Báo cáo DATA LOSS PREVENTION (DLP)

chương trình ứng dụng bị đính kèm các phần mềm gián điệp, phần mềm độc hại, dữ liệu bịđánh cấp bởi người có đặc quyền sử dụng, quản lý dữ liệu trong nội bộ,…- Data-in-Use dữ liệu đang sử

Mục lục

ý, chủ động hay thụ động như sau: - Hiểm họa vô tình: khi người dùng khởi động lại hệ thống

ở chế độ đặc quyền, họ có thể tùy ý chỉnh sửa hệ thống Nhưng sau khi hoàn thành công việc

họ không chuyển hệ thống sang chế độ thông thường, vô tình để kẻ xấu lợi dụng

- Hiểm họa cố ý: như cố tình truy nhập hệ thống trái phép

- Hiểm họa thụ động: là hiểm họa nhưng chưa hoặc không tác động trực tiếp lên hệthống, như nghe trộm các gói tin trên đường truyền

- Hiểm họa chủ động: là việc sửa đổi thông tin, thay đổi tình trạng hoặc hoạt động của

hệ thống

Giải pháp chống thất thoát dữ liệu (Data Loss Prevention - DLP): giúp kiểm soát vàgiám sát việc truyền nhận những dữ liệu quan trọng dựa vào khả năng nhận biết nội dung,quản lý các rủi ro thất thoát thông tin, dữ liệu quan trọng ra bên ngoài Giải pháp được thiết kếcho phép các tổ chức xây dựng những chính sách kiểm soát hoạt động của nhân viên trên cácứng dụng email cá nhân và doanh nghiệp, giao tiếp trên web và các hoạt động khác

2. Các con đường dẫn đến mất mát dữ liệu

Thất thoát dữ liệu có thể xảy ra ở các trạng thái của dữ liệu như sau:

- Data-in-Motion (dữ liệu vận chuyển): Các dữ liệu được truyền thông qua đường

Internet như gửi thư điện tử, tải các dữ liệu nội bộ lên các trang web, truyền tải dữ liệu nội bộqua các kết nối từ xa (remote connection) hay qua các kênh giao tiếp như Yahoo Messenger!,AOL, Skype, … Ví dụ: Rủi ro dữ liệu nội bộ bị luồng ra bên ngoài bằng các kỹ thuật tấn côngcủa attacker, rò rỉ dữ liệu qua mạng xã hội, giao tiếp của nhân viên qua website, gửi nhận mail

cá nhân, gửi nhận dữ liệu từ bên ngoài, điểu khiển từ xa,…

chương trình ứng dụng bị đính kèm các phần mềm gián điệp, phần mềm độc hại, dữ liệu bịđánh cấp bởi người có đặc quyền sử dụng, quản lý dữ liệu trong nội bộ,…

- Data-in-Use (dữ liệu đang sử dụng): các thao tác của người dùng cuối như copy data

hoặc in ấn.

Ví dụ: Các thao tác của nhân viên vô tình hay hữu ý cũng có thể làm dữ liệu bị rò rỉ rabên ngoài bởi sao chép dữ liệu qua usb, in ấn tài liệu, nhập liệu qua bàn phím, máy tính bịgiám sát bởi key logger,… Tương ứng ta có các giải pháp DLP phù hợp để ngăn chặn việc thấtthoát dữ liệu:

- DLP for Endpoint: kiểm soát, quản lý dữ liệu trong trạng thái đang sử dụng

- DLP for Network: kiểm soát, quản lý dữ liệu trong trạng thái đang vận chuyển trênmạng

- DLP for Stored data discovery: kiểm soát, quản lý dữ liệu trong trạng thái đang đượclưu trữ, tài nguyên máy tính

3. Phòng chống DLP:

- Sử dụng phần mềm OpenDLP, MyDLP,

- MyDLP là một giải pháp ngăn ngừa mất dữ liệu hoàn chỉnh cho phép bạn khám phá,giám sát và kiểm soát chuyển động của dữ liệu bí mật trong mạng của tổ chức bạn Bạn có thể

sử dụng hành động chính sách để vượt qua, đăng nhập, lưu trữ và kiểm dịch dữ liệu di chuyển,hạn chế sử dụng thiết bị lưu trữ di động, mã hóa các thiết bị di động và thậm chí xóa các tệpđược phát hiện trong kho

- Hai thành phần chính của sản phẩm là MyDLP Network Server và MyDLP EndpointAgent Hai thành phần này làm việc cùng nhau để bảo vệ thông tin nhạy cảm của bạn trong

tổ chức của bạn

- OpenDLP có mã nguồn mở miễn phí MyDLP thiết kế nhiều tính năng với bản miễnphí, tính phí Chủ yếu triển khai trên hệ thống Linux

II TÍNH NĂNG MYDLP

Server quản lý MyDLP cung cấp giao diện Web như sau:

Note: Khi mới cài đặt sẽ chưa có số liệu thống kê

1. Thẻ Dasboard

- Chứa các số liệu thống kê và các loại Tiles, tạo thành tóm tắt tổng hợp bao gồm nhật

ký sự cố, số liệu thống kê về người dùng và các thiết bị đấu cuối từ đó số lượng lớn dữ liệuchặn / phát hiện, các quy tắc được áp dụng trong ngày, giờ và giúp quản trị xem khi cần và lậpbáo cáo định kỳ

- Quản trị viên có thể tùy chỉnh trang tổng quan theo yêu cầu bằng cách thêm hoặc loại

bỏ Tiles

- Bảng Dasboard có thể hiển thị các loại sau đây:

+ Incidents by Actions (last hour)

+ Top 5 Addresses (last hour)

+ Top 5 Addresses (last day)

+ Top 5 Users (last hour)

+ Top 5 Users (last day)

+ Top 5 Rules (last hour)

+ Top 5 Rules (last day)

Quản trị viên có thể thêm hoặc xóa các biểu đồ theo nhu cầu của họ

2. RULES

a. Rule channels (các loại quy tắc kiểm tra dữ liệu)

- Mail Rule:Quy tắc thư được sử dụng để theo dõi và kiểm soát dữ liệu được truyền qua

email và lưu lượng truy cập SMTP khác từ các nguồn được chỉ định

- Removable Storage Rule:Quy tắc lưu trữ có thể tháo rời kiểm soát dữ liệu được

truyền đến các thiết bị bên ngoài như bộ nhớ USB, ổ cứng rời ổ đĩa và điện thoại thông minh

- Storage Inbound Rule Storage: Lưu trữ có thể lưu được Quy tắc gửi đến được sử

dụng để lưu trữ dữ liệu được sao chép từ các thiết bị nhớ có thể tháo rời vào máy vi tính

- Encryption Rule Rule: Quy tắc mã hoá lưu trữ di động cho phép bạn mã hóa thiết bị

di động được kết nối với điểm cuối trên mạng Sau khi mã hóa, mọi dữ liệu trên ổ đĩa chỉ cóthể đọc được nếu nó được kết nối với mạng của bạn chứ không phải bởi bất kỳ mạng khác.Nếu bạn bật quy tắc này cho tất cả các nguồn thì bất kỳ thiết bị mới nào sẽ được mã hóa ngayngay khi chúng được kết nối Điều này sẽ ngăn chặn, ví dụ, bất kỳ khách hoặc thù địch từ cắmvào một ổ đĩa USB, tải dữ liệu và lấy nó ra khỏi mạng của bạn

- ScreenShot Rule: Quy tắc chụp màn hình ngăn chức năng màn hình in trong khi ứng

dụng nhạy cảm đang chạy Xem phần Ảnh chụp màn hình để biết thêm chi tiết

- API Rule: Các quy tắc API là một tính năng độc đáo cho phép bạn tích hợp các ứng

dụng tùy chỉnh với MyDLP

- USB Device Access Rule: Quy tắc truy cập thiết bị USB được sử dụng để theo dõi

hoặc chặn sử dụng thiết bị bộ nhớ USB trên các máy tính đã chọn được bảo vệ bởi đối tượngnguồn được xác định trong quy tắc

- CD-DVD Rule: Các quy tắc CD-DVD được sử dụng để kiểm soát việc sử dụng đĩa

quang như đĩa CD và DVD trên một số máy tính được bảo vệ bởi nguồn đối tượng Bạn có thểchọn để theo dõi hoặc chặn việc sử dụng đĩa hoặc đặt chúng vào chế độ 'Chỉ đọc'

Floppy Rule: Các quy tắc mềm được sử dụng để kiểm soát việc sử dụng đĩa mềm trên các máy

tính đã được bảo vệ bởi đối tượng mã nguồn Bạn có thể chọn để cho phép hoặc chặn việc sửdụng đĩa hoặc đặt Đĩa mềm vào chế độ Đọc-Chỉ để cho phép đọc dữ liệu từ đĩa và chặn ghi dữliệu trên cho họ

- Endpoint Discovery Rule: Các quy tắc Discovery điểm cuối được sử dụng để kiểm tra

kho lưu trữ cục bộ và ổ đĩa cứng trong các điểm cuối đã chọn của tệp chứa dữ liệu nhạy cảmcủa các loại (các) loại được chỉ định và kiểm soát chúng

- Storage Rule: Các quy tắc lưu trữ từ xa được sử dụng để phát hiện các tệp có chứa dữ

liệu nhạy cảm của (các) loại được chỉ định từ máy chủ từ xa và hệ thống tập tin mạng

- Clipboard rules: được sử dụng để kiểm soát chức năng sao chép và dán trên các máy

tính được Source Object đề cập đến

b. Rule action

Khi cài đặt 1 Rules sẽ bao gồm hành động tương ứng khi Rules đó được match, baogồm:

- PASS: Cho phép thông tin đi qua kênh dữ liệu một cách tự do mà không cần tạo file

log Có trong tất cả rules

- LOG: Tạo một mục nhật ký khi dữ liệu đi qua kênh dữ liệu Hành động này không có

sẵn cho screenshot rule and Floppy rule

- ARCHIVE: Cho phép thông tin truyền qua kênh dữ liệu, tạo bản ghi sự kiện và lưu

trữ một bản sao của thông tin

- BLOCK: Ngăn chặn thông tin truyền qua kênh dữ liệu và tạo bản ghi sự kiện Hành

động này không có sẵn cho removable storage inbound rules

- QUARANTINE: Ngăn chặn thông tin đi qua, tạo bản ghi sự kiện và lưu trữ một bản

sao của thông tin Hành động này là không khả dụng đối với quy tắc removable storageinbound rule, screenshot rule, USB Device Access rule, CD-DVD rule và Floppy rules

Note: Các action như Quarantine,… chỉ có ở bản enterprise

c. User Defined Objects

- Mỗi Rule gồm 5 đối tượng chính Channel hoặc Name của Rules, Source, Destination,Information type và Action

- MyDLP cũng cung cấp tính năng tự định nghĩa (thêm, xóa, sửa ) một số kiểu đồi tượngđược xác định trước để phục vụ khi tạo Rules

3. Thẻ Setting:

Cho phép quản trị cấu hình thông tin cơ bản như:

a Protocols: Cho phép quản trị viên xem và định cấu hình giao thức kết nối được sử dụng

bởi máy chủ DLP tới thiết bị đầu cuối và máy chủ proxy web

b.Users: Cho phép quản trị viên thêm, xóa và quản lý người dùng quản trị ngang hàng.

c Endpoint: Cho phép quản trị viên cấu hình các tham số kết nối cho máy chủ MyDLP để

kết nối với thiết bị đầu cuối

d Advanced: Thiết lập nâng cao trong MyDLP

e Enterprise: Cho phép quản trị viên cấu hình các thiết lập linh tinh theo chính sách doanh

nghiệp và nhận thông báo qua email

f IRM: Cho phép quản trị viên cấu hình thông số Quản lý Quyền của Thông tin (IRM)

4. Thẻ Logs:

Giao diện 'Logs' hiển thị danh sách các bản ghi sự kiện mất dữ liệu với các chi tiết vềnguồn của các tệp, quy tắc dựa trên đó các tệp tin bị chặn, hành động MyDLP Nó cũng chophép quản trị viên tải về một bản sao của các tập tin lưu trữ đã bị chặn dựa trên các quy tắckhác nhau và gửi lại các thư hợp lệ đã bị chặn bởi mail rule Giao diện nhật ký tự động đượccập nhật ở khoảng thời gian cài đặt trong giao diện “Setting”-> Advanced

Quản trị viên có thể tải xuống bất kỳ tệp nào bằng cách nhấp vào biểu tượng tải xuống

và máy chủ

Endpoint agent cuối có thể được cài đặt trên các máy tính mạng bằng nhiều cách khácnhau Để biết thêm chi tiết về cài đặtendpoint agent, hãy tham khảo Hướng dẫn Cài đặt Đại lýMyDLP Endpoint có sẵn từ http://www.mydlp.com/wpcontent/uploads/MyDLP-Endpoint-Installation-Guide.pdf.

Endpoint Tab hiển thị một danh sách các máy tính đầu cuối mà trên đó Agent được càiđặt và giao tiếp với máy chủ

Thẻ Lience phép cho phép bạn xem thông tin giấy phép hiện tại, bao gồm ID đăng ký

và ngày hết hạn, và để kích hoạt mới giấy phép, phiên bản ….của MyDLP đang sử dụng

B DEMO

I CÀI ĐẶT

1 Network Server installation

Sau khi tải CD images từ http://www.mydlp.com/getting-started/, ta tiến hành cài đặt như sau:

1 Ghi đĩa (burn) CD của bạn vào đĩa CD hoặc USB để tạo CD của riêng MyDLPAppliance Auto-Install

2 Lắp CD Thiết bị MyDLP vào ROM của máy tính mục tiêu và khởi động từ ROM

CD-3 Bắt đầu cài đặt bằng đĩa CD cài đặt

4 Chọn Ngôn ngữ cài đặt Tiếng Anh

5 Chọn Install CDDP Appliance

6 Chọn Ngôn ngữ Anh.

7 Chọn quốc gia của bạn

8 Bỏ qua việc phát hiện bàn phím bằng cách chọn No

9 Chọn nguồn gốc bàn phím(keyboard origin) USA

10 Chọn bố trí bàn phím(keyboard layout) USA

11 Kiểm tra và hiệu chỉnh múi giờ

12 Chờ các bước cài đặt tự động

13* Nhập tên người dùng hệ điều hành

14* Nhập mật khẩu người dùng hệ điều hành

15 Không chọn "Mã hóa thư mục chính"( Encrypt home directory)

16 Chờ cho các bước cài đặt tự động kết thúc

17 Tên người dùng và mật khẩu mặc định như sau:

• SSH - Terminal sẽ dùng tên người dùng và mật khẩu như bạn đã xác định ở bước 13 và14

• Quản lý giao diện điều khiển

Bạn có thể kết nối với bảng điều khiển quản lý tại URL sau: https: // ip-server

Mặc định Tên đăng nhập: mydlp, Default Password: mydlp

Ta vào link comodo license system ở trên (https://accounts.comodo.com/)

Chọn create new account

Chọn MyDLP service.

Chọn bản Enterprise đăng ký thông tin cần thiết.

Chọn place order

Lấy được lincese key

Vào https://www.mydlp.com/getting-started/ down MyDLP Endpoint AgentLưu ý nên cài NET framework 4 trước để có thể cài đặt gói này.

Sau khi tải về ta cài đặt gói CDI Endpoint MSI bằng cách kích đúp vào nó

Ip ở đây sẽ là ip từ mydlp network server như hình trên sẽ là 192.168.111.133Chờ cài đạt hoàn tất

Thêm Endpoint vào danh sách SOURCE để áp dụng các Rules trong demo:

Policy  Source  Endpoint  Add

II THIẾT LẬP RULES VÀ KIỂM TRA

1 Clipboard Rules:

a Mô tả: Chính sách này giúp ngăn chặn người dùng ở các máy Endpoint copy

cácthông tin nhạy cảm, bí mật như tài khoản , mật khẩu, thẻ tín dụng, các tài liệu v.v

b Cài đặt Rule:

Thiết lập cụm từ không được phép lưu vào clipboard đặt tên là “ mat khau cong ty”

Next  chọn kiểu file tùy theo tình huống, ở đây demo ở dạng file text , chọn

“TEXT File”

Đoạn không cho phép lưu vào clipboard là “mat-khau-cong-ty-a”

Tạo Clipbord Rules : Policy  Add

Next  chọn Source

Add  Next  thêm thông tin là định nghĩa lúc trước

Cài Rules vào để thi hành chọn “Install Polices” ở thẻ Policy của giao diện MyDLP.

c Kiểm tra:

Mở file text, thử lưu vào trong Clipboard : Bôi đen “mat-khau-cong-ty-a” bằng Ctrl +C hoặc click phải  Copy

2 Screenshot Rules

a Mô tả: Một số trường hợp mặc dù bị cấm copy dữ liệu nhạy cảm nhưng vẫn có thể

chụp màn hình được dẫn đến dữ liệu vẫn có thể bị rò rỉ ra ngoài Screenshot Rules cấm người dùng không chụp màn hình được

b Cài đặt Rules:

Tạo file txt và chụp màn hình bằng print screen -> chụp được bình thường

Thêm Rules: Policy  (icon) Add  Type chọn Screenshot Rule  Name: Screenshot Rule 1

Next  chọn Source

Next  chọn các thông tin cấm chụp màn hình ( file excel, notepad, file word)

Next  Block ( để cấm print screen)

Save lại và cài đặt Rules vào , chọn Policy-> Install rules

Mở lại file txt ban đầu để thêm dữ liệu, chụp lại màn hình

Kết quả chụp được là màn hình trước khi cài đặt Rules

3 Usb data inboud rules

a Mô tả: Cấm việc sao chép dữ liệu từ máy client sang các thiết bị lưu trữ di động (USB, ổ

Click General Policy, sau đó click add, để tạo mới một rule, gõ tên cho rule và lựa chọn kiểu rule Click Removable Storage Rule, next.

Chọn Source

Chọn add, next, chọn Information Type mà ta đã định nghĩa ban đầu ở đây là USB như hình, next

Chọn hành động(Quarantine), save, click Install Policy

c Kiểm tra

Copy 1 file doc

File đã bị chặn, tiếp đến ta thử copy với quyền admin

Kết quả là việc copy file vẫn bị chặn mặc dù đã sử dụng quyền admin

4 USB access rule

a Mô tả: Ngăn chăn máy end - point sủ dụng USB

b Cài đặt

Click General Policy, sau đó click add, để tạo mới một rule, gõ tên cho rule và lựa chọn kiểu rule Click chọn Usb Device Access, next

Chọn source

Chọn hành động (block), save, install policy

c Kiểm tra:

Cắm thử USB vào

Tạo floder có chứa thông tin cần quét VD: vào ổ C:\\ tạo floder matkhau

Trong floder matkhau tạo file matkhau.txt, file nonmatkhau.txt

Cài đặt keyword để discover :

Chọn Information Type  Chọn add đặt tên là “ mat khau cong ty”

Nhấn next  chọn loại file

Nhấn next  chọn kiểu file tùy theo tình huống, ở đây ta ở dạng “Text File”

Nhấn next  chọn edit để chỉnh sửa

Keyword cần so sánh ở đây là “mat-khau-cong-ty-a”

Match whole word và Scramble word là 2 tính năng so sánh, trong demo sẽ chọn Scramble word.VD: keyword là “obama” thì Match whole word sẽ tìm đúng từ

“obama” còn Scramble word sẽ có xáo trộn như “mabao”,  Save để lưu lại.

Chọn Endpoint File System trong mục DISCOVERY TARGET để thêm thư mục cần quét vào danh sách

Chọn Discover policy trong mục POLICY, tiến hành chỉnh lại setting discover  nhấn next

Ta sẽ quét trên endpoint  nhấn next

Chọn destination  Add

Nhấn next chọn information type đã tạo ở trên

Nhấn next  add action, ở đây ta chọn Quarantine  Save

Nhấn install policy để thực thi

III NGĂN NGƯỜI DÙNG TỰ THOÁT KHỎI MIỀN QUẢN LÝ

Dùng Active Directive quản lý cài đặt không cho người dùng không nhìn thấy phầm mềm đang chạy, hạn chế một số quyền , không thể gỡ…

Tự bản thân MyDLP cũng đã có giải pháp riêng Khi người dùng cuối gỡ thì cần có password server MyDLP thì mới cho phép

Nhập sai password, quá trình gỡ tự tắt, gỡ không thành công