chương trình ứng dụng bị đính kèm các phần mềm gián điệp, phần mềm độc hại, dữ liệu bịđánh cấp bởi người có đặc quyền sử dụng, quản lý dữ liệu trong nội bộ,…- Data-in-Use dữ liệu đang sử
Trang 1Mục lục
Trang 2ý, chủ động hay thụ động như sau: - Hiểm họa vô tình: khi người dùng khởi động lại hệ thống
ở chế độ đặc quyền, họ có thể tùy ý chỉnh sửa hệ thống Nhưng sau khi hoàn thành công việc
họ không chuyển hệ thống sang chế độ thông thường, vô tình để kẻ xấu lợi dụng
- Hiểm họa cố ý: như cố tình truy nhập hệ thống trái phép
- Hiểm họa thụ động: là hiểm họa nhưng chưa hoặc không tác động trực tiếp lên hệthống, như nghe trộm các gói tin trên đường truyền
- Hiểm họa chủ động: là việc sửa đổi thông tin, thay đổi tình trạng hoặc hoạt động của
hệ thống
Giải pháp chống thất thoát dữ liệu (Data Loss Prevention - DLP): giúp kiểm soát vàgiám sát việc truyền nhận những dữ liệu quan trọng dựa vào khả năng nhận biết nội dung,quản lý các rủi ro thất thoát thông tin, dữ liệu quan trọng ra bên ngoài Giải pháp được thiết kếcho phép các tổ chức xây dựng những chính sách kiểm soát hoạt động của nhân viên trên cácứng dụng email cá nhân và doanh nghiệp, giao tiếp trên web và các hoạt động khác
2. Các con đường dẫn đến mất mát dữ liệu
Thất thoát dữ liệu có thể xảy ra ở các trạng thái của dữ liệu như sau:
- Data-in-Motion (dữ liệu vận chuyển): Các dữ liệu được truyền thông qua đường
Internet như gửi thư điện tử, tải các dữ liệu nội bộ lên các trang web, truyền tải dữ liệu nội bộqua các kết nối từ xa (remote connection) hay qua các kênh giao tiếp như Yahoo Messenger!,AOL, Skype, … Ví dụ: Rủi ro dữ liệu nội bộ bị luồng ra bên ngoài bằng các kỹ thuật tấn côngcủa attacker, rò rỉ dữ liệu qua mạng xã hội, giao tiếp của nhân viên qua website, gửi nhận mail
cá nhân, gửi nhận dữ liệu từ bên ngoài, điểu khiển từ xa,…
Trang 3chương trình ứng dụng bị đính kèm các phần mềm gián điệp, phần mềm độc hại, dữ liệu bịđánh cấp bởi người có đặc quyền sử dụng, quản lý dữ liệu trong nội bộ,…
- Data-in-Use (dữ liệu đang sử dụng): các thao tác của người dùng cuối như copy data
hoặc in ấn.
Ví dụ: Các thao tác của nhân viên vô tình hay hữu ý cũng có thể làm dữ liệu bị rò rỉ rabên ngoài bởi sao chép dữ liệu qua usb, in ấn tài liệu, nhập liệu qua bàn phím, máy tính bịgiám sát bởi key logger,… Tương ứng ta có các giải pháp DLP phù hợp để ngăn chặn việc thấtthoát dữ liệu:
- DLP for Endpoint: kiểm soát, quản lý dữ liệu trong trạng thái đang sử dụng
- DLP for Network: kiểm soát, quản lý dữ liệu trong trạng thái đang vận chuyển trênmạng
- DLP for Stored data discovery: kiểm soát, quản lý dữ liệu trong trạng thái đang đượclưu trữ, tài nguyên máy tính
3. Phòng chống DLP:
- Sử dụng phần mềm OpenDLP, MyDLP,
Trang 4- MyDLP là một giải pháp ngăn ngừa mất dữ liệu hoàn chỉnh cho phép bạn khám phá,giám sát và kiểm soát chuyển động của dữ liệu bí mật trong mạng của tổ chức bạn Bạn có thể
sử dụng hành động chính sách để vượt qua, đăng nhập, lưu trữ và kiểm dịch dữ liệu di chuyển,hạn chế sử dụng thiết bị lưu trữ di động, mã hóa các thiết bị di động và thậm chí xóa các tệpđược phát hiện trong kho
- Hai thành phần chính của sản phẩm là MyDLP Network Server và MyDLP EndpointAgent Hai thành phần này làm việc cùng nhau để bảo vệ thông tin nhạy cảm của bạn trong
tổ chức của bạn
- OpenDLP có mã nguồn mở miễn phí MyDLP thiết kế nhiều tính năng với bản miễnphí, tính phí Chủ yếu triển khai trên hệ thống Linux
II TÍNH NĂNG MYDLP
Server quản lý MyDLP cung cấp giao diện Web như sau:
Note: Khi mới cài đặt sẽ chưa có số liệu thống kê
1. Thẻ Dasboard
Trang 5- Chứa các số liệu thống kê và các loại Tiles, tạo thành tóm tắt tổng hợp bao gồm nhật
ký sự cố, số liệu thống kê về người dùng và các thiết bị đấu cuối từ đó số lượng lớn dữ liệuchặn / phát hiện, các quy tắc được áp dụng trong ngày, giờ và giúp quản trị xem khi cần và lậpbáo cáo định kỳ
- Quản trị viên có thể tùy chỉnh trang tổng quan theo yêu cầu bằng cách thêm hoặc loại
bỏ Tiles
- Bảng Dasboard có thể hiển thị các loại sau đây:
+ Incidents by Actions (last hour)
+ Top 5 Addresses (last hour)
+ Top 5 Addresses (last day)
+ Top 5 Users (last hour)
+ Top 5 Users (last day)
+ Top 5 Rules (last hour)
+ Top 5 Rules (last day)
Quản trị viên có thể thêm hoặc xóa các biểu đồ theo nhu cầu của họ
2. RULES
Trang 6a. Rule channels (các loại quy tắc kiểm tra dữ liệu)
Trang 7- Mail Rule:Quy tắc thư được sử dụng để theo dõi và kiểm soát dữ liệu được truyền qua
email và lưu lượng truy cập SMTP khác từ các nguồn được chỉ định
- Removable Storage Rule:Quy tắc lưu trữ có thể tháo rời kiểm soát dữ liệu được
truyền đến các thiết bị bên ngoài như bộ nhớ USB, ổ cứng rời ổ đĩa và điện thoại thông minh
- Storage Inbound Rule Storage: Lưu trữ có thể lưu được Quy tắc gửi đến được sử
dụng để lưu trữ dữ liệu được sao chép từ các thiết bị nhớ có thể tháo rời vào máy vi tính
- Encryption Rule Rule: Quy tắc mã hoá lưu trữ di động cho phép bạn mã hóa thiết bị
di động được kết nối với điểm cuối trên mạng Sau khi mã hóa, mọi dữ liệu trên ổ đĩa chỉ cóthể đọc được nếu nó được kết nối với mạng của bạn chứ không phải bởi bất kỳ mạng khác.Nếu bạn bật quy tắc này cho tất cả các nguồn thì bất kỳ thiết bị mới nào sẽ được mã hóa ngayngay khi chúng được kết nối Điều này sẽ ngăn chặn, ví dụ, bất kỳ khách hoặc thù địch từ cắmvào một ổ đĩa USB, tải dữ liệu và lấy nó ra khỏi mạng của bạn
- ScreenShot Rule: Quy tắc chụp màn hình ngăn chức năng màn hình in trong khi ứng
dụng nhạy cảm đang chạy Xem phần Ảnh chụp màn hình để biết thêm chi tiết
- API Rule: Các quy tắc API là một tính năng độc đáo cho phép bạn tích hợp các ứng
dụng tùy chỉnh với MyDLP
- USB Device Access Rule: Quy tắc truy cập thiết bị USB được sử dụng để theo dõi
hoặc chặn sử dụng thiết bị bộ nhớ USB trên các máy tính đã chọn được bảo vệ bởi đối tượngnguồn được xác định trong quy tắc
- CD-DVD Rule: Các quy tắc CD-DVD được sử dụng để kiểm soát việc sử dụng đĩa
quang như đĩa CD và DVD trên một số máy tính được bảo vệ bởi nguồn đối tượng Bạn có thểchọn để theo dõi hoặc chặn việc sử dụng đĩa hoặc đặt chúng vào chế độ 'Chỉ đọc'
Floppy Rule: Các quy tắc mềm được sử dụng để kiểm soát việc sử dụng đĩa mềm trên các máy
tính đã được bảo vệ bởi đối tượng mã nguồn Bạn có thể chọn để cho phép hoặc chặn việc sửdụng đĩa hoặc đặt Đĩa mềm vào chế độ Đọc-Chỉ để cho phép đọc dữ liệu từ đĩa và chặn ghi dữliệu trên cho họ
- Endpoint Discovery Rule: Các quy tắc Discovery điểm cuối được sử dụng để kiểm tra
kho lưu trữ cục bộ và ổ đĩa cứng trong các điểm cuối đã chọn của tệp chứa dữ liệu nhạy cảmcủa các loại (các) loại được chỉ định và kiểm soát chúng
- Storage Rule: Các quy tắc lưu trữ từ xa được sử dụng để phát hiện các tệp có chứa dữ
liệu nhạy cảm của (các) loại được chỉ định từ máy chủ từ xa và hệ thống tập tin mạng
- Clipboard rules: được sử dụng để kiểm soát chức năng sao chép và dán trên các máy
tính được Source Object đề cập đến
b. Rule action
Khi cài đặt 1 Rules sẽ bao gồm hành động tương ứng khi Rules đó được match, baogồm:
Trang 8- PASS: Cho phép thông tin đi qua kênh dữ liệu một cách tự do mà không cần tạo file
log Có trong tất cả rules
- LOG: Tạo một mục nhật ký khi dữ liệu đi qua kênh dữ liệu Hành động này không có
sẵn cho screenshot rule and Floppy rule
- ARCHIVE: Cho phép thông tin truyền qua kênh dữ liệu, tạo bản ghi sự kiện và lưu
trữ một bản sao của thông tin
- BLOCK: Ngăn chặn thông tin truyền qua kênh dữ liệu và tạo bản ghi sự kiện Hành
động này không có sẵn cho removable storage inbound rules
- QUARANTINE: Ngăn chặn thông tin đi qua, tạo bản ghi sự kiện và lưu trữ một bản
sao của thông tin Hành động này là không khả dụng đối với quy tắc removable storageinbound rule, screenshot rule, USB Device Access rule, CD-DVD rule và Floppy rules
Note: Các action như Quarantine,… chỉ có ở bản enterprise
c. User Defined Objects
- Mỗi Rule gồm 5 đối tượng chính Channel hoặc Name của Rules, Source, Destination,Information type và Action
- MyDLP cũng cung cấp tính năng tự định nghĩa (thêm, xóa, sửa ) một số kiểu đồi tượngđược xác định trước để phục vụ khi tạo Rules
Trang 93. Thẻ Setting:
Trang 10Cho phép quản trị cấu hình thông tin cơ bản như:
a Protocols: Cho phép quản trị viên xem và định cấu hình giao thức kết nối được sử dụng
bởi máy chủ DLP tới thiết bị đầu cuối và máy chủ proxy web
b.Users: Cho phép quản trị viên thêm, xóa và quản lý người dùng quản trị ngang hàng.
c Endpoint: Cho phép quản trị viên cấu hình các tham số kết nối cho máy chủ MyDLP để
kết nối với thiết bị đầu cuối
d Advanced: Thiết lập nâng cao trong MyDLP
e Enterprise: Cho phép quản trị viên cấu hình các thiết lập linh tinh theo chính sách doanh
nghiệp và nhận thông báo qua email
f IRM: Cho phép quản trị viên cấu hình thông số Quản lý Quyền của Thông tin (IRM)
4. Thẻ Logs:
Trang 11Giao diện 'Logs' hiển thị danh sách các bản ghi sự kiện mất dữ liệu với các chi tiết vềnguồn của các tệp, quy tắc dựa trên đó các tệp tin bị chặn, hành động MyDLP Nó cũng chophép quản trị viên tải về một bản sao của các tập tin lưu trữ đã bị chặn dựa trên các quy tắckhác nhau và gửi lại các thư hợp lệ đã bị chặn bởi mail rule Giao diện nhật ký tự động đượccập nhật ở khoảng thời gian cài đặt trong giao diện “Setting”-> Advanced
Quản trị viên có thể tải xuống bất kỳ tệp nào bằng cách nhấp vào biểu tượng tải xuống
và máy chủ
Trang 12Endpoint agent cuối có thể được cài đặt trên các máy tính mạng bằng nhiều cách khácnhau Để biết thêm chi tiết về cài đặtendpoint agent, hãy tham khảo Hướng dẫn Cài đặt Đại lýMyDLP Endpoint có sẵn từ http://www.mydlp.com/wpcontent/uploads/MyDLP-Endpoint-Installation-Guide.pdf.
Endpoint Tab hiển thị một danh sách các máy tính đầu cuối mà trên đó Agent được càiđặt và giao tiếp với máy chủ
Trang 13Thẻ Lience phép cho phép bạn xem thông tin giấy phép hiện tại, bao gồm ID đăng ký
và ngày hết hạn, và để kích hoạt mới giấy phép, phiên bản ….của MyDLP đang sử dụng
B DEMO
I CÀI ĐẶT
1 Network Server installation
Sau khi tải CD images từ http://www.mydlp.com/getting-started/, ta tiến hành cài đặt như sau:
1 Ghi đĩa (burn) CD của bạn vào đĩa CD hoặc USB để tạo CD của riêng MyDLPAppliance Auto-Install
2 Lắp CD Thiết bị MyDLP vào ROM của máy tính mục tiêu và khởi động từ ROM
CD-3 Bắt đầu cài đặt bằng đĩa CD cài đặt
4 Chọn Ngôn ngữ cài đặt Tiếng Anh
5 Chọn Install CDDP Appliance
Trang 146 Chọn Ngôn ngữ Anh.
7 Chọn quốc gia của bạn
8 Bỏ qua việc phát hiện bàn phím bằng cách chọn No
9 Chọn nguồn gốc bàn phím(keyboard origin) USA
10 Chọn bố trí bàn phím(keyboard layout) USA
11 Kiểm tra và hiệu chỉnh múi giờ
12 Chờ các bước cài đặt tự động
13* Nhập tên người dùng hệ điều hành
14* Nhập mật khẩu người dùng hệ điều hành
15 Không chọn "Mã hóa thư mục chính"( Encrypt home directory)
16 Chờ cho các bước cài đặt tự động kết thúc
17 Tên người dùng và mật khẩu mặc định như sau:
• SSH - Terminal sẽ dùng tên người dùng và mật khẩu như bạn đã xác định ở bước 13 và14
• Quản lý giao diện điều khiển
Bạn có thể kết nối với bảng điều khiển quản lý tại URL sau: https: // ip-server
Trang 15Mặc định Tên đăng nhập: mydlp, Default Password: mydlp
Trang 16Ta vào link comodo license system ở trên (https://accounts.comodo.com/)
Chọn create new account
Trang 17Chọn MyDLP service.
Trang 18Chọn bản Enterprise đăng ký thông tin cần thiết.
Chọn place order
Lấy được lincese key
Trang 19Vào https://www.mydlp.com/getting-started/ down MyDLP Endpoint AgentLưu ý nên cài NET framework 4 trước để có thể cài đặt gói này.
Sau khi tải về ta cài đặt gói CDI Endpoint MSI bằng cách kích đúp vào nó
Ip ở đây sẽ là ip từ mydlp network server như hình trên sẽ là 192.168.111.133Chờ cài đạt hoàn tất
Thêm Endpoint vào danh sách SOURCE để áp dụng các Rules trong demo:
Policy Source Endpoint Add
Trang 20II THIẾT LẬP RULES VÀ KIỂM TRA
1 Clipboard Rules:
a Mô tả: Chính sách này giúp ngăn chặn người dùng ở các máy Endpoint copy
cácthông tin nhạy cảm, bí mật như tài khoản , mật khẩu, thẻ tín dụng, các tài liệu v.v
b Cài đặt Rule:
Trang 21Thiết lập cụm từ không được phép lưu vào clipboard đặt tên là “ mat khau cong ty”
Next chọn kiểu file tùy theo tình huống, ở đây demo ở dạng file text , chọn
“TEXT File”
Trang 22Đoạn không cho phép lưu vào clipboard là “mat-khau-cong-ty-a”
Tạo Clipbord Rules : Policy Add
Next chọn Source
Trang 23Add Next thêm thông tin là định nghĩa lúc trước
Trang 24Cài Rules vào để thi hành chọn “Install Polices” ở thẻ Policy của giao diện MyDLP.
c Kiểm tra:
Mở file text, thử lưu vào trong Clipboard : Bôi đen “mat-khau-cong-ty-a” bằng Ctrl +C hoặc click phải Copy
Trang 252 Screenshot Rules
a Mô tả: Một số trường hợp mặc dù bị cấm copy dữ liệu nhạy cảm nhưng vẫn có thể
chụp màn hình được dẫn đến dữ liệu vẫn có thể bị rò rỉ ra ngoài Screenshot Rules cấm người dùng không chụp màn hình được
b Cài đặt Rules:
Tạo file txt và chụp màn hình bằng print screen -> chụp được bình thường
Trang 26Thêm Rules: Policy (icon) Add Type chọn Screenshot Rule Name: Screenshot Rule 1
Trang 27Next chọn Source
Next chọn các thông tin cấm chụp màn hình ( file excel, notepad, file word)
Trang 28Next Block ( để cấm print screen)
Save lại và cài đặt Rules vào , chọn Policy-> Install rules
Trang 29Mở lại file txt ban đầu để thêm dữ liệu, chụp lại màn hình
Kết quả chụp được là màn hình trước khi cài đặt Rules
Trang 303 Usb data inboud rules
a Mô tả: Cấm việc sao chép dữ liệu từ máy client sang các thiết bị lưu trữ di động (USB, ổ
Trang 31Click General Policy, sau đó click add, để tạo mới một rule, gõ tên cho rule và lựa chọn kiểu rule Click Removable Storage Rule, next.
Chọn Source
Trang 32Chọn add, next, chọn Information Type mà ta đã định nghĩa ban đầu ở đây là USB như hình, next
Chọn hành động(Quarantine), save, click Install Policy
Trang 33c Kiểm tra
Copy 1 file doc
File đã bị chặn, tiếp đến ta thử copy với quyền admin
Trang 34Kết quả là việc copy file vẫn bị chặn mặc dù đã sử dụng quyền admin
4 USB access rule
a Mô tả: Ngăn chăn máy end - point sủ dụng USB
b Cài đặt
Click General Policy, sau đó click add, để tạo mới một rule, gõ tên cho rule và lựa chọn kiểu rule Click chọn Usb Device Access, next
Trang 35Chọn source
Trang 36Chọn hành động (block), save, install policy
Trang 37c Kiểm tra:
Cắm thử USB vào
Trang 38Tạo floder có chứa thông tin cần quét VD: vào ổ C:\\ tạo floder matkhau
Trong floder matkhau tạo file matkhau.txt, file nonmatkhau.txt
Trang 40Cài đặt keyword để discover :
Chọn Information Type Chọn add đặt tên là “ mat khau cong ty”
Trang 41Nhấn next chọn loại file
Nhấn next chọn kiểu file tùy theo tình huống, ở đây ta ở dạng “Text File”
Trang 42Nhấn next chọn edit để chỉnh sửa
Keyword cần so sánh ở đây là “mat-khau-cong-ty-a”
Trang 43Match whole word và Scramble word là 2 tính năng so sánh, trong demo sẽ chọn Scramble word.VD: keyword là “obama” thì Match whole word sẽ tìm đúng từ
“obama” còn Scramble word sẽ có xáo trộn như “mabao”, Save để lưu lại.
Chọn Endpoint File System trong mục DISCOVERY TARGET để thêm thư mục cần quét vào danh sách
Trang 44Chọn Discover policy trong mục POLICY, tiến hành chỉnh lại setting discover nhấn next
Ta sẽ quét trên endpoint nhấn next
Trang 45Chọn destination Add
Nhấn next chọn information type đã tạo ở trên
Trang 46Nhấn next add action, ở đây ta chọn Quarantine Save
Trang 47Nhấn install policy để thực thi
Trang 48III NGĂN NGƯỜI DÙNG TỰ THOÁT KHỎI MIỀN QUẢN LÝ
Dùng Active Directive quản lý cài đặt không cho người dùng không nhìn thấy phầm mềm đang chạy, hạn chế một số quyền , không thể gỡ…
Tự bản thân MyDLP cũng đã có giải pháp riêng Khi người dùng cuối gỡ thì cần có password server MyDLP thì mới cho phép
Nhập sai password, quá trình gỡ tự tắt, gỡ không thành công