NH ỤC VIẾT TẮT ẢNH 6
L I M Đ U ỜI MỞ ĐẦU Ở ĐẦU ẦU 7
CH ƯƠNG 1: TỔNG QUAN VỀ CHỐNG THẤT THOÁT NG 1: T NG QUAN V CH NG TH T THOÁT ỔNG QUAN VỀ CHỐNG THẤT THOÁT Ề CHỐNG THẤT THOÁT ỐNG THẤT THOÁT ẤT THOÁT ,RÒ RỈ D LI U Ữ LIỆU ỆN KỸ THUẬT MẬT MÃ 9
1.1 Khái ni m ch ng th t thoát d li u ệm chống thất thoát dữ liệu ống thất thoát dữ liệu ất thoát dữ liệu ữ liệu ệm chống thất thoát dữ liệu 9
1.2 Hi n tr ng th t thoát d li u hi n nay trong doanh nghi p ệm chống thất thoát dữ liệu ạng thất thoát dữ liệu hiện nay trong doanh nghiệp ất thoát dữ liệu ữ liệu ệm chống thất thoát dữ liệu ệm chống thất thoát dữ liệu ệm chống thất thoát dữ liệu 9
1.3 Các nguy c d n đ n th t thoát, rò r d li u ơ dẫn đến thất thoát, rò rỉ dữ liệu ẫn đến thất thoát, rò rỉ dữ liệu ến thất thoát, rò rỉ dữ liệu ất thoát dữ liệu ỉ dữ liệu ữ liệu ệm chống thất thoát dữ liệu 17
1.3.1 M t d li u do khách quan ất thoát dữ liệu ữ liệu ệm chống thất thoát dữ liệu 18
1.3.2 M t d li u t n i b (t n công n i b ) ất thoát dữ liệu ữ liệu ệm chống thất thoát dữ liệu ừ nội bộ (tấn công nội bộ) ội bộ (tấn công nội bộ) ội bộ (tấn công nội bộ) ất thoát dữ liệu ội bộ (tấn công nội bộ) ội bộ (tấn công nội bộ) .19
1.3.3 M t d li u do t n công bên ngoài ất thoát dữ liệu ữ liệu ệm chống thất thoát dữ liệu ất thoát dữ liệu 21
Trang 41.4 K t lu n ch ến thất thoát, rò rỉ dữ liệu ận chương 1 ươ dẫn đến thất thoát, rò rỉ dữ liệu ng 1 .22
CH ƯƠNG 1: TỔNG QUAN VỀ CHỐNG THẤT THOÁT NG 2: CÔNG NGH CH NG TH T THOÁT, RÒ R D LI U ỆN KỸ THUẬT MẬT MÃ ỐNG THẤT THOÁT ẤT THOÁT Ỉ Ữ LIỆU ỆN KỸ THUẬT MẬT MÃ 23
2.1 Mô hình c a h th ng ch ng th t thoát, rò r d li u ủa hệ thống chống thất thoát, rò rỉ dữ liệu ệm chống thất thoát dữ liệu ống thất thoát dữ liệu ống thất thoát dữ liệu ất thoát dữ liệu ỉ dữ liệu ữ liệu ệm chống thất thoát dữ liệu 23
2.2 Chính sách ch ng th t thoát, rò r d li u ống thất thoát dữ liệu ất thoát dữ liệu ỉ dữ liệu ữ liệu ệm chống thất thoát dữ liệu 23
2.3 Các kỹ thu t ch ng th t thoát, rò r d li u ận chương 1 ống thất thoát dữ liệu ất thoát dữ liệu ỉ dữ liệu ữ liệu ệm chống thất thoát dữ liệu 25
2.3.1 Quét n i dung ội bộ (tấn công nội bộ) .27
2.3.2 Ch ng th t thoát d li u trên các máy tr m (endpoint DLP) ống thất thoát dữ liệu ất thoát dữ liệu ữ liệu ệm chống thất thoát dữ liệu ạng thất thoát dữ liệu hiện nay trong doanh nghiệp 28 2.3.3 Ch ng th t thoát d li u trên h th ng m ng (network ống thất thoát dữ liệu ất thoát dữ liệu ữ liệu ệm chống thất thoát dữ liệu ệm chống thất thoát dữ liệu ống thất thoát dữ liệu ạng thất thoát dữ liệu hiện nay trong doanh nghiệp DLP) 30 2.3.4 Máy ch qu n lý t p trung ủa hệ thống chống thất thoát, rò rỉ dữ liệu ản lý tập trung ận chương 1 .30
2.4 Phân lo i d li u ạng thất thoát dữ liệu hiện nay trong doanh nghiệp ữ liệu ệm chống thất thoát dữ liệu 31
2.4.1 Phân lo i theo t khóa ạng thất thoát dữ liệu hiện nay trong doanh nghiệp ừ nội bộ (tấn công nội bộ) .31
2.4.2 Bi u th c chính quy ểu thức chính quy ức chính quy .32
2.4.3 Fingerprinting 32
2.4.4 Thu t toán Machine Learning ận chương 1 .34
2.4.5 Danh m c ục 34
2.5 B o v d li u ản lý tập trung ệm chống thất thoát dữ liệu ữ liệu ệm chống thất thoát dữ liệu 35
2.5.1 Quét và phát hi n d li u trên máy tr m ệm chống thất thoát dữ liệu ữ liệu ệm chống thất thoát dữ liệu ạng thất thoát dữ liệu hiện nay trong doanh nghiệp .35
2.5.2 Tích h p v i h đi u hành máy tr m ợp với hệ điều hành máy trạm ới hệ điều hành máy trạm ệm chống thất thoát dữ liệu ều hành máy trạm ạng thất thoát dữ liệu hiện nay trong doanh nghiệp .36
2.5.2.1 Ngăn ch n sao chép d li u ặn sao chép dữ liệu ữ liệu ệm chống thất thoát dữ liệu 36
2.5.2.2 Ngăn ch n các thi t b ngo i vi ặn sao chép dữ liệu ến thất thoát, rò rỉ dữ liệu ị ngoại vi ạng thất thoát dữ liệu hiện nay trong doanh nghiệp .37
2.5.2.3 Ngăn ch n truy n d li u qua ng d ng ặn sao chép dữ liệu ều hành máy trạm ữ liệu ệm chống thất thoát dữ liệu ức chính quy ục 37
2.5.2.4 Ngăn ch n truy n d li u qua email ặn sao chép dữ liệu ều hành máy trạm ữ liệu ệm chống thất thoát dữ liệu 38
2.5.2.5 T đ ng th c hi n chính sách ự động thực hiện chính sách ội bộ (tấn công nội bộ) ự động thực hiện chính sách ệm chống thất thoát dữ liệu 39
2.5.2.6 X lý mã hóa ử lý mã hóa .40
2.6 K t lu n ch ến thất thoát, rò rỉ dữ liệu ận chương 1 ươ dẫn đến thất thoát, rò rỉ dữ liệu ng 2 .41
CH ƯƠNG 1: TỔNG QUAN VỀ CHỐNG THẤT THOÁT NG 3: TRI N KHAI H TH NG TH NGHI M ỂN KHAI HỆ THỐNG THỬ NGHIỆM ỆN KỸ THUẬT MẬT MÃ ỐNG THẤT THOÁT Ử NGHIỆM ỆN KỸ THUẬT MẬT MÃ 42
3.1 Hi n tr ng th c t c a công ty MI MI (MI2) ệm chống thất thoát dữ liệu ạng thất thoát dữ liệu hiện nay trong doanh nghiệp ự động thực hiện chính sách ến thất thoát, rò rỉ dữ liệu ủa hệ thống chống thất thoát, rò rỉ dữ liệu .42
3.2 H th ng thông tin th nghi m và các yêu c u ệm chống thất thoát dữ liệu ống thất thoát dữ liệu ử lý mã hóa ệm chống thất thoát dữ liệu ầu .42
3.3 Tri n khai h th ng ểu thức chính quy ệm chống thất thoát dữ liệu ống thất thoát dữ liệu 42
3.3.1 C u hình yêu c u ất thoát dữ liệu ầu .42
Trang 53.3.2 Block USB và CD-Rom 42
3.3.3 Thi t l p chính sách ến thất thoát, rò rỉ dữ liệu ận chương 1 .42
3.3.4 K t qu đ t đ ến thất thoát, rò rỉ dữ liệu ản lý tập trung ạng thất thoát dữ liệu hiện nay trong doanh nghiệp ượp với hệ điều hành máy trạm .42 c 3.4 H n ch c a h th ng và các bi n pháp kh c ph c ạng thất thoát dữ liệu hiện nay trong doanh nghiệp ến thất thoát, rò rỉ dữ liệu ủa hệ thống chống thất thoát, rò rỉ dữ liệu ệm chống thất thoát dữ liệu ống thất thoát dữ liệu ệm chống thất thoát dữ liệu ắc phục ục 42
3.5 K t lu n ch ến thất thoát, rò rỉ dữ liệu ận chương 1 ươ dẫn đến thất thoát, rò rỉ dữ liệu ng 3 .42
K T LU N ẾT TẮT ẬT MẬT MÃ 43
TÀI LI U THAM KH O ỆN KỸ THUẬT MẬT MÃ ẢNH 44
PH L C ỤC VIẾT TẮT ỤC VIẾT TẮT 45
Trang 6DANH MỤC VIẾT TẮT
DLP Data Loss/Leak Prevention Thất thoát/rò rỉ dữ liệu
RightsManagement
Quản lý thông tin
Trang 7DANH MỤC HÌNH ẢNH
Hình 1 Th ng kê d li u th t thoát 6 tháng đ u năm t 2006-2017 ống kê dữ liệu thất thoát 6 tháng đầu năm từ 2006-2017 ữ liệu thất thoát 6 tháng đầu năm từ 2006-2017 ệu thất thoát 6 tháng đầu năm từ 2006-2017 ất thoát 6 tháng đầu năm từ 2006-2017 ầu năm từ 2006-2017 ừ 2006-2017 .9
Hình 2 Bi u đ phân b th t thoát d li u theo tác nhân ểu đồ phân bố thất thoát dữ liệu theo tác nhân ồ phân bố thất thoát dữ liệu theo tác nhân ống kê dữ liệu thất thoát 6 tháng đầu năm từ 2006-2017 ất thoát 6 tháng đầu năm từ 2006-2017 ữ liệu thất thoát 6 tháng đầu năm từ 2006-2017 ệu thất thoát 6 tháng đầu năm từ 2006-2017 .10
Hình 3 Bi u đ phân h i rò r theo lo i vi ph m gi a đ u năm 2016 và ểu đồ phân bố thất thoát dữ liệu theo tác nhân ồ phân bố thất thoát dữ liệu theo tác nhân ống kê dữ liệu thất thoát 6 tháng đầu năm từ 2006-2017 ỉ theo loại vi phạm giữa đầu năm 2016 và ại vi phạm giữa đầu năm 2016 và ại vi phạm giữa đầu năm 2016 và ữ liệu thất thoát 6 tháng đầu năm từ 2006-2017 ầu năm từ 2006-2017 2017 11
Hình 4 Bi u đ phân b s rò r theo lo i d li u 6 tháng đ u năm 2016 và ểu đồ phân bố thất thoát dữ liệu theo tác nhân ồ phân bố thất thoát dữ liệu theo tác nhân ống kê dữ liệu thất thoát 6 tháng đầu năm từ 2006-2017 ự rò rỉ theo loại dữ liệu 6 tháng đầu năm 2016 và ỉ theo loại vi phạm giữa đầu năm 2016 và ại vi phạm giữa đầu năm 2016 và ữ liệu thất thoát 6 tháng đầu năm từ 2006-2017 ệu thất thoát 6 tháng đầu năm từ 2006-2017 ầu năm từ 2006-2017 2017 12
Hình 5 Bi u đ phân b rò r theo m c đích đ u năm 2016 và 2017 ểu đồ phân bố thất thoát dữ liệu theo tác nhân ồ phân bố thất thoát dữ liệu theo tác nhân ống kê dữ liệu thất thoát 6 tháng đầu năm từ 2006-2017 ỉ theo loại vi phạm giữa đầu năm 2016 và ục đích đầu năm 2016 và 2017 ầu năm từ 2006-2017 .13
Hình 6 Bi u đ phân b rò r theo kênh đ u năm 2016 và 2017 ểu đồ phân bố thất thoát dữ liệu theo tác nhân ồ phân bố thất thoát dữ liệu theo tác nhân ống kê dữ liệu thất thoát 6 tháng đầu năm từ 2006-2017 ỉ theo loại vi phạm giữa đầu năm 2016 và ầu năm từ 2006-2017 .13
Hình 7 Bi u đ phân b rò r theo kênh đ u năm 2017 ểu đồ phân bố thất thoát dữ liệu theo tác nhân ồ phân bố thất thoát dữ liệu theo tác nhân ống kê dữ liệu thất thoát 6 tháng đầu năm từ 2006-2017 ỉ theo loại vi phạm giữa đầu năm 2016 và ầu năm từ 2006-2017 .14
Hình 8 Rò r thông tin thanh toán theo kênh ỉ theo loại vi phạm giữa đầu năm 2016 và 14
Hình 9 Bi u đ phân b rò r theo t ch c n a đ u năm 2016 và 2017 ểu đồ phân bố thất thoát dữ liệu theo tác nhân ồ phân bố thất thoát dữ liệu theo tác nhân ống kê dữ liệu thất thoát 6 tháng đầu năm từ 2006-2017 ỉ theo loại vi phạm giữa đầu năm 2016 và ổ chức nửa đầu năm 2016 và 2017 ức nửa đầu năm 2016 và 2017 ửa đầu năm 2016 và 2017 ầu năm từ 2006-2017 .15
Hình 10 Bi u đ phân b rò r và t l kh i l ểu đồ phân bố thất thoát dữ liệu theo tác nhân ồ phân bố thất thoát dữ liệu theo tác nhân ống kê dữ liệu thất thoát 6 tháng đầu năm từ 2006-2017 ỉ theo loại vi phạm giữa đầu năm 2016 và ỷ lệ khối lượng dữ liệu cá nhân bị xâm ệu thất thoát 6 tháng đầu năm từ 2006-2017 ống kê dữ liệu thất thoát 6 tháng đầu năm từ 2006-2017 ượng dữ liệu cá nhân bị xâm ng d li u cá nhân b xâm ữ liệu thất thoát 6 tháng đầu năm từ 2006-2017 ệu thất thoát 6 tháng đầu năm từ 2006-2017 ị xâm nh p n a đ u năm 2017 ập nửa đầu năm 2017 ửa đầu năm 2016 và 2017 ầu năm từ 2006-2017 .15
Hình 11 T l rò r có ch ý thông tin cá nhân và thanh toán theo ngành n a ỷ lệ khối lượng dữ liệu cá nhân bị xâm ệu thất thoát 6 tháng đầu năm từ 2006-2017 ỉ theo loại vi phạm giữa đầu năm 2016 và ủ ý thông tin cá nhân và thanh toán theo ngành nửa ửa đầu năm 2016 và 2017 đ u năm 2017 ầu năm từ 2006-2017 16
Hình 12 Bi u đ t ng quan phân ph i rò r theo ngành đ u năm 2017 ểu đồ phân bố thất thoát dữ liệu theo tác nhân ồ phân bố thất thoát dữ liệu theo tác nhân ổ chức nửa đầu năm 2016 và 2017 ống kê dữ liệu thất thoát 6 tháng đầu năm từ 2006-2017 ỉ theo loại vi phạm giữa đầu năm 2016 và ầu năm từ 2006-2017 .16
Hình 13 Bi u đ phân ph i rò r theo kích th ểu đồ phân bố thất thoát dữ liệu theo tác nhân ồ phân bố thất thoát dữ liệu theo tác nhân ống kê dữ liệu thất thoát 6 tháng đầu năm từ 2006-2017 ỉ theo loại vi phạm giữa đầu năm 2016 và ước tổ chức nửa đầu năm c t ch c n a đ u năm ổ chức nửa đầu năm 2016 và 2017 ức nửa đầu năm 2016 và 2017 ửa đầu năm 2016 và 2017 ầu năm từ 2006-2017 2017 17
Hình 14 Mô hình ho t đ ng c b n c a h th ng DLP ại vi phạm giữa đầu năm 2016 và ộng cơ bản của hệ thống DLP ơ bản của hệ thống DLP ản của hệ thống DLP ủ ý thông tin cá nhân và thanh toán theo ngành nửa ệu thất thoát 6 tháng đầu năm từ 2006-2017 ống kê dữ liệu thất thoát 6 tháng đầu năm từ 2006-2017 .23
Hình 15 Mô hình t ng quan khi chính sách đ ổ chức nửa đầu năm 2016 và 2017 ượng dữ liệu cá nhân bị xâm c áp d ng ục đích đầu năm 2016 và 2017 .24
Hình 16 D li u ngh (data at rest) ữ liệu thất thoát 6 tháng đầu năm từ 2006-2017 ệu thất thoát 6 tháng đầu năm từ 2006-2017 ỉ theo loại vi phạm giữa đầu năm 2016 và 25
Hình 17 D li u chuy n đ ng (data in motion) ữ liệu thất thoát 6 tháng đầu năm từ 2006-2017 ệu thất thoát 6 tháng đầu năm từ 2006-2017 ểu đồ phân bố thất thoát dữ liệu theo tác nhân ộng cơ bản của hệ thống DLP .26
Hình 18 D li u đang s d ng (data in use) ữ liệu thất thoát 6 tháng đầu năm từ 2006-2017 ệu thất thoát 6 tháng đầu năm từ 2006-2017 ửa đầu năm 2016 và 2017 ục đích đầu năm 2016 và 2017 .27
Hình 19 Các v tr l u d li u nh y c m endpoint ị xâm ị xâm ư ữ liệu thất thoát 6 tháng đầu năm từ 2006-2017 ệu thất thoát 6 tháng đầu năm từ 2006-2017 ại vi phạm giữa đầu năm 2016 và ản của hệ thống DLP ở endpoint .28
Hình 20 Ví d v bi u th c chính quy ục đích đầu năm 2016 và 2017 ề biểu thức chính quy ểu đồ phân bố thất thoát dữ liệu theo tác nhân ức nửa đầu năm 2016 và 2017 .32
Hình 21 DLP ngăn ch n sao chép t nh y c m ặn sao chép từ nhạy cảm ừ 2006-2017 ại vi phạm giữa đầu năm 2016 và ản của hệ thống DLP .36
Hình 22 C u hình thi t b USB trên h th ng DLP ất thoát 6 tháng đầu năm từ 2006-2017 ết bị USB trên hệ thống DLP ị xâm ệu thất thoát 6 tháng đầu năm từ 2006-2017 ống kê dữ liệu thất thoát 6 tháng đầu năm từ 2006-2017 .37
Hình 23 DLP ch n Skype t i t p nh y c m ặn sao chép từ nhạy cảm ản của hệ thống DLP ệu thất thoát 6 tháng đầu năm từ 2006-2017 ại vi phạm giữa đầu năm 2016 và ản của hệ thống DLP .38
Trang 8Hình 24 Quá trình g i email ửa đầu năm 2016 và 2017 .39
LỜI MỞ ĐẦU
Các tổ chức, doanh nghiệp có rất nhiều loại hình thông tin cần được bảo
vệ chặt chẽ như thông tin khách hàng, bí mật công nghệ, chiến lược phát triểnkinh doanh, hay các tin tức nhạy cảm khác,…Những thông tin này nếu để lộ rangoài có thể gây các hậu quả nghiêm trọng đến tài chính, danh tiếng của công ty
và quan hệ với các đối tác của tổ chức, doanh nghiệp
Nhiều người cho rằng tổ chức, doanh nghiệp của mình đã trang bị nhiềugiải pháp an ninh bảo mật như tường lửa, chống virus, chống xâm nhập,…nên
có thể ngăn ngừa thất thoát thông tin Các giải pháp an ninh truyền thống nhưfirewall, IPS, Anti-virus,…giúp nhận diện và ngăn ngừa các tấn công, mã độchại,…nhưng các giải pháp này không phân biệt được dữ liệu nào là nhạy cảm,
dữ liệu nào cần bảo vệ Vì thế cần xây dựng một giải pháp chống thất thoát, rò rỉ
dữ liệu cho doanh nghiệp- DLP (Data Loss/Leak Prevention) giúp ngăn ngừa tối
đa các nguy cơ thất thoát thông tin khi thiết lập chính xác các chính sách đối vớicác loại thông tin và người được quyền sử dụng thông tin
Bài báo cáo này sẽ giới thiệu giải pháp chống thất thoát, rò rỉ dữ liệu chodoanh nghiệp – DLP là một giải pháp ngăn ngừa hiệu quả mất mát, rò rỉ thôngtin nhạy cảm, bí mật của các doanh nghiệp, tổ chức
Nội dung đồ án bao gồm ba chương:
Chương 1: Tổng quan về chống thất thoát, rò rỉ dữ liệu: Mô tả hiện
trạng thực tế, nguy cơ và các khái niệm cơ bản liên quan đến thất thoát, rò rỉ dữliệu
Chương 2: Các công nghệ trong hệ thống chống thất thoát, rò rỉ dữ liệu: Trình bày các công nghệ cốt lõi sử dụng trong hệ thống chống thất thoát,
rò rỉ dữ liệu
Trang 9Chương 3: Triển khai hệ thống thử nghiệm: Chương này đề cập đến
các vấn đề thực trạng ở công ty cổ phần tin học Mi Mi (M2) và đề xuất hệ thốngchống thất thoát, rò rỉ dữ liệu
Em xin gửi lời cảm ơn chân thành nhất đến Thầy Lương Thế Dũng và
Cô Đồng Thị Thùy Linh đã tận tình giúp đỡ, hướng dẫn để em hoàn thành đồ
án tốt nghiệp của mình Em cũng xin gửi lời cảm ơn tới các thầy cô Học viện Kỹthuật Mật Mã đã cung cấp, giúp đỡ em trong 5 năm học vừa qua
Trong quá trình thực hiện đồ án, do hạn chế về kiến thức và kinh nghiệmthực tiễn nên đồ án của em còn nhiều thiếu sót, em rất mong nhận được sự nhậnxét, đánh giá của thầy cô và các bạn
Em xin chân thành cảm ơn!
Trang 10CHƯƠNG 1: TỔNG QUAN VỀ CHỐNG THẤT THOÁT,RÒ RỈ DỮ LIỆU 1.1 Khái niệm chống thất thoát dữ liệu
Phòng chống thất thoát dữ liệu (Data Loss/Leak Prevention) là tập hợpcác giải pháp giúp tổ chức phát hiện và ngăn chặn việcmất mát, rò rỉ dữ liệunhạy cảm ra bên ngoài Dữ liệu thất thoát hay còn được hiểu là các dữ liệu bịmất mát trong hệ thống Và các dữ liệu bị truyền ra bên ngoài được hiểu là rò rỉ
Những dữ liệu có thể là danh sách khách hàng, bí mật kinh doanh, tài liệu
kế toán tài chính công ty, thông tin hợp đồng, tài liệu kỹ thuật công nghệ, thôngtin sở hữu trí tuệ, thông tin sang chế độc quyền,…được lưu và phân tán trên hệthống máy chủ, máy trạm, PC, laptop,…một khi bị phát tán ra ngoài thì dữ liệunày đứng trước nguy cơ bị lạm dụng rất lớn, gây thiệt hại đến hoạt động kinhdoanh của danh nghiệp
1.2 Hiện trạng thất thoát dữ liệu hiện nay trong doanh nghiệp
Theo báo cáo thất thoát dữ liệu 6 tháng đầu năm 2017- “Global Data
Leakage Report, H1 2017” của InfoWatch Analytical Center *InfoWatch là một
dự án của Kaspersky Lad hoạt động trên 10 năm với mục đích bảo vệ an toàn thông tin của doanh nghiệp.*
Hình 1 Thống kê dữ liệu thất thoát 6 tháng đầu năm từ 2006-2017.
Tổng số dữ liệu bị xâm nhập đạt tới 7,78 tỷ trường hợp (bao gồm thôngtin về số bảo hiểm y tế, dữ liệu thẻ tín dụng và các thông tin quan trọng khác).Trong cùng kỳ của năm 2016 có 1,06 tỷ trường hợp bị xâm phạm
Trang 11Thông tin bị rò rỉ bắt nguồn từ nội bộ trong các tổ chức đạt tới 520 (58%),
rò rỉ do các tấn công bên ngoài là 384 (42%)
Hình 2 Biểu đồ phân bố thất thoát dữ liệu theo tác nhân.
So với nửa đầu năm 2016, tỷ lệ rò rỉ do các cuộc tấn công bên ngoài tăng12% Các báo cáo về vi phạm dữ liệu quy mô lớn (trên 1 triệu trường hợp) cũngkhông giúp các chuyên gia xác định chính xác được rò rỉ là cố ý hay tình cờ, bắtnguồn từ nội bộ hay từ tấn công bên ngoài hoặc do vi phạm chính sách củangười dùng
Thông tin thất thoát do nội bộ (internal) trước đó đã không còn được quantâm trong một thời gian dài do sự xuất hiện cộng hưởng (khối lượng dữ liệu bịxâm nhập) những lỗ hổng bên ngoài (external) Nhưng báo cáo thống kê vào nửađầu năm 2017 đã chứng minh rằng vẫn còn quá sớm để loại bỏ chúng Đã có5,23 tỷ trường hợp rò rỉ dữ liệu cá nhân và tài chính do tấn công bên ngoài(trung bình khoảng 13,6 triệu trường hợp mỗi lần rò rỉ), trong khi rò rỉ nội bộ lêntới 2.32 tỉ trường hợp (khoảng 4.5 triệu trường hợp mỗi lần rỏ rỉ)
Nguy cơ rò rỉ nội bộ có thể là do lỗi của nhân viên, cấu hình cơ sở dữ liệusai, vô tình công bố thông tin nhạy cảm trên các tài nguyên công khai sẵn có dẫnđến việc dữ liệu của tổ chức bị thất thoát
Trang 12Hình 3 Biểu đồ phân hối rò rỉ theo loại vi phạm giữa đầu năm 2016 và 2017.Trong 53% trường hợp thì nguyên nhân rò rỉ dữ liệu xuất phát từ nhânviên hiện tại và cựu nhân viên (nhân viên không được phân quyền) chiếm tỷ lệlần lượt là 50% và 3% Trong khi đó số trường hợp rò rỉ do người quản lý của tổchức (quản lý cấp cao, trưởng phòng) chiếm chưa tới 2% Tỷ lệ rò rỉ xảy ra ởphía các nhà thầu có nhân viên được cấp quyền truy cập hợp pháp tới thông tinđược bảo vệ ít hơn 1% (Hình 3).
Thông tin bị rò rỉ từ bên ngoài chiếm tỷ lệ lớn (44%), đây là nguyên nhânchính làm gia tăng khối lượng dữ liệu bị xâm nhập So với năm 2016 thì tỷ lệnày đã tăng lên 14%
Hình 4 Biểu đồ phân bố sự rò rỉ theo loại dữ liệu 6 tháng đầu năm 2016 – 2017
Trang 13Tỷ lệ dữ liệu cá nhân và thông tin thanh toán bị rò rỉ đạt 94% trong tổng
số trường hợp Trong đó dữ liệu cá nhân chiếm 66% So với nửa đầu năm 2016thì tỷ lệ rò rỉ dữ liệu liên quan đến bí mất nhà nước tăng không đáng kể (2%) và
rò rỉ liên quan tới bí mật thương mại giảm 1% (Hình 4)
Chúng ta cũng nên lưu ý sự gia tăng đáng kể của rò rỉ thông tin thanh toántrong tổng số trường hợp bị xâm nhập (+20%) trong suốt thời gian nghiên cứu
Trong nửa đầu năm 2017, tỷ lệ rò rỉ khi tiếp tục sử dụng các dữ liệu đã bịxâm nhập vì các mục đích gian lận (gian lận ngân hàng) gấn như tương đương
so với cùng kỳ năm 2016 Tỷ lệ dữ liệu bị rò rỉ do nhân viên không được phéplạm dụng quyền truy cập, gián điệp nội bộ giảm xuống 8% (Hình 5)
Hình 5 Biểu đồ phân bố rò rỉ theo mục đích đầu năm 2016 và 2017.
Trong nửa đầu năm 2017, tỷ lệ rò rỉ thông qua mạng và thư điện tử tănglên Tỷ lệ rò rỉ dữ liệu do trộm cắp/ mất mát thiết bị, cũng như thông quaphương tiện di động và tài liệu giấy giảm (Hình 6)
Trang 14Hình 6 Biểu đồ phân bố rò rỉ theo kênh đầu năm 2016 và 2017.
Sự rò rỉ cố ý và tình cờ ở các kênh có sự khác nhau đáng kể (Hình 7) Với
sự rò rỉ có chủ ý hầu hết xảy ra thông qua kênh mạng Còn rò rỉ tình cờ chủ yếuthông qua các thiết bị di động, các kênh thoại (điện thoại), tuy nhiên tỷ lệ nàycòn khá nhỏ so với mức độ sử dụng phổ biến của kênh truyền này
Hình 7 Biểu đồ phân bố rò rỉ theo kênh đầu năm 2017.
Rò rỉ qua kênh mạng và thư điện tử chiếm tỷ lệ lớn nhất, hai kênh nàychiếm khoảng 90% (Hình 8)
Trang 15Hình 8 Rò rỉ thông tin thanh toán theo kênh.
Đầu năm 2017 tỷ lệ rò rỉ dữ liệu từ các tổ chức chính phủ tăng 4% và đạt24% Ngược lại rò rỉ từ các công ty thương mại giảm xuống còn 76% (Hình 9)
Hình 9 Biểu đồ phân bố rò rỉ theo tổ chức nửa đầu năm 2016 và 2017.
Thông thường sự rò rỉ xuất hiện ở các cơ sở y tế (17%) Các cơ sở giáodục chiếm tỷ lệ nhỏ (6%) Ngành công nghệ cao chiếm phần lớn số trường hợp
bị xâm nhập (dịch vụ internet, cổng thông tin lớn) Cơ quan chính phủ chiếm16% tổng khổi lượng dữ liệu rò rỉ, các tổ chức thành phố chiếm 3% (Hình 10)
Trang 16Hình 10 Biểu đồ phân bố rò rỉ và tỷ lệ khối lượng dữ liệu cá nhân bị xâm nhập
nửa đầu năm 2017.
Dựa vào dữ liệu thống kê các chuyên gia đã nhận thấy được các trườnghợp rò rỉ tập trung chủ yếu ở lĩnh vực ngân hàng và công ty công nghệ cao Hơn50% rò rỉ dữ liệu cá nhân trong các trường hợp này là có chủ ý (Hình 11)
Hình 11 Tỷ lệ rò rỉ có chủ ý thông tin cá nhân và thanh toán theo ngành nửa
đầu năm 2017.
Biểu đồ phân phối ngành (Hình 12) sẽ phản ánh đầy đủ nhất tình hình thấtthoát, rò rỉ thông tin ở các ngành khác nhau
Trang 17Hình 12 Biểu đồ tổng quan phân phối rò rỉ theo ngành đầu năm 2017.
Tỷ lệ các công ty vừa và nhỏ (lên đến 500 máy tính cá nhân)chiếm 39%tổng các trường hợp dữ liệu bị rò rỉ Đồng thời số lượng dữ liệu bị xâm nhậpcủa họ chỉ chiếm 18% (Hình 13)
Hình 13 Biểu đồ phân phối rò rỉ theo kích thước tổ chức nửa đầu năm 2017.
Kết luận:
Trang 18Trong nửa đầu năm 2017 số lượng dữ liệu bị rò rỉ đã tăng gấp 8 lần sovới cùng kỳ năm 2016 Sự tăng này chủ yếu do hoạt động của những người viphạm bên ngoài là cao hơn so với các tác động bên trong nội bộ.
Đồng thời dữ liệu bị rò rỉ qua các kênh mạng đang ngày càng tăng cao,đây cũng là lời cảnh báo đáng quan tâm cho các doanh nghiệp nói chung
Từ những số liệu thống kê kể trên, ta thấy rõ tình trạng thất thoát dữ liệunói chung và thất thoát dữ liệu trong doanh nghiệp nói riêng đã lên tới con sốđáng báo động nguy hiểm Do đó các doanh nghiệp cần đẩy mạnh các phươngpháp công nghệ cao để đảm bảo an toàn cho dữ liệu của doanh nghiệp mình
1.3 Các nguy cơ dẫn đến thất thoát, rò rỉ dữ liệu.
Thất thoát, rò rỉ dữ liệu có nhiều hình thức khác nhau và việc biết cáchchúng xảy ra giúp chúng ta thuận lợi hơn để ngăn chặn Để cung cấp cái nhìntổng quan nhất chương này sẽ phân loại các loại mất dữ liệu như sau: Mất dữliệu do khách quan, do nội bộ bên trong, do tấn công bên ngoài
1.3.1 Mất dữ liệu do khách quan.
Một nguyên nhân điển hình cho sự mất mát dữ liệu tình cờ là nhân viênchưa nắm rõ các chính sách của công ty Nói cách khác họ không nhận ra sựnhạy cảm của các tài liệu mà họ đang làm việc, cũng có khi do bản thân nhânviên đánh giá chưa chính xác kiến thức về bảo mật của bản thân Một số ví dụphổ biến:
Nhân viên tiết lộ thông tin nhạy cảm ra bên ngoài trong quá trình sửdụng các ứng dụng xã hội: skype, yahoo, facebook,…hay điện thoại
Chia sẻ file ngang hàng P2P: Nhân viên có thể dễ dáng sử dụnggiao thức P2P để gửi file ra ngoài
Do sự vô ý của nhân viên: Nhân viên đính kèm nhầm file, chọn saingười nhận, bị lừa để gửi thông tin ra ngoài Hoặc thông qua các dịch vụ
Trang 19cloud storage miễn phí: Nhân viên có thể upload dữ liệu nhạy cảm lêncác hệ thống lưu trữ đám mây miễn phí như dropbox hay Skydriver Nhânviên có thể upload dữ liệu lên một FTP server trên internet để gửi thôngtin ra ngoài.
In tài liệu, photocopy tự do không được quản lý tập trung Đem tàiliệu in, copy ra ngoài
Dùng điện thoại, camera chụp lại tài liệu của công ty
Nhân viên ra ngoài không đăng xuất tài khoản hay tắt máy để nhânviên khác sao chép dữ liệu ra ngoài
Thiết bị USB chứa dữ liệu quan trọng bị mất hay bỏ quên tại nơilàm việc
1.3.2 Mất dữ liệu từ nội bộ (tấn công nội bộ).
Định nghĩa: Tấn công nội bộ là bất kỳ cuộc tấn công nào có mục đích xấutrên hệ thống của công ty hoặc mạng mà kẻ xâm nhập là người được phép truycập vào mạng, và cũng có thể có kiến thức về kiến trúc mạng
Các tài liệu trên WikiLeaks.org là những ví dụ về các cuộc tấn công nội
bộ với mục đích công khai các tài liệu bị rò rỉ Mục đích đắng sau những kiểutấn công này không phải lúc nào cũng liên quan đến hoạt động chính trị Các lý
do khác để tiến hành các cuộc tấn công trong nội bộ thường có lợi về tài chínhhoặc có ác cảm đối với tổ chức, công ty
Đối với các cuộc tấn công nội bộ thì hiệu quả của hệ thống DLP rất khó
để đo lường Trước tiên cần phải xem xét kiến thức kỹ thuật của kẻ tấn công.Sau đó phải xem xét những gì kẻ tấn công đã truy cập trên hệ thống Nếu kẻ tấn
Trang 20công là ai đó từ bộ phận IT, DLP rất có thể sẽ được bỏ qua Hậu quả của cuộctấn công sẽ rất khó nói nếu nhân viên IT biết cách để có thể truy cập vào dữ liệunhảy cảm.
Một hệ thống DLP không phải một hệ thống kiểm soát truy cập theonghĩa truyền thống và không nên được xem như sự thay thế cho hệ thống kiểmsoát truy cập Vai trò của một DLP được thực thi khi người dùng đang làm việcvới dữ liệu nhạy cảm DLP không cho phép người dùng xem nội dung nhảy cảm(hệ thống kiểm soát sẽ làm gì) nhưng thay vào đó đảm bảo rằng người dùngkhông xử lý dữ liệu một cách vô trách nhiệm (ví dụ như gửi đính kèm với emailhoặc tải file lên và chia sẻ)
Tùy thuộc vào cách hoạt động của một hệ thống DLP mà kẻ tấn công cóthể khai thác các điểm yếu của DLP để vượt qua hệ thống mà không bị pháthiện Trong trường hợp DLP không ngăn chặn được hành động của kẻ tấn công,nhưng có thể tìm kiếm bằng chứng pháp lý để truy ra kẻ tấn công Bởi DLP lưulại toàn bộ những hành động và địa điểm mà kẻ tấn công đã thực hiện trên hệthống
Ngăn chặn các cuộc tấn công nội bộ không chỉ sử dụng đến các kỹ thuậtcông nghệ Việc tập trung vào đội ngũ nhân viên trong nội bộ là điều quan trọngkhông thể bỏ qua Một số lưu ý để giảm thiểu tấn công nội bộ:
Chính sách rõ ràng: Cần nói rõ chính sách của công ty mộtcách đầy đủ và dễ hiểu sẽ làm tăng khả năng nhân viên đọc, hiểu và thựchiện đúng chính sách Chính sách nên hướng dẫn nhân viên những hành
vi và yêu cầu mong muốn, đồng thời cũng xác định những hoạt động bịcấm Đối với các hệ thống DLP chính sách đóng vai trò chủ chốt
Đào tạo tốt: Thường xuyên đào tạo cho nhân viên để nângcao nhận thức về an ninh, cũng như cần giải thích ý nghĩa đằng sau cácchính sách của công ty Từ đó nâng cao hiểu biết của nhân viên về toàn bộquá trình và cách họ có thể góp phần cải thiện nó
Trang 21 Kiểm tra lý lịch: Việc thực hiện kiểm tra lý lịch có thể giúpngăn chặn các cá nhân không đáng tin cậy ở giai đoạn đầu.
An ninh vật lý: Đảm bảo cơ sở hạ tầng và các thiết bị lưu trữ
có chứa thông tin nhạy cảm luôn được khóa đúng cách Điều này giúpnguy cơ dữ liệu bị đánh cắp giảm xuống
Xây dựng lòng tin: Đối xử với nhân viên một cách công bằngvới sự tin tưởng là một cách đơn giản nhất để xây dựng một đội ngũ nhânviên luôn tận tụy và gắn bó với công ty
Cần nhấn mạnh rằng DLP hoạt động nhằm hỗ trợ cho các công nghệ bảomật khác như kiểm soát truy cập, IDS và mã hóa dữ liệu và DLP không thay thếcho bất kỳ công nghệ nào vừa nói đến Việc thiếu chính sách và kiểm soát củacông ty tại nơi làm việc chẳng hạn như máy ảnh, điện thoại di động nằm ngoàiphạ vi của DLP Ngay cả với sự kiểm soát an ninh cao nhất ngay tại chỗ thì cũngkhó có thể ngăn kẻ tấn công ghi nhớ các thông tin nhạy cảm
1.3.3 Mất dữ liệu do tấn công bên ngoài.
Trong báo cáo điều tra vi phạm dữ liệu của Verizon cho năm 2017 thì75% số trường hợp thất thoát, rò rỉ dữ liệu bắt nguồn từ tấn công bên ngoài
Các cuộc tấn công bên ngoài là những cuộc tấn công đánh cắp dữ liệuđược thực hiện từ xa Về cơ bán một ai đó có quyền truy cập vào hệ thống thôngqua một kết nối từ xa, chẳng hạn như internet và sử dụng truy cập này để ăn cắp
dữ liệu, tạo ra botnet hoặc gây ra sự gián đoạn Động cơ đằng sau các cuộc tấncông chủ yếu là liên quan đến tài chính
Hiện nay có rất nhiều hình thứ tấn công để ăn cắp dữ liệu như: Tấn côngtrực tiếp, kỹ nghệ xã hội ( Social Engineering), giả mạo địa chỉ, nghe trộm, …Hiệu quả của một DLP với các kiểu tấn công này phụ thuộc chủ yếu vào kiến
Trang 22thức của kẻ tấn công vào hệ thống Một số hệ thống, chẳng hạn như TrendMicro DLPsử dụng các mẫu đặc biệt để phát hiện và ngăn chặn việc đánh cắpphần mềm độc hại Kẻ tấn công sau khi cài đặt một trong những phần mềm độchại này hoặc truy cập các tệp được theo dõi bởi DLP thì sẽ có cảnh báo được gửitới quản trị và kẻ tấn công bị phát hiện.
Trong trường hợp hệ thống DLP không phát hiện và ngăn chặn được kẻtấn công Bằng chứng pháp ý tìm thấy trong các bản ghi của DLP đôi khi cũngkhông giúp tìm ra được kẻ tấn công Ví dụ nếu cuộc tấn công bắt nguồn từTrung Quốc và nạn nhân ở Mỹ, chính phủ Trung Quốc có thể từ chối hợp tác đểđiều tra và truy tố kẻ tấn công
Tóm lại, việc bổ sung một hệ thống DLP có thể hỗ trợ cho việc phát hiện
và ngăn chặn các cuộc tấn công từ xa Tuy nhiên, việc có một tường lửa, IDS,chống virus, thực hiện đào tạo nhân viên an ninh và áp dụng thực hành bảo mậttốt sẽ hỗ trợ tốt hơn để khắc phục mối đe dọa này, hơn là chỉ cài đặt một hệthống DLP
1.4 Kết luận chương 1.
Hiểu được khái niệm chống thất thoát dữ liệu đồng thời nắm được hiệntrạng thực tế trong doanh nghiệp từ đó nhận thấy tính cấp thiết của việc bảo vệ
dữ liệu trong doanh nghiệp
Trình bày các nguy cơ dẫn đến việc thất thoát dữ liệu, từ đó sẽ hiểu hơn
về các phòng chống thất thoát dữ liệu
Trang 23CHƯƠNG 2: KỸ THUẬT PHÒNG, CHỐNG THẤT THOÁT, RÒ RỈ
DỮ LIỆU.
2.1 Mô hình của hệ thống chống thất thoát, rò rỉ dữ liệu.
Chương này đề cập đến cách thức DLP hoạt động Dưới đây là mô hìnhtổng quan của một hệ thống DLP (Hình 14) Endpoint DLP được cài đặt trựctiếp trên máy trạm và theo dõi cách dữ liệu được lưu trữ (data at rest) và được sửdụng (data in use) Mạng DLP thường được đặt giữa LAN và WAN như mộtproxy giám sát lưu lượng mạng (data in motion)
Trang 24Hình 14 Mô hình hoạt động cơ bản của hệ thống DLP.
2.2 Chính sách chống thất thoát, rò rỉ dữ liệu
Chính sách là trái tim của một hệ thống DLP Nếu không có các chínhsách thì sẽ không có sự khác biệt giữa dữ liệu công cộng và dữ liệu nhạy cảm.Các chính sách có thể được xây dựng dựa trên các yêu cầu của tổ chức sở hữuthông số kỹ thuật, yêu cầu từ bên ngoài, chẳng hạn như PCI DSS
Việc thiết lập các chính sách không phải là nhiệm vụ của riêng bộ phận IT
mà là nhiệm vụ của toàn bộ công ty Ở giai đoạn này, điều quan trọng là cầnxem xét các chính sách hiện tại và thảo luận, thống nhất với những người chịutrách nhiệm xử lý dữ liệu của công ty về cách phân loại đúng, xác định và bảo
vệ dữ liệu này Các chính sách này sau đó sẽ được chuyển đổi thành các quy tắc
mà các hệ thống DLP có thể thực thi trong khi hoạt động
Ví dụ như chính sách phân loại mã nguồn java, đây là dữ liệu rất quantrọng của công ty do đó nó là dữ liệu nhạy cảm Vì vậy, mã nguồn nênđược lưu trữ trong kho lưu trữ mã và trên các máy của các nhà phát triển
Trang 25java Nếu một nhà phát triển/một ai đó cố gắng lưu mã nguồn ở bất kỳ vịtrí nào khác thì DLP thực thi chính sách và chặn yêu cầu đó.
Hình 15 Mô hình tổng quan khi chính sách được áp dụng.
Hình 15 cho thấy các chính sách thông thường được chuyển đổi thành cácquy tắc mà hệ thống DLP có thể sử dụng để thực thi chính sách nói trên Cácquy tắc phát hiện giúp hệ thống biết làm thế nào để nhận ra đâu là dữ liệu nhạycảm, trong khi các quy tắc phòng ngừa chỉ định cách xử lý nội dung được pháthiện Các quy tắc này sau đó được triển khai đến các máy trạm và cổng mạng
và DLP sẽ sử dụng chúng trong quá trình theo dõi các trạng thái dữ liệu khácnhau
Tập đoàn RSA-một tập đoàn chuyên cung cấp các chiến lược, giải phápbảo mật đề xuất ra những câu hỏi cần được trả lời khi xây dựng chính sách:
Ai là đối tượng chính sách sẽ áp dụng và làm thế nào nó ảnh hưởngđến họ?
Những loại thông tin bạn đang cố gắng bảo vệ?
Tại sao bạn bảo vệ nó?
Bạn cần bảo vệ dữ liệu ở đâu? Là các dữ liệu chuyển động (inmotion) hay các dữ liệu trong một trung tâm? Dữ liệu đang được sử dụngtại các điểm cuối?
Khi nào bạn nên cảnh báo một phạm?
Làm thế nào bạn có thể bảo vệ được dữ liệu? Kiểm toán, mã hóa,ngăn chặn,…Lựa chọn tùy thuộc vào loại thông tin
2.3 Các kỹ thuật chống thất thoát, rò rỉ dữ liệu.
Trang 26Hệ thống DLP sẽ hoạt động khác nhau tùy thuộc vào trạng thái của dữliệu Hiện nay, có ba phương pháp giảm thất thoát, rò rỉ dữ liệu tương ứng với
ba nhóm thông tin trong doanh nghiệp, bao gồm: dữ liệu nghỉ (data at rest), dữliệu chuyển động (data in motion), dữ liệu đang sử dụng (data in use) Mỗi trạngthái của dữ liệu được đảm bảo an toàn bằng các công nghệ khác nhau:
Hình 16 Dữ liệu nghỉ (data at rest).
Phương pháp phát hiện sự tồn tại của dữ liệu nhạy cảm nằm trong cácmáy trạm, máy chủ, ổ đĩa cứng, thiết bị đầu cuối,…Một chức năng cơ bản củagiải pháp DLP là khả năng xác định và ghi vết cụ thể các loại thông tin được lưutrữ trong toàn doanh nghiệp Điều đó có nghĩa các giải pháp DLP phải có khảnăng tìm kiếm và xác định các loại tập tin cụ thể, như bảng tính, văn bản tài liệu,
…dù nó được lưu trữ bất kì nơi nào trong hệ thống Sau khi tìm thấy, DLP cóthể mở tập tin và quét nội dung để xác định phần thông tin cụ thể đang có Thuthập thông tin này là một bước quan trọng trong việc cho phép các doanh nghiệpxác định vị trí của những thông tin nhạy cảm, cho dù nó được lưu trữ tại những
vị trí được bảo vệ bởi nhiều chính sách khác nhau
Trang 27Hình 17 Dữ liệu chuyển động (data in motion).
Phương pháp phát hiện và kiểm soát thông tin lưu chuyển trên mạng nhưqua mail, website,…phương pháp này còn được gọi là ngăn ngừa mức mạng(network based DLP) Để theo dõi dữ liệu chuyển động trong hệ thống mạngcủa doanh nghiệp, DLP sử dụng các phần meemg thường chú (Agent) để nắmbắt, phân thích lưu lượng, nhận diện chính xác các luồng dữ liệu, lắp ráp các góitin thu thập được, tái tạo các tập tin thực trong luồng dữ liệu và sau đó thực hiệnphân thích so sánh với các chính sách áp dụng cho dữ liệu đó Cốt lõi củaphương pháp này là quá trình mang tên kiểm tra sau gói tin (DPI – Deep PacketInspection) cho phép xác định nội dung, địa chỉ nguồn, đích Nếu dữ liệu nhạycảm được phát hiện đi đến một địa điểm không được phép hệ thống sẽ cảnh bảo
và chặn luồng dữ liệu đó
