Mục lục Báo cáo MyDLP Page A TÌM HIỂU LÝ THUYẾT I TỔNG QUAN VỀ DATA LOSS PREVENTION (DLP) Khái niệm DLP Cùng với phát triển doanh nghiệp đòi hỏi ngày cao môi trường kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thơng tin cho nhiều đối tượng khác qua Internet hay Intranet Việc mát, rò rỉ thơng tin ảnh hưởng nghiêm trọng đến tài chính, danh tiếng cơng ty quan hệ với đối tác Vì vấn đề thất liệu doanh nghiệp ln quan tâm kiểm soát khắc phục giải pháp chống thất thoát liệu (Data Loss Prevention - DLP) Các hiểm họa hệ thống gây thất thoát liệu (Data Loss) phân loại thành hiểm họa vơ tình hay cố ý, chủ động hay thụ động sau: - Hiểm họa vơ tình: người dùng khởi động lại hệ thống chế độ đặc quyền, họ tùy ý chỉnh sửa hệ thống Nhưng sau hồn thành cơng việc họ khơng chuyển hệ thống sang chế độ thơng thường, vơ tình để kẻ xấu lợi dụng - Hiểm họa cố ý: cố tình truy nhập hệ thống trái phép - Hiểm họa thụ động: hiểm họa chưa không tác động trực tiếp lên hệ thống, nghe trộm gói tin đường truyền - Hiểm họa chủ động: việc sửa đổi thơng tin, thay đổi tình trạng hoạt động hệ thống Giải pháp chống thất thoát liệu (Data Loss Prevention - DLP): giúp kiểm soát giám sát việc truyền nhận liệu quan trọng dựa vào khả nhận biết nội dung, quản lý rủi ro thất thơng tin, liệu quan trọng bên Giải pháp thiết kế cho phép tổ chức xây dựng sách kiểm sốt hoạt động nhân viên ứng dụng email cá nhân doanh nghiệp, giao tiếp web hoạt động khác Các đường dẫn đến mát liệu Thất thoát liệu xảy trạng thái liệu sau: - Data-in-Motion (dữ liệu vận chuyển): Các liệu truyền thông qua đường Internet gửi thư điện tử, tải liệu nội lên trang web, truyền tải liệu nội qua kết nối từ xa (remote connection) hay qua kênh giao tiếp Yahoo Messenger!, AOL, Skype, … Ví dụ: Rủi ro liệu nội bị luồng bên ngồi kỹ thuật cơng attacker, rò rỉ liệu qua mạng xã hội, giao tiếp nhân viên qua website, gửi nhận mail cá nhân, gửi nhận liệu từ bên ngoài, điểu khiển từ xa,… - Data-at-Rest (dữ liệu lưu trữ): liệu lưu trữ thư mục chia ổ đĩa người dùng Ví dụ: Thất liệu xảy hệ thống lưu trữ bị công, Báo cáo MyDLP Page chương trình ứng dụng bị đính kèm phần mềm gián điệp, phần mềm độc hại, liệu bị đánh cấp người có đặc quyền sử dụng, quản lý liệu nội bộ,… - Data-in-Use (dữ liệu sử dụng): thao tác người dùng cuối copy data in ấn Ví dụ: Các thao tác nhân viên vơ tình hay hữu ý làm liệu bị rò rỉ bên ngồi chép liệu qua usb, in ấn tài liệu, nhập liệu qua bàn phím, máy tính bị giám sát key logger,… Tương ứng ta có giải pháp DLP phù hợp để ngăn chặn việc thất thoát liệu: - DLP for Endpoint: kiểm soát, quản lý liệu trạng thái sử dụng - DLP for Network: kiểm soát, quản lý liệu trạng thái vận chuyển mạng - DLP for Stored data discovery: kiểm soát, quản lý liệu trạng thái lưu trữ, tài ngun máy tính Phòng chống DLP: - Sử dụng phần mềm OpenDLP, MyDLP, Báo cáo MyDLP Page - MyDLP giải pháp ngăn ngừa liệu hoàn chỉnh cho phép bạn khám phá, giám sát kiểm soát chuyển động liệu bí mật mạng tổ chức bạn Bạn sử dụng hành động sách để vượt qua, đăng nhập, lưu trữ kiểm dịch liệu di chuyển, hạn chế sử dụng thiết bị lưu trữ di động, mã hóa thiết bị di động chí xóa tệp phát kho - Hai thành phần sản phẩm MyDLP Network Server MyDLP Endpoint Agent Hai thành phần làm việc để bảo vệ thông tin nhạy cảm bạn tổ chức bạn - OpenDLP có mã nguồn mở miễn phí MyDLP thiết kế nhiều tính với miễn phí, tính phí Chủ yếu triển khai hệ thống Linux II TÍNH NĂNG MYDLP Server quản lý MyDLP cung cấp giao diện Web sau: Note: Khi cài đặt chưa có số liệu thống kê Thẻ Dasboard Báo cáo MyDLP Page - Chứa số liệu thống kê loại Tiles, tạo thành tóm tắt tổng hợp bao gồm nhật ký cố, số liệu thống kê người dùng thiết bị đấu cuối từ số lượng lớn liệu chặn / phát hiện, quy tắc áp dụng ngày, giúp quản trị xem cần lập báo cáo định kỳ - Quản trị viên tùy chỉnh trang tổng quan theo yêu cầu cách thêm loại bỏ Tiles - Bảng Dasboard hiển thị loại sau đây: + Incidents by Actions (last hour) + Top Addresses (last hour) + Top Addresses (last day) + Top Users (last hour) + Top Users (last day) + Top Rules (last hour) + Top Rules (last day) Quản trị viên thêm xóa biểu đồ theo nhu cầu họ RULES Báo cáo MyDLP Page a Rule channels (các loại quy tắc kiểm tra liệu) - Web Rule: Các quy tắc Web sử dụng để theo dõi kiểm soát tất lưu lượng truy cập đến từ mạng bạn qua HTTP HTTPS Điều bao gồm liệu trao đổi với mạng bên Internet Báo cáo MyDLP Page - Mail Rule:Quy tắc thư sử dụng để theo dõi kiểm soát liệu truyền qua email lưu lượng truy cập SMTP khác từ nguồn định - Removable Storage Rule:Quy tắc lưu trữ tháo rời kiểm sốt liệu truyền đến thiết bị bên nhớ USB, ổ cứng rời ổ đĩa điện thoại thông minh - Storage Inbound Rule Storage: Lưu trữ lưu Quy tắc gửi đến sử dụng để lưu trữ liệu chép từ thiết bị nhớ tháo rời vào máy vi tính - Encryption Rule Rule: Quy tắc mã hố lưu trữ di động cho phép bạn mã hóa thiết bị di động kết nối với điểm cuối mạng Sau mã hóa, liệu ổ đĩa đọc kết nối với mạng bạn mạng khác Nếu bạn bật quy tắc cho tất nguồn thiết bị mã hóa ngay chúng kết nối Điều ngăn chặn, ví dụ, khách thù địch từ cắm vào ổ đĩa USB, tải liệu lấy khỏi mạng bạn - ScreenShot Rule: Quy tắc chụp hình ngăn chức hình in ứng dụng nhạy cảm chạy Xem phần Ảnh chụp hình để biết thêm chi tiết - API Rule: Các quy tắc API tính độc đáo cho phép bạn tích hợp ứng dụng tùy chỉnh với MyDLP - USB Device Access Rule: Quy tắc truy cập thiết bị USB sử dụng để theo dõi chặn sử dụng thiết bị nhớ USB máy tính chọn bảo vệ đối tượng nguồn xác định quy tắc - CD-DVD Rule: Các quy tắc CD-DVD sử dụng để kiểm soát việc sử dụng đĩa quang đĩa CD DVD số máy tính bảo vệ nguồn đối tượng Bạn chọn để theo dõi chặn việc sử dụng đĩa đặt chúng vào chế độ 'Chỉ đọc' Floppy Rule: Các quy tắc mềm sử dụng để kiểm soát việc sử dụng đĩa mềm máy tính bảo vệ đối tượng mã nguồn Bạn chọn phép chặn việc sử dụng đĩa đặt Đĩa mềm vào chế độ Đọc-Chỉ phép đọc liệu từ đĩa chặn ghi liệu cho họ - Endpoint Discovery Rule: Các quy tắc Discovery điểm cuối sử dụng để kiểm tra kho lưu trữ cục ổ đĩa cứng điểm cuối chọn tệp chứa liệu nhạy cảm loại (các) loại định kiểm soát chúng - Storage Rule: Các quy tắc lưu trữ từ xa sử dụng để phát tệp có chứa liệu nhạy cảm (các) loại định từ máy chủ từ xa hệ thống tập tin mạng - Clipboard rules: sử dụng để kiểm soát chức chép dán máy tính Source Object đề cập đến b Rule action Khi cài đặt Rules bao gồm hành động tương ứng Rules match, bao gồm: Báo cáo MyDLP Page - PASS: Cho phép thông tin qua kênh liệu cách tự mà không cần tạo file log Có tất rules - LOG: Tạo mục nhật ký liệu qua kênh liệu Hành động khơng có sẵn cho screenshot rule and Floppy rule - ARCHIVE: Cho phép thông tin truyền qua kênh liệu, tạo ghi kiện lưu trữ thông tin - BLOCK: Ngăn chặn thông tin truyền qua kênh liệu tạo ghi kiện Hành động khơng có sẵn cho removable storage inbound rules - QUARANTINE: Ngăn chặn thông tin qua, tạo ghi kiện lưu trữ thông tin Hành động không khả dụng quy tắc removable storage inbound rule, screenshot rule, USB Device Access rule, CD-DVD rule Floppy rules Note: Các action Quarantine,… có enterprise c User Defined Objects - Mỗi Rule gồm đối tượng Channel Name Rules, Source, Destination, Information type Action - MyDLP cung cấp tính tự định nghĩa (thêm, xóa, sửa ) số kiểu đồi tượng xác định trước để phục vụ tạo Rules Báo cáo MyDLP Page Thẻ Setting: Báo cáo MyDLP Page Cho phép quản trị cấu hình thơng tin như: a Protocols: Cho phép quản trị viên xem định cấu hình giao thức kết nối sử dụng máy chủ DLP tới thiết bị đầu cuối máy chủ proxy web b.Users: Cho phép quản trị viên thêm, xóa quản lý người dùng quản trị ngang hàng c Endpoint: Cho phép quản trị viên cấu hình tham số kết nối cho máy chủ MyDLP để kết nối với thiết bị đầu cuối d Advanced: Thiết lập nâng cao MyDLP e Enterprise: Cho phép quản trị viên cấu hình thiết lập linh tinh theo sách doanh nghiệp nhận thơng báo qua email f IRM: Cho phép quản trị viên cấu hình thơng số Quản lý Quyền Thơng tin (IRM) Thẻ Logs: Báo cáo MyDLP Page 10 Chọn source Báo cáo MyDLP Page 35 Chọn hành động (block), save, install policy Báo cáo MyDLP Page 36 c Kiểm tra: Cắm thử USB vào Báo cáo MyDLP Page 37 Kết Discover a Mơ tả: tìm theo keyword b Cài dặt: Tạo floder có chứa thơng tin cần qt VD: vào ổ C:\\ tạo floder matkhau Trong floder matkhau tạo file matkhau.txt, file nonmatkhau.txt Báo cáo MyDLP Page 38 Báo cáo MyDLP Page 39 Cài đặt keyword để discover : Chọn Information Type  Chọn add đặt tên “ mat khau cong ty” Báo cáo MyDLP Page 40 Nhấn next  chọn loại file Nhấn next  chọn kiểu file tùy theo tình huống, ta dạng “Text File” Báo cáo MyDLP Page 41  Nhấn next  chọn edit để chỉnh sửa Keyword cần so sánh “mat-khau-cong-ty-a” Threshold điểm bắt đầu so sánh Báo cáo MyDLP Page 42 Match whole word Scramble word tính so sánh, demo chọn Scramble word.VD: keyword “obama” Match whole word tìm từ “obama” Scramble word có xáo trộn “mabao”,  Save để lưu lại Chọn Endpoint File System mục DISCOVERY TARGET để thêm thư mục cần quét vào danh sách Báo cáo MyDLP Page 43 Chọn Discover policy mục POLICY, tiến hành chỉnh lại setting discover  nhấn next Ta quét endpoint  nhấn next Báo cáo MyDLP Page 44 Chọn destination  Add Nhấn next chọn information type tạo Báo cáo MyDLP Page 45 Nhấn next  add action, ta chọn Quarantine  Save Báo cáo MyDLP Page 46 Nhấn install policy để thực thi c Kiểm tra: Vào lại C:\matkhau, ta thấy file matkhau.txt chứa ““mat-khau-cong-ty-a” bị chuyển vào Quarantine Vào Discovery Reports để xem kết Báo cáo MyDLP Page 47 III NGĂN NGƯỜI DÙNG TỰ THOÁT KHỎI MIỀN QUẢN LÝ Dùng Active Directive quản lý cài đặt không cho người dùng khơng nhìn thấy phầm mềm chạy, hạn chế số quyền , gỡ… Tự thân MyDLP có giải pháp riêng Khi người dùng cuối gỡ cần có password server MyDLP cho phép Nhập sai password, trình gỡ tự tắt, gỡ không thành công Nhập password, gỡ thành công Báo cáo MyDLP Page 48 Tài liệu tham khảo : https://help.comodo.com/uploads/helpers/Comodo_MyDLP_v.3.0_Admin_Guide.pdf https://help.comodo.com/topic-283-1-596-7050-Introduction-to-ComodoDome-Data-Protection.html https://dlptest.com/ Báo cáo MyDLP Page 49 ... tâm kiểm soát khắc phục giải pháp chống thất thoát liệu (Data Loss Prevention - DLP) Các hiểm họa hệ thống gây thất thoát liệu (Data Loss) phân loại thành hiểm họa vơ tình hay cố ý, chủ động... ip-server Báo cáo MyDLP Page 14 Mặc định Tên đăng nhập: mydlp, Default Password: mydlp Báo cáo MyDLP Page 15 Ta vào link comodo license system (https://accounts.comodo.com/) Chọn create new account Báo. .. nghĩa (thêm, xóa, sửa ) số kiểu đồi tượng xác định trước để phục vụ tạo Rules Báo cáo MyDLP Page Thẻ Setting: Báo cáo MyDLP Page Cho phép quản trị cấu hình thơng tin như: a Protocols: Cho phép