1. Trang chủ
  2. » Luận Văn - Báo Cáo

Dataloss Prevention

41 0 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Cấu trúc

  • CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN, BẢO MẬT THÔNG TIN (4)
    • 1.1. Nội dung an toàn và bảo mật thông tin (4)
    • 1.2. Các nguy cơ thất thoát, rò rỉ dữ liệu (6)
      • 1.2.1. Mất dữ liệu do tình cờ (6)
      • 1.2.2. Thất thoát dữ liệu do tấn công nội bộ (7)
      • 1.2.3. Thất thoát dữ liệu do các cuộc tấn công bên ngoài (9)
    • 1.3. Các giải pháp an toàn và bảo mật thông tin truyền thống (11)
      • 1.3.1. Các chiến lược an toàn hệ thống (11)
      • 1.3.2. Các mức bảo vệ trên mạng (12)
  • CHƯƠNG II: HỆ THỐNG CHỐNG THẤT THOÁT DỮ LIỆU DLP (14)
    • 2.1. Khái niệm DLP (14)
    • 2.2. Các trạng thái của dữ liệu và phương pháp triển khai DLP (14)
      • 2.2.1. Data-at Rest (15)
      • 2.2.2. Data-In-Use (16)
      • 2.2.3. Data-In-Motion (17)
    • 2.3. Mô hình và tính năng DLP (18)
      • 2.3.1 Quét nội dung (19)
      • 2.3.2 Endpoint Protection (19)
      • 2.3.3. Giám sát mạng (21)
      • 2.3.4. Tính năng quản lý tập trung (21)
    • 2.4. Công nghệ cốt lõi của hệ thống để phát hiện dữ liệu nhạy cảm (22)
      • 2.4.1. Các chính sách (Policies) (22)
      • 2.4.2. Phân loại dữ liệu (23)
      • 2.4.3 Các thuật toán học máy (25)
    • 2.5. Một số giải pháp phòng chống thất thoát dữ liệu DLP (35)
      • 2.5.1. Sử dụng phần mềm chống thất thoát dữ liệu (35)
      • 2.5.2. Một số giải pháp khác (38)
  • KẾT LUẬN (41)

Nội dung

Trong những năm gần đây, theo các nghiên cứu về an toàn và bảo mật thông tin, các nguy cơ mất an toàn đang có xu hướng chuyển từ tấn công vào hạ tầng mạng của tổ chức, doanh nghiệp để phá hoại, làm mất uy tín..., sang đánh cắp thông tin tài khoản cá nhân để trục lợi. Các nguy cơ rò rỉ, thất thoát thông tin ngày càng tăng cao do đó cần có giải pháp ngăn chặn thất thoát dữ liệu.

TỔNG QUAN VỀ AN TOÀN, BẢO MẬT THÔNG TIN

Nội dung an toàn và bảo mật thông tin

Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về điện tử - viễn thông và công nghệ thông tin không ngừng được phát triển ứng dụng để nâng cao chất lượng và lưu lượng truyền tin thì các quan niệm ý tưởng và biện pháp bảo vệ thông tin dữ liệu cũng được đổi mới Bảo vệ an toàn thông tin dữ liệu là một chủ đề rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có rất nhiều phương pháp được thực hiện để bảo vệ an toàn thông tin dữ liệu Các phương pháp bảo vệ an toàn thông tin dữ liệu có thể được quy tụ vào ba nhóm sau:

- Bảo vệ an toàn thông tin bằng các biện pháp hành chính.

- Bảo vệ an toàn thông tin bằng các biện pháp kỹ thuật (phần cứng).

- Bảo vệ an toàn thông tin bằng các biện pháp thuật toán (phần mềm).

Ba nhóm trên có thể được ứng dụng riêng rẽ hoặc phối kết hợp Môi trường khó bảo vệ an toàn thông tin nhất và cũng là môi trường đối phương dễ xân nhập nhất đó là môi trường mạng và truyền tin Biện pháp hiệu quả nhất và kinh tế nhất hiện nay trên mạng truyền tin và mạng máy tính là biện pháp thuật toán.

An toàn thông tin bao gồm các nội dung sau:

- Tính bí mật: tính kín đáo riêng tư của thông tin.

- Tính xác thực của thông tin, bao gồm xác thực đối tác (bài toán nhận danh), xác thực thông tin trao đổi.

- Tính trách nhiệm: đảm bảo người gửi thông tin không thể thoái thác trách nhiệm về thông tin mà mình đã gửi. Để đảm bảo an toàn thông tin dữ liệu trên đường truyền tin và trên mạng máy tính có hiệu quả thì điều trước tiên là phải lường trước hoặc dự đoán trước các khả năng không an toàn, khả năng xâm phạm, các sự cố rủi ro có thể xảy ra đối với thông tin dữ liệu được lưu trữ và trao đổi trên đường truyền tin cũng như trên mạng.

Xác định càng chính xác các nguy cơ nói trên thì càng quyết định được tốt các giải pháp để giảm thiểu các thiệt hại.

Khi các tổ chức ngày càng phụ thuộc vào công nghệ, lượng dữ liệu lưu trữ kỹ thuật số tăng đột biến, dẫn đến khó khăn trong việc theo dõi vị trí lưu trữ dữ liệu Các nhân viên thường tạo và sử dụng dữ liệu nhạy cảm của tổ chức trong quá trình làm việc, được sử dụng trên nhiều dịch vụ như email, ứng dụng kinh doanh và đám mây, đồng thời được truy cập từ nhiều thiết bị khác nhau Người dùng không chỉ gặp khó khăn trong việc quản lý lượng lớn dữ liệu mà còn phải theo dõi dữ liệu nhạy cảm và những người được phép truy cập dữ liệu đó.

Trước đây, khi nói đến an toàn thông tin người ta thường nghĩ ngay đến những phương thức bảo mật thông tin truyền thống như tường lửa hay phân quyền truy cập tập tin hay thư mục bằng ACL (Access Control List) Tuy nhiên điều đó không thể ngăn ngừa được rò rỉ, thất thoát dữ liệu khi máy tính xách tay hoặc USB bị mất cũng như được gửi nhận qua thư điện tử hay thư thoại.Theo báo cáo về an ninh toàn cầu của Microsoft thì vấn đề thất thoát thông tin trong doanh nghiệp và chính phủ ngày càng phổ biến với mức độ thiệt hại không hề thua kém so với virus hay mã độc.

Rò rỉ, thất thoát dữ liệu luôn là mối lo ngại hàng đầu của các cơ quan tổ chức Nó có thể là thể phá hỏng quy trình kinh doanh hoặc vi phạm các chính sách bảo mật của công ty hay tổ chức. Điều này cũng rất dễ hiểu vì ngày nay thông tin không còn bị bó hẹp trong phạm vi công ty hay vùng miền mà nó có thể được phát tán trên phạm vi toàn cầu chỉ trong vài giờ Một ví dụ điển hình là những tác động của vụ website Wikileak chia sẻ thông tin mật về chiến tranh Iraq của Bộ Quốc Phòng Mỹ hay vụ tập đoàn Boeing mất 382.000 tệp thông tin mật mà mất mát tài chính và uy tín là vô cùng lớn.

Các nguy cơ thất thoát, rò rỉ dữ liệu

Hình 1.1 Sơ đồ tổng quan mạng thông tin hiện nay Để cung cấp một cái nhìn tổng quan hơn về an toàn và bảo mật thông tin, học viên đã phân loại các loại mất dữ liệu như sau: mất dữ liệu do tình cờ, các cuộc tấn công nội bộ và các cuộc tấn công từ bên ngoài.

1.2.1 Mất dữ liệu do tình cờ

Một trong những nguyên nhân điển hình dẫn đến mất dữ liệu ngẫu nhiên là nhân viên không nắm rõ các chính sách của công ty Nói cách khác, họ không nhận ra được mức độ nhạy cảm của các tài liệu mà họ đang làm việc hoặc đánh giá quá cao kiến thức của mình về bảo mật máy tính Một số ví dụ phổ biến của những trường hợp này bao gồm:

- Nhân viên tiết lộ thông tin nội bộ ra bên ngoài trong quá trình sử dụng :Skype, Zalo, điện thoại… Nhân viên có thể dễ dàng đính kèm tài liệu nội bộ của công ty và gửi nó đi thông qua các trình tin nhắn nhanh chuyên dụng Bằng cách tương tự, người dùng có thể gửi tiết lộ thông tin bí mật thông qua phiên hội thoại (chat text).

- Chia sẻ file ngang hàng P2P: Nhân viên có thể dễ dàng sử dụng giao thức P2P để gửi file ra ngoài

- Qua emai: Nhân viên có thể sử dụng web mail như: Gmail, hoặc mail nội bộ có thể đính kèm file hay coppy nội dung vào phần message text để gửi ra ngoài.Tuy nhiên, các phiên làm việc với web mail được mã hóa, nên khó bị phát hiện hơn.

Nguyên nhân rò rỉ dữ liệu có thể do sự vô ý của nhân viên như đính kèm hoặc gửi nhầm tệp, chọn sai người nhận do tính năng tự động hoàn thành trên Outlook Ngoài ra, nhân viên cũng có thể bị lừa để cung cấp thông tin ra ngoài Bên cạnh đó, nhân viên có thể tải dữ liệu nhạy cảm lên các dịch vụ lưu trữ đám mây miễn phí phổ biến như Dropbox, One Drive, Google Drive hoặc các FTP server trên internet để gửi thông tin ra bên ngoài.

- In tài liệu, photocopy tự do không được quản lý tập trung Đem tài liệu in, copy ra bên ngoài.

- Dùng điện thoại, camera chụp lại tài liệu của công ty.

- Nhân viên ra ngoài không log off tài khoản hay tắt máy tính để nhân viên khác chép dữ liệu của mình đem ra bên ngoài.

- Thiết bị USB chứa dữ liệu quan trọng bị mất hay để quên tại nơi công cộng.

- Một nguyên nhân khác mà kết quả trong việc xử lý không an toàn của các tài liệu nhạy cảm là thiếu các quy trình đào tạo thích hợp

Hậu quả do các nguyên nhân này gây ra có thể là không đo lường bởi vì những dữ liệu đó có thể có chứa các thông tin bảo mật rất cao và có thể gây ra nhiều hậu quả nghiêm trọng.

1.2.2 Thất thoát dữ liệu do tấn công nội bộ Định nghĩa : Tấn công nội bộ là bất kỳ cuộc tấn công độc hại trên hệ thống của công ty hoặc mạng mà kẻ xâm nhập là một người đã được giao quyền truy cập vào mạng, và cũng có thể có kiến thức về kiến trúc mạng.

Nói một cách khác, nếu một hacker không tìm được cách nào để tấn công vào tổ chức, sự lựa chọn tốt nhất tiếp theo để xâm nhập là thuê một nhân viên, hoặc tìm kiếm một nhân viên đang bất mãn, để làm nội gián, cung cấp các thông tin cần thiết Đó chính là Insider Attack – tấn công nội bộ Insider Attack có một thế mạnh rất lớn, vì những gián điệp này được phép truy cập vật lý vào hệ thống công ty, và di chuyển ra vào tự do trong công ty

Phòng ngừa tấn công nội bộ không chỉ dựa trên sức mạnh của công nghệ Những nhân viên hoặc cộng sự đang có kế hoạch rời khỏi công ty do không hài lòng hoặc bất mãn chính là đối tượng có khả năng thực hiện loại tấn công này nhất Trong một môi trường luôn sử dụng dữ liệu nhạy cảm với tần suất cao, rất quan trọng để tập trung vào những đối tượng này Những thông tin sau sẽ hỗ trợ giải quyết vấn đề này:

Để nâng cao hiệu quả tuân thủ chính sách, các doanh nghiệp cần xây dựng các chính sách rõ ràng, ngắn gọn và dễ hiểu Những chính sách này phải nêu cụ thể các hành vi và hoạt động được phép và bị cấm, hướng dẫn nhân viên thực hiện công việc theo đúng quy định, tránh những vi phạm có thể dẫn đến hậu quả tiêu cực.

- Đào tạo tốt: Đào tạo nhân viên về nhận thức chính sách an ninh cũng như giải thích ý nghĩa đằng sau các chính sách khác nhau của công ty sẽ làm tăng hiểu biết của nhân viên về toàn bộ quá trình làm việc.

- Kiểm tra lý lịch: Thực hiện kiểm tra nền tảng của nhân viên có thể hỗ trợ trong việc ngăn chặn cá nhân không đáng tin cậy ở giai đoạn đầu.

- Bảo mật vật lý: Hãy chắc chắn rằng cơ sở hạ tầng công nghệ thông tin quan trọng và lưu trữ các thông tin nhạy cảm được bảo vệ Trộm cắp, phá hoại thông tin có thể xảy ra ngay khi có cơ hội tiếp cận cơ sở hạ tầng và nơi lưu trữ thông tin nhạy cảm, hạn chế cơ hội này sẽ có hiệu quả trong việc bảo vệ tài sản kinh doanh.

- Xây dựng niềm tin: Đối xử lao động công bằng và sự tin tưởng là một trong những công cụ đơn giản nhất trong việc chống lại tinh thần thấp và cũng đi một chặng đường dài trong việc xây dựng một lực lượng lao động trung thành

1.2.3 Thất thoát dữ liệu do các cuộc tấn công bên ngoài

Các cuộc tấn công bên ngoài là những cuộc tấn công đánh cắp dữ liệu được thực hiện từ xa Điều này có nghĩa là kẻ xâm nhập sẽ truy cập hệ thống của nạn nhân thông qua kết nối internet, sau đó sử dụng quyền truy cập này để đánh cắp dữ liệu, tạo botnet hoặc gây ra gián đoạn hệ thống Động cơ chính thúc đẩy các cuộc tấn công bên ngoài thường liên quan đến mục đích tài chính.

Hiện nay có rất nhiều hình thức tấn công ăn cắp dữ liệu như :

Các giải pháp an toàn và bảo mật thông tin truyền thống

1.3.1 Các chiến lược an toàn hệ thống

Nguyên tắc Giới hạn quyền hạn tối thiểu (Least Privilege) đóng vai trò nền tảng, quy định rằng mỗi tài khoản chỉ được cấp quyền hạn thiết yếu để thực hiện nhiệm vụ Bằng cách này, nếu xảy ra xâm nhập, tin tặc chỉ có thể truy cập vào một số tài nguyên hạn chế tương ứng với quyền hạn của tài khoản bị xâm nhập, giúp giảm thiểu thiệt hại tiềm ẩn.

- Bảo vệ theo chiều sâu (Defence In Depth): Không nên dựa vào một chế độ an toàn nào dù cho chúng rất mạnh, mà nên tạo nhiều cơ chế an toàn để tương hỗ trợ lẫn nhau.

- Nút thắt (Choke Point): Tạo ra một “cửa” hẹp, và chỉ cho phép thông tin đi vào hệ thống của mình bằng con đường duy nhất qua “cửa” này Do đó phải tổ chức một cơ cấu kiểm soát và điều khiển thông tin đi qua cửa này.

- Điểm nối yếu nhất (Weakest Link): Kẻ phá hoại thường tìm những chỗ yếu nhất của hệ thống để tấn công, do đó cần phải củng cố, khắc phục các yếu điểm của hệ thống.

- Tính đa dạng bảo vệ: Cần phải sử dụng nhiều giải pháp bảo vệ khác nhau cho hệ thống khác nhau, ngăn chặn nguy cơ bị tấn công vào được một hệ thống thì cũng dễ dàng tấn công vào các hệ thống khác.

1.3.2 Các mức bảo vệ trên mạng

Vì không thể có một giải pháp an toàn tuyệt đối nên người ta thường phải sử dụng đồng thời nhiều hình thức bảo mật khác nhau tạo thành nhiều lớp bảo vệ trước các nguy cơ bị tấn công Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông tin cất giữ trong máy tính, đặc biệt là trê các máy chủ kết nối mạng Vì thế ngoài một số biện pháp nhằm chống thất thoát thông tin trên đường truyền còn phải tập trung vào việc xây dựng các mức bảo vệ từ ngoài vào trong cho các hệ thống kết nối mạng Thông thường bao gồm các mức bảo vệ sau:

- Quyền truy nhập: là lớp bảo vệ trong cùng nhằm kiểm soát các dữ liệu và quyền hạn đối với các dữ liệu đó.

- Tên đăng nhập /mật khẩu.

Thực ra đây cũng là kiểm soát quyền truy nhập, nhưng không phải truy nhập mức thông tin mà ở mức hệ thống Đây là phương pháp bảo vệ phổ biến nhất vì nó đơn giản ít phí tổn và cũng rất hiệu quả Mỗi người sử dụng muốn được tham gia vào mạng để sử dụng tài nguyên đều phải có đăng ký tên và mật khẩu trước Người quản trị mạng có trách nhiệm quản lý, kiểm soát mọi hoạt động của mạng và xác định quyền truy nhập của những người sử dụng khác theo thời gian và không gian (nghĩa là người sử dụng chỉ được truy nhập trong một khoảng thời gian nào đó tại một vị trí nhất định nào đó).

- Mã hoá dữ liệu Để bảo mật thông tin trên đường truyền người ta sử dụng các phương pháp mã hoá Dữ liệu được mã hoá theo một vài tiêu chuẩn mã hoá Đây là mức bảo vệ thông tin rất quan trọng.

Ngăn cản các truy nhập vật lý vào hệ thống Thường dùng các biện pháp truyền thống như ngăn cấm tuyệt đối người không phận sự vào phòng đặt máy mạng, kiểm siats dùng các thiết bị lưu trữ, dùng ổ khoá trên máy tính hoặc các máy trạm ổ đĩa hoặc cổng USB.

Thông thường Firewall được đặt giữa mạng bên trong (LAN) của một công ty, tổ chức, ngành hay một quốc gia, và Internet (WAN) Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong từ một số địa chỉ nhất định trên Internet.

Trong thời đại phát triển của công nghệ thông tin, mạng máy tính quyết định toàn bộ hoạt động của một cơ quan, tổ chức Vì vậy việc bảo đảm cho hệ thống mạng máy tính hoạt động một cách an toàn, không xảy ra sự cố là một công việc cấp thiết hàng đầu Công tác quản trị mạng máy tính phải được thực hiện một cách khoa học đảm bảo các yêu cầu sau :

- Duy trì hoạt động của hệ thống trong giờ làm việc.

- Có hệ thống dự phòng khi có sự cố về phần cứng hoặc phần mềm xảy ra.

- Backup dữ liệu quan trọng theo định kỳ.

- Bảo dưỡng, bảo trì hệ thống định kỳ.

- Bảo mật dữ liệu, phân quyền truy cập, tổ chức nhóm làm việc trên mạng.

HỆ THỐNG CHỐNG THẤT THOÁT DỮ LIỆU DLP

Khái niệm DLP

DLP là viết tắt của Data Loss Prevention (Chống thất thoát dữ liệu) DLP là một giải pháp sử dụng các giải pháp phần cứng, giải pháp phần mềm kết hợp với xây dựng các quy định, chính sách đối với người dùng nhằm đảm bảo dữ liệu không bị truy cập trái phép, sử dụng sai mục đích hoặc làm mất dữ liệu

DLP còn được gọi dưới nhiều cái tên khác nhau:

DLP giúp giám sát, ngăn chặn người dùng gửi thông tin nhạy cảm hoặc quan trọng ra ngoài mạng công ty Hạn chế người dùng có thể vô tình hoặc cố ý chia sẻ dữ liệu nhằm gây hại (hoặc vô tình gây hại) cho công ty, tổ chức Phát hiện và ngăn chặn các cuộc tấn công mạng Giảm thiểu thiệt hại do mất mát dữ liệu quan trọng Đảm bảo tuân thủ các quy định về bảo mật thông tin.

Tuỳ thuộc đặc điểm của các công ty, tổ chức hoặc phụ thuộc vào yêu cầu mức độ bảo mật dữ liệu để triển khai giải pháp pháp chống thất thoát dữ liệuDLP tại các trạng thái của dữ liệu.

Các trạng thái của dữ liệu và phương pháp triển khai DLP

Căn cứ vào cách thức lưu trữ, sử dụng dữ liệu mà dữ liệu được phân thành 3 trạng thái từ đó có các phương pháp triển khai DLP tương ứng

Hình 2.1 Các trạng thái của dữ liệu

2.2.1 Data-at Rest a Khái niệm

Dữ liệu trong trạng thái lưu trữ là dữ liệu nằm trong hệ thống lưu trữ cố định của doanh nghiệp, tổ chức như ổ đĩa máy tính, ổ đĩa gắn ngoài của nhân viên Ngoài ra, dữ liệu ở trạng thái này còn bao gồm các tài liệu in ấn, sổ sách của công ty, tổ chức.

Thất thoát dữ liệu có thể xảy ra khi hệ thống lưu trữ do thiên tai, hoả hoạn; bị đột nhập lấy cắp; hệ thống bị tấn công mạng thông qua các lỗ hổng phần mềm từ đó dữ liệu được gửi ra ngoài; các máy tính xử lý, lưu trữ bị nhiễm các phần mềm gián điệp, phần mềm độc hại, virut mã hoá tống tiền; dữ liệu bị đánh cắp bởi chính nhân viên có quyền sử dụng, quản lý dữ liệu trong nội bộ. b Triển khai Data at Rest DLP

Là phương pháp phát hiện sự tồn tại của dữ liệu nhạy cảm nằm trong các máy trạm, máy chủ, ổ đĩa cứng, thiết bị đầu cuối, việc thực thi các chính sách ngăn ngừa mất mát dữ liệu không phải là một kết quả trực tiếp của Data- at-Rest DLP Các thông tin thu thập được qua Data- at- Rest DLP có thể được sử dụng để đưa ra một kế hoạch hành động nhằm làm giảm nguy cơ mất dữ liệu.

- Ưu điểm: Phạm vi phát hiện sự tồn tại của dữ liệu nhạy cảm khi thực hiện quét các vị trí được chỉ ra.

- Nhược điểm: Phát hiện sự tồn tại của dữ liệu nhạy cảm, nhưng không thực hiện được các chính sách ngăn ngừa thất thoát dữ liệu; thực hiện quét với phần mềm (Agent) thường trú, hoặc phần mềm tạm thời khiến tiêu tốn tài nguyên của các hệ thống bị quét.

Hình 2.2 Minh hoạ Data at Rest DLP

2.2.2 Data-In-Use a Khái niệm

Data in Use (dữ liệu trong trạng thái sử dụng): dữ liệu đang được xử lý thông qua các thao tác của người dùng như copy data hoặc in ấn.

Các thao tác của nười dùng vô tình hay hữu ý cũng có thể làm dữ liệu bị rò rỉ ra bên ngoài thông qua các hoạt động sao chép dữ liệu qua usb, in ấn tài liệu, nhập liệu qua bàn phím, máy tính bị nhiễm key logger,… b Triển khai Data in Use DLP

Là phương pháp phát hiện và kiểm soát dữ liệu trên máy trạm, máy chủ như copy ra USB, ghi CD/DVD, in trên giấy, Phương pháp này còn được gọi là ngăn ngừa tại các điểm đầu cuối (Endpoint DLP).

- Ưu điểm: Phạm vi kiểm soát thông tin với mọi hành động của người dùng (in, sao chép, gửi thông tin qua mạng).

- Nhược điểm: Chính sách được thiết lập phân tán trên các máy đầu cuối dẫn tới có máy không được áp dụng chính sách và/hoặc để giảm thiểu chi phí cho bản quyền, chi phí bảo trì nên khách hàng thường không mua đầy đủ license cho toàn bộ các máy trạm, máy chủ; không kiểm soát được đối với các máy không cài phần mềm, phần mềm không tương thích, phần mềm bị cố tình làm vô hiệu ; triển khai phức tạp vì phải cài đặt, cấu hình phần mềm trên các máy trạm, máy chủ,

Hình 2.3 Minh hoạ Data in Use DLP

2.2.3 Data-In-Motion a Khái niệm

Dữ liệu khi đang chuyển động (Data in Motion) bao gồm các dữ liệu được truyền tải thông qua Internet như gửi email, tải dữ liệu nội bộ lên các trang web, truyền tải dữ liệu nội bộ qua các kết nối từ xa hoặc qua các kênh giao tiếp như Zalo, Skype…

Rủi ro đối với dữ liệu trong trạng thái này là có nguy cơ bị rò rỉ bằng các kỹ thuật tấn công của hacker như bắt gói tin, giả mạo hoặc bị rò rỉ dữ liệu qua trình trao đổi dữ liệu của nhân viên như gửi nhận mail, gửi nhận qua các dịch vụ lưu trữ đám mây, dịch vụ FTP b Triển khai Data in Motion DLP

Là phương pháp phát hiện và kiểm soát thông tin lưu chuyển trên mạng như qua mail, web, phương pháp này còn được gọi là ngăn ngừa mức mạng (Network-based DLP). Ưu điểm: phạm vi kiểm soát thông tin rộng, từ tất cả các máy bên trong gửi ra bên ngoài, chính sách kiểm soát thống nhất tại mạng vành đai (giữa mạng nội bộ LAN và mạng công cộng - Internet), triển khai đơn giản, không đòi hỏi cài đặt các phần mềm trên các máy trạm, máy chủ.

Nhược điểm: không kiểm soát được việc copy, in, các thông tin từ máy trạm, máy chủ

Hình 2.4 Minh hoạ Data in Motion DLP

Mô hình và tính năng DLP

Hình 2.5 Mô hình DLP cơ bản Đặc điểm cơ bản của giải pháp DLP là :

- Đảm bảo nội dung nhạy cảm ở khu vực “rest” trước nguy cơ rủi ro.

- Bảo vệ dữ liệu khỏi các rủi ro được biết đến trong quá trình truyền.

- Thu thập những luồng thông tin đi trong mạng để xây dựng những rule và xây dựng phòng chống trước các nguy cơ rủi ro phát sinh.

- Thi hành các hành động khắc phục hậu quả như tự động mã hóa trong quá trình quét dữ liệu hoặc những hành động mà người dùng thực hiện

Trước khi có giải pháp DLP, các công ty thường xuyên phải đối mặt với một tình huống khi các dữ liệu số của họ được truyền trên nhiều địa điểm không có quyền kiểm soát dữ liệu nhạy cảm DLP áp dụng chính sách quét và phát hiện nội dung để khám phá nơi đặt tập tin nhạy cảm Đây có thể là cơ sở dữ liệu, trên các tập tin chia sẻ, lưu trữ nội bộ trên máy tính xách tay và máy trạm Công việc này được thực hiện giống như một máy quét chống virus, nhưng thay vì tìm kiếm virus và malware, nó sẽ tìm các tài liệu nhạy cảm và ghi lại vị trí của chúng Từ đó, những nhà quản trị và quản lý kết quả có thể quyết định làm thế nào đối với các tập tin nhạy cảm đó.

Công việc này được thực hiện với sự giúp đỡ của nhiều phương pháp, bao gồm cả trình thu thập tập tin đơn giản mà có thể được cài đặt trên máy chủ và máy trạm, quét tập tin từ xa, nơi các máy chủ quản lý quét mạng chia sẻ và quét điểm cuối tại nơi DLP Endpoint được cài đặt.

Một hệ thống DLP tiên tiến sau khi phát hiện tập tin có thể thêm một bước nữa là tự động gán nhãn tập tin nhạy cảm, mã hóa dữ liệu, và hợp nhất dữ liệu vào một địa điểm an toàn hơn khi gặp phải.

Ban đầu được triển khai, DLP phải thường xuyên chạy quét phát hiện nội dung thường nhạy cảm Tuy nhiên việc này có thể chiếm tài nguyên hệ thống và cần có thời gian để hoàn thành, vì vậy không nên được chạy trong giờ làm việc.

DLP bảo vệ thiết bị đầu cuối được cài đặt trên các máy trạm và các thiết bị khác trong các hình thức của một đại lý (Agent) Các Agent thực hiện các chính sách bằng cách giám sát tất cả các hoạt động dữ liệu và quét tất cả các tập tin được lưu trữ tại đó Các Agent cũng kiểm tra và cho phép đầu vào vật lý được kết nối Điều này có nghĩa là một quản trị viên có thể vô hiệu hóa USB và kiểm soát giao thức Input/Output khác một cách dễ dàng Ngoài ra, Agent ngăn chặn, không cho phép ghi đĩa CD hoặc DVD Hình 2.3 minh họa cách tài liệu nhạy cảm được cho phép được lưu trữ trên các mạng, các ổ đĩa cứng cục bộ và trong một cơ sở dữ liệu, nhưng không phải trong e-mails hoặc trên các thiết bị lưu trữ di động.

Hình 2.6 Endpoint DLP thi hành chính sách

Thiết bị đầu cuối DLP tính năng khác nhau của bảo vệ có thể được phân loại như sau:

Hệ thống bảo vệ tập tin liên tục giám sát mọi hoạt động của tập tin, cung cấp khả năng bảo vệ theo thời gian thực tương tự như phần mềm diệt vi-rút Tính năng này giúp đảm bảo tập tin không bị sao chép đến những vị trí không được phép Các DLP mã hóa dữ liệu khi dữ liệu được lưu trữ để theo dõi vị trí; quét dữ liệu được lưu trữ để phát hiện hành vi vi phạm chính sách.

- Bảo vệ mạng: Theo dõi dữ liệu được truyền qua mạng thông các thiết bị đầu cuối DLP mạng chịu trách nhiệm cho các chức năng này.

- Bảo vệ ứng dụng: DLP tích hợp trong hệ điều hành và các ứng dụng để ngăn chặn các hành động như việc sao chép vào clipboard, chụp ảnh chụp màn hình hoặc gõ dữ liệu nhạy cảm vào các chương trình chat.

Các DLP mạng có thể hoạt động ở hai chế độ khác nhau: thụ động và chủ động Chế độ thụ động DLP kiểm tra lưu lượng mạng và các bản ghi có bất kỳ sự vi phạm chính sách nào, trong khi ở chế độ chủ động DLP cũng có thể chặn bất kỳ gói dữ liệu liên quan đến việc vi phạm chính sách Sử dụng chế độ nào là phụ thuộc vào yêu cầu của tổ chức.

Vị trí cài đặt của DLP thường là một vị trí trong mạng mà nó có thể chặn dữ liệu ra trong mạng cục bộ Đây có thể là nơi dữ liệu đi đến các mạng kém an toàn khác trong cùng một công ty, các trang web từ xa kết nối với VPN, hoặc là internet Các vị trí có thể cài đặt DLP như: cài DLP như một proxy gateway hoặc kết nối vào một SPAN, tương tự như một hệ thống phát hiện xâm nhập (IDS); hoặc có thể dùng khi DLP chạy trong chế độ thụ động

Mặc dù việc chặn e-mail và tải lên tập tin có thể được thực hiện từ các agent cài đặt tại thiết bị đầu cuối, tuy nhiên DLP mạng có thể thực thi các chính sách ngay cả trên các thiết bị mà không cài Agent Việc triển khai DLP giám sát cũng làm giảm tải xử ký cho hệ thống, vì không giống như triển khai DLP ở các thiết bị đầu cuối, các máy chủ và máy trạm của công ty không cần phải tham gia quá trình thực hiện các chính sách giám sát, bảo vệ dữ liệu.

Các kênh được được giám sát bởi DLP mạng tuỳ thuộc vào các hãng cung cấp dịch vụ HTTP, HTTPS, FTP và e-mail dịch vụ là phổ biến nhất Ngoài ra, các giao thức nhắn tin nhanh và nhiều dịch vụ chia sẻ file cũng thường được triển khai Một số sản phẩm DLP cho phép e-mail được điều khiển bởi phần DLP riêng của, hoặc như là một giải pháp chuyên dụng tương tác với máy chủ e- mail hoặc như là một thành phần thiết bị đầu cuối theo dõi các ứng dụng e-mail nội bộ.

2.3.4 Tính năng quản lý tập trung

Một số chức năng chính của máy chủ quản lý DLP là:

- Endpoint triển khai Agent và quản lý các Agent.

- Cập nhật phần mềm, tạo các chính sách và đưa các chính sách từ máy chủ tới các Agent tại các thiết bị đầu cuối.

Thu thập các bản ghi từ các dịch vụ khác, chẳng hạn như thu thập tập tin và phòng chống mất dữ liệu (DLP) mạng, giúp duy trì thông tin cập nhật về các chính sách và bản vá lỗi phần mềm.

- Cảnh báo vi phạm tới các quản trị viên hệ thống.

- Tạo ra các báo cáo dựa trên dữ liệu thu thập được.

- Cung cấp các công cụ để tạo và quản lý các chính sách DLP

Các tính năng quản lý nêu trên thường có thể được truy cập và quản lý thông qua giao diện web hoặc qua câu lệnh

Máy chủ DLP thường được triển khai trên máy chủ vật lý hoặc máy ảo Tùy thuộc vào nhà cung cấp phần mềm, giám sát và quản lý thường được thực hiện trên cùng một thiết bị Do đó, nên có một thiết bị chuyên dụng vì khối lượng dữ liệu lớn sẽ được xử lý bất kỳ lúc nào.

- Tất cả các Agent thực hiện báo cáo hoạt động của chúng đến máy chủ quản lý, bao gồm cả hành vi vi phạm chính sách Điều này thường được thực hiện trên hơn một cổng giao tiếp riêng, mở trên cả hai thiết bị đầu cuối và máy chủ Khi triển khai các thiết bị đầu cuối, cần xác định địa chỉ của các máy chủ quản lý nếu thiết bị đầu cuối không tự động nhận diện Nếu Agent tại thiết bị đầu cuối nằm bên ngoài mạng nội bộ, tất cả các log đăng nhập sẽ được lưu trữ cục bộ trên các thiết bị đầu cuối cho đến khi nó được kết nối với mạng Các máy chủ quản lý thường hiển thị những thiết bị đầu cuối đang ở trạng thái hoạt động hoặc không hoạt động (bên ngoài LAN hoặc bị tắt) Các Agent và máy chủ giao tiếp liên tục với nhau đảm bảo các Agnet luôn được cập nhật với phần mềm và cập nhật các chính sách mới nhất.

Công nghệ cốt lõi của hệ thống để phát hiện dữ liệu nhạy cảm

Trung tâm DLP là các chính sách (Policy) Nếu không có các Policy sẽ không có sự phân biệt giữa dữ liệu thông thường và nhạy cảm Policy có thể được tạo ra dựa vào các thông số kỹ thuật, cũng như yêu cầu bên ngoài.

Tạo chính sách là một trong số ít nhiệm vụ trong quá trình triển khai DLP liên quan đến toàn bộ công ty chứ không chỉ riêng bộ phận CNTT Trong giai đoạn này, điều quan trọng là phải xem xét các chính sách hiện hành và thảo luận với những người quản lý dữ liệu của công ty về cách thức phân loại, xác định và bảo vệ dữ liệu một cách phù hợp Những chính sách này sau đó được chuyển đổi thành các quy tắc mà DLP có thể áp dụng trong quá trình hoạt động.

Hình 2.7 Mô hình chuyển đổi chính sách

Chính sách được chuyển đổi thành các quy tắc phần mềm DLP để thực thi Quy tắc phát hiện thiết lập cách thức phát hiện nội dung nhạy cảm, còn quy tắc ngăn chặn định nghĩa cách thức hành động với nội dung được phát hiện Các quy định này sau đó được triển khai cho các thiết bị đầu cuối và máy chủ DLP để sử dụng cho các hoạt động kiểm tra dữ liệu khác nhau.

Phương pháp để phân tích và khám phá dữ liệu nhạy cảm tồn tại Các phương pháp phổ biến nhất là sử dụng kết hợp từ khoá, biểu thức thông dụng, so sánh dấu vân tay dữ liệu sử dụng hàm băm và sử dụng các thuật toán học máy. a Phương pháp kết hợp từ khóa

Kết hợp từ khoá đóng vai trò cơ bản trong các phương pháp phân tích nội dung Bằng cách đối chiếu danh sách các từ khoá đã định sẵn, máy quét sẽ tìm kiếm và thu thập các chuỗi văn bản có chứa các từ khoá này trong hệ thống tập tin.

Phương pháp này là nhanh chóng và có hiệu quả khi thực hiện trong một môi trường nơi mà các tài liệu nhạy cảm được xác định bởi một số từ hay chuỗi văn bản Trong hầu hết các kịch bản trong thế giới thực không phải mọi tài liệu nhạy cảm đều có thể được xác định một cách dễ dàng Các doanh nghiệp đối phó với số an sinh xã hội, số thẻ tín dụng và ID khác sẽ có vấn đề bằng cách sử dụng kết hợp từ khoá là những loại số là những giá trị không tĩnh.

Việc sử dụng kết hợp từ khoá là chỉ nên dùng cho các văn bản đơn giản có chứa các từ khóa tĩnh phổ biến. b Phương pháp sử dụng các biểu thức thông dụng

Việc sử dụng phương pháp kết hợp từ khoá đó vẫn có thể loại bỏ các dữ liệu như số thẻ tín dụng hoặc số an sinh xã hội Một cách hiệu quả hơn để làm điều này là với biểu thức thông dụng Như một ví dụ, mỗi loại số thẻ sẽ có các quy định khác nhau về cách thức viết, số kí tự,

Biểu thức thông dụng là phương pháp thích hợp cho việc phát hiện biến, dữ liệu có cấu trúc Điều này bao gồm mã nguồn và các thẻ nhận dạng Điều quan trọng là cho các công ty để thêm các biểu thức theo nhu cầu của họ Trong trường hợp của một tổ chức quốc tế, các mục cho từng loại số ID quốc gia liên quan đến các nước công ty đã có mặt tại có thể được thêm vào Biểu thức thông dụng cần được xây dựng đủ cụ thể để giảm thiểu sai tích cực. c Phương pháp so sánh dấu vân tay dữ liệu sử dụng hàm băm

Trong khoa học máy tính, dấu vân tay tài liệu là tập hợp các số nguyên đại diện cho một số nội dung chính của tài liệu, tương tự như dấu vân tay người được coi là duy nhất cho mỗi cá nhân Mỗi số nguyên này được gọi là một giá trị băm.

Một phương pháp để phát hiện ra các tài liệu nhạy cảm là bằng cách so sánh nó với một nhóm các tài liệu nhạy cảm Để kiểm tra xem hai tập tin giống hệt nhau, chúng ta có thể so sánh chúng từng bít một, nhưng một cách hiệu quả hơn để làm điều này là sử dụng hàm băm để tính toán giá trị băm tương ứng của cả tập tin và sau đó so sánh các bít của giá trị băm này

Những lợi ích của việc sử dụng hàm băm mật mã là:

- Một chiều: Một hàm băm là hàm một chiều, vì vậy nếu một kẻ tấn công đánh cắp được các giá trị băm của tài liệu thì cũng sẽ không tiết lộ bất cứ bí mật từ các tài liệu đó.

- Kích thước: Một giá trị băm đòi hỏi không gian đáng kể ít hơn các tập tin và luôn luôn cho kết quả trong các khối bít có chiều dài tương tự (thường là

128 hoặc 160 bit tùy thuộc trên thuật toán) Điều này có nghĩa là chuyển giao các hash qua mạng là nhanh chóng và sản xuất rất ít chi phí Ngoài ra, lưu trữ các hash là dễ dàng và nó sẽ thay thế sự cần thiết để lưu trữ tất cả các tập tin nhạy cảm trên máy chủ DLP, chỉ để có thể thực hiện so sánh tập tin.

- Hiệu suất: các thuật toán hash hiện đại đều được tối ưu hóa cao và là kết quả, làm việc tốt, thậm chí trên các thiết bị di động nhỏ với nguồn lực hạn chế.

Một số giải pháp phòng chống thất thoát dữ liệu DLP

2.5.1 Sử dụng phần mềm chống thất thoát dữ liệu a Giải pháp Zecurion DLP

Zecurion DLP cung cấp mọi tính năng cần thiết để kiểm soát các việc truyền dữ liệu, giám sát việc xử lý dữ liệu của nhân viên và ngăn chặn vi phạm dữ liệu:

Hình 2.8 Trang chủ phần mềm Zecurion DLP

- Kiểm soát tất cả việc truyền dữ liệu của nhân viên để giảm thiểu rủi ro vi phạm dữ liệu và đảm bảo tuân thủ các yêu cầu và chính sách.

- Có thể cấu hình policy cho một số hoặc tất cả kênh truyền dữ liệu, sử dụng nhiều kỹ thuật phát hiện nội dung và điều kiện dữ liệu để phát hiện trước và ngăn chặn mọi tình huống vi phạm dữ liệu có thể xảy ra

- Phát hiện tệp tự động cho hơn 500 định dạng tệp tin dựa trên cấu trúc bên trong chứ không dựa vào phần mở rộng, khả năng nhận dạng tệp dù tệp tin có được mã hoá và giải nén tệp lưu trữ bao gồm nén nhiều lớp – Không có dữ liệu nào ra khỏi mạng nội bộ mà không được phân tích.

- Zecurion DLP cung cấp bảng điều khiển bằng giao diện Web cho tất cả mô-đun và giao diện điều khiển có thể tuỳ chỉnh để có thể quản trị tập trung từ xa, bên cạnh đó là sự đơn giản và hợp lý. b Giải pháp Symantec DLP

Symantec Data Loss Prevention (DLP) enables flexible deployment across distributed environments and monitoring of thousands of users and devices The DLP server can be deployed on Windows and Linux Red Hat servers, either on physical servers or virtual machines It supports cloud deployments with Symantec DLP for Cloud Storage and Cloud Prevent for Microsoft Office 365, and includes DLP monitoring for mobile devices and mobile email via Symantec DLP for Mobile, Mobile Email Monitor, and Mobile Prevent.

Symantec offers comprehensive solutions for endpoint discovery and prevention (Endpoint Discover and Endpoint Prevent) to secure data at endpoints Network data is protected by Symantec DLP Network Monitor, Network Prevent for Email, and Network Prevent for Web Remaining data is monitored and protected by Symantec DLP Network Discover, Network Protect, Data Insight, and the Data Insight Self Service Portal Additionally, Symantec Endpoint Encryption (SEE) integrates seamlessly with Symantec DLP.

Symantec Data Loss Prevention có nhiều tính năng vượt trội như hỗ trợ cho nhiều hệ điều hành máy chủ DLP, hỗ trợ nhiều nền tảng thiết bị đầu cuối, tích hợp mã hóa cũng như kiểm soát điện thoại di động và điện toán đám mây.

Sản phẩm này phù hợp nhất cho các doanh nghiệp lớn với đội ngũ IT và nhân viên mạng giỏi. c Giải pháp Active Directory Right Management Services của

AD RMS đưa ra phương thức cho phép người gửi phân quyền tương tác với nội dung cho người nhận như: cấm in tài liệu, cấm chuyển email cho người khác, thiết lập thời gian hết hạn của tài liệu Để làm được điều đó AD RMS sẽ tiến hành mã hóa dữ liệu ở mức độ 128bit và gắn chứng chỉ số vào tài liệu nhằm can thiệp vào suốt quá trình tồn tại của dữ liệu bất kể nó được lưu trữ ở đâu Kết quả là người nhận muốn mở dữ liệu được bảo vệ bởi AD RMS phải chìa ra thông tin định danh của mình mà cụ thể là tài khoản truy cập vào hệ thống AD của công ty Khi đó máy chủ AD RMS sẽ dựa trên danh tính của người nhận để xác định quyền tương tác đối với dữ liệu Mô tả nghe có vẻ phức tạp nhưng giải pháp công nghệ của Microsoft luôn mang đặc tính vốn có là rất thân thiện với người dùng Do vậy khi các doanh nghiệp triển khai AD RMS sẽ không mất nhiều công sức và thời gian. Để sử dụng được AD RMS khách hàng cần sẵn sàng hạ tầng về quản trị định danh Active Directory 2003 hoặc 2008 Ngoài ra hạ tầng PKI nhằm cung cấp chứng chỉ số nội bộ cũng cần phải sẵn sàng Ngoài ra tùy vào tình huống ứng dụng RMS mà còn cần thêm những ứng dụng liên quan Mặc định AD RMS hỗ trợ cho các định đang tài liệu văn phòng của Microsoft Office như Word, Excel, Powerpoint, Infopath cũng như email hay thư thoại.

Người dùng có thể sử dụng các chính sách phân quyền truy cập thông tin dựa trên các template có sẵn và do bộ phận IT thiết lập như:

- Cấm chuyển đi (Do Not Forward): được dùng để ngăn chặn người dùng chuyển nội dung email cho người thứ ba.

- Cấm gửi lại cho tất cả mọi người trong loop mail (Do Not Reply All): được dùng để ngăn chặn người nhận trả lời email lại cho tất cả những người trong loop mail ngoại trừ người gửi.

- Nội dung email là chỉ đọc không được copy hay in ấn (Read Only): là cách thức cấm người nhận in, sao chụp email hay lưu file đính kèm xuống máy.

Cơ chế Read Only thường đi chung với template Do Not Forward.

- Nội dung email bị giới hạn theo nhóm người (Company User Group Confidential): được dùng để đảm bảo email nhạy cảm liên quan đến nhân sự, chính sách công ty, thông tin mật không lọt ra khỏi nhóm người dùng mong muốn.

- Nội dung chỉ được xem trong thời gian nhất định (Expire Date): được áp dụng cho các tài liệu thuộc loại tối mật và người dùng nhận chỉ có thể xem trong khoảng thời gian nhất định mà thôi.

2.5.2 Một số giải pháp khác a Triển khai các biện pháp kiểm soát ủy quyền và xác thực nâng cao

* DAC - Discretionary Access Control (Kiểm soát truy cập tùy ý):

Trong mô hình DAC, mọi đối tượng trong hệ thống được bảo vệ đều có chủ sở hữu và chủ sở hữu cấp quyền truy nhập cho người dùng theo ý muốn của mình DAC mang đến khả năng kiểm soát theo từng trường hợp đối với các tài nguyên.

- MAC - Mandatory Access Control (Kiểm soát truy cập bắt buộc):

Trong mô hình MAC, người dùng được cấp quyền truy nhập dưới dạng giấy phép Cơ quan trung tâm quy định và sắp xếp quyền truy nhập thành các bậc, mở rộng phạm vi một cách đồng nhất Mô hình này rất phổ biến trong bối cảnh chính phủ và quân đội.

- RBAC - Role-based access control (Kiểm soát truy nhập dựa trên vai trò):

Trong mô hình RBAC, quyền truy nhập được cấp dựa trên chức năng công việc đã xác định chứ không phải danh tính hoặc thâm niên của cá nhân.

Mục tiêu là chỉ cung cấp cho người dùng dữ liệu họ cần để thực hiện công việc của mình và không cung cấp dữ liệu không cần thiết.

- ABAC - Attribute-Based Access Control (Kiểm soát truy cập dựa trên thuộc tính):

Ngày đăng: 01/10/2024, 11:01

TÀI LIỆU CÙNG NGƯỜI DÙNG

  • Đang cập nhật ...

TÀI LIỆU LIÊN QUAN

w