Trend Micro ™ Data leak prevention là một giải pháp phần mềm toàn diện được thiết kế để giúp các tổ chức bảo vệ các thông tin nhạy cảm của mình từ tiết lộ tình cờ và cố ý trộm cắp. Dư liệu và thông tin nhạy cảm là những thứ quan trọng nhất đối với bất cứ tổ chức nào vì vậy việc bảo vệ để dữ liệu khơng bị rò rỉ và đánh cắp là mục tiêu quan trọng của tổ chức Data Leak Prevention đã làm được điều này. Tuy chưa có module tích hợp trên ESP nhưng Trend Micro sẽ cho ra module náy sớm nhất để đưa ESP thành một sản phẩm bảo vệ toàn diện người dùng cuối. Hiện giờ một phiên bản Client- Server đang được Trend Micro phát hành với các tên Data Lose Prevention là phiên bản độc lập, là một sản phẩm riêng lẻ đang được bán trên thị trường, nhưng trong một ngày khơng xa nó sẽ trở thành một module của ESP, vì nó đang nằm trên bàn thử nghiệm để kiểm tra tính hiệu quả và hiệu suất đây là cam kết của Hãng bảo mật hàng đầu Trend Micro.
Data Lose Prevention (DLP) là một sản phẩm bảo vệ dữ liệu nhạy cảm của người sử dụng trước nguy cơ bị tiết lộ do tình cờ hay trộm cắp bằng cơng nghệ chính xác dấu vân tay và phù hợp với nội dung. Có thể ví dụ như “một tài liệu đang được sao chép vào một ổ đĩa USB hoặc đang được gửi đi thông qua mạng nội bộ. Hệ thống phát hiện các hoạt động, xác định có hoặc khơng
có tập tin chứa thơng tin nhạy cảm, thực hiện ghi log và sau đó ngừng ngay các hành động này.”
Vậy thông tin nhạy cảm là gì?
Đây là một câu hỏi mà câu trả lời cịn phụ thuộc vào phía tổ chức, tổ chức phải định nghĩa được thơng tin nhạy cảm của mình là gì. Ví dụ như thơng tin nhạy cảm của một cá nhân có thể là:
Thơng tin về bản thân cá nhân Thông tin về họ tên
Thông tin về ngày tháng năm sinh Thông tin về quên quán
Số điện thoại
Thông tin về số tài khoản Thông tin về mật khẩu Thông tin về mã số thuế …
Data Lose Prevention khơng mã hóa dữ liệu như các phần mềm bảo vệ dữ liệu khác. Mà nó chỉ bảo vệ các dữ liệu được định nghĩa là thơng tin nhạy cảm, nó khơng cho phép sao chép và gửi các thơng tin này đi dưới mọi hình thức. chính vì khơng mã hóa dữ liệu nên DLP chạy rất nhanh và hầu như không ảnh hưởng đến hiệu xuất của máy, của mạng.
Được trang bị các định nghĩa thơng tin nhạy cảm và chính sách bảo mật, hệ thống DLP có thể xác định dữ liệu truyền đi có thơng tin nhạy cảm bằng cách kiểm tra xem nó có chống lại các định nghĩa thông tin nhạy cảm và sẽ đưa ra những hành động cần thiết theo chính sách được thành lập trong thời gian thực khi thông tin được sắp rời khỏi tổ chức.
Quy trình thiết lập để bảo vệ dữ liệu trong Data lose prevention bao gồm các bước theo mơ hình sau:
Hình 51: Các bước thực hiện bảo vệ dữ liệu- Bước thứ nhất: Xác định dữ liệu nhạy cảm - Bước thứ nhất: Xác định dữ liệu nhạy cảm
- Bước thứ hai: Tạo một bản mẫu phù hợp - Bước thứ ba: Tạo một chính sách
Tìm kiếm dữ liệu
- Bước thứ tư: Triển khai các chính sách và theo dõi. I.2.21. Xác định dữ liệu nhạy cảm
Đây là một cơng việc khá phức tạp và nhạy cảm nó mang tính quyết định việc bảo vệ dữ liệu có đạt hiệu quả hay khơng. Việc xác định khơng chính xác sẽ dẫn đến việc dữ liệu cần bảo vệ thì khơng được bảo vệ, hay phiền toái cho người dùng dẫn đến cảnh báo nhầm hay ngăn chặn sai các nguy cơ mất mát dữ liệu.
DLP đưa ra 4 yếu tố để người quản trị định nghĩa dữ liệu nhạy cảm đấy là những yếu tố sau:
- Keywords - Patterns
- File Attributes
I.2.21.1. Fingerprints
Fingerprints không phải là ám chỉ kiểu xác thực sử dụng dấu vân tay. Mà nó dùng để chỉ cách tạo ra dấu vân tay trên các file dữ liệu nhạy cảm. Chúng ta có thể hiểu một cách đơn giản như khi chúng ta cầm vào một đồ vật thì đồ vật đó sẽ in dấu vân tay của chúng ta và khi có một ai đó lấy đồ vật đó đi khi qua cửa kiểm xốt vân tay thì nó sẽ phát hiện ra đồ vật này là của chúng ta không cho bất kỳ ai lấy nó đi hoặc sẽ thơng báo với chúng ta việc người đó đã mang nó đi. Như vậy việc tạo một Fingerprint là việc xác định một dữ liệu nhạy cảm và gán cho nó một dấu hiệu nhận biết.
Đầu tiên để gán dấu vân tay chúng ta cần xác định một khu vực để các dữ liệu quan trong. ví dụ ở đây là các file van bản trong folder C:\Documents and Settings\admin\My Documents\Documents của máy missoft-caefc4e. Trong giao diện console web của DLP chúng ta vào Digital Assets>Fingerprints (như trong hình 52)
Hình 52: Giao diện tạo một dấu vân tay
Giao diện Fingerprints hiện lên để tạo mới một bản kiểm kê các dữ liệu nhạy cảm chúng ta click vào Add và giao diện Adding Fingerprints hiện ra(xem hình 53)
Hình 53: Tạo mới một bản kiểm kê dấu vân tay
Các thông số cần điền bao gồm tên và mô tả của bản kiểm kê, kiểu khai thác, thông tin về nơi lưu trữ của dữ liệu. Phần filter để lọc theo định dạng dữ liệu các file sẽ thực hiện kiểm kê và các file bỏ qua. Sau khi điền đủ thông tin yêu cầu chúng ta click vào Save&Acquire việc thực hiên acquire có thể được lập lịch theo giờ, ngày, tuần, tháng. để cho các dữ liệu mới thêm vào được bổ xung vào danh sách các dữ liệu nhạy cảm
Hình 54: Kết quả sau khi Acquired
I.2.21.2. Keywords
sử dụng từ khóa để xác định xem nội dung dữ liệu có phải là dữ liệu nhạy cảm khơng. Việc đưa ra các từ khóa trong các file chứa dữ liệu nhạy cảm như về thông tin cá nhân thông tin tài khoản, các từ hay xuất hiện trong các văn bản cần giữ bí mật để xác định đâu là một thông tin là nhạy cảm giúp chúng ta khơng vơ tình đê lộ thơng tin.
Để tạo một mẫu các từ khóa trong Digital Assets> Keywords một bảng bao gồm cả các từ khóa do Trend đã tạo trước.
Hình 55: Keyword
Một từ khóa để xác định một thơng tin là nhạy cảm khơng có nghĩa là từ khóa đấy là một thơng tin nhạy cảm hay một phần của thơng tin nhạy cảm. Ví dụ như thơng tin về tài khoản và mật khẩu chẳng hạng thì từ khóa ở đây chúng ta dùng là: "tài khoản", "acc", " account" những từ liên quan đến mật khẩu như "mật khẩu", "pass", "password". chính vì vậy dựa vào kinh nghiệm và mối liên hệ với tổ chức mà người quản trị có thể đưa ra các thông tin để mô tả dữ liệu nhạy cảm của tổ chức mình.
Hình 56: Các từ liên quan đến tên tài khoản
Như vậy việc tạo ra một từ điển về các từ liên quan đến dữ liệu nhạy cảm trong tổ chức cũng khơng khó như hình 56 thì tài khoản có thể một loạt những từ mà người Việt chúng ta thường sử dụng để nói đến một tên tài
từ được coi là dữ liệu nhạy cảm thì Pattern lại xác định dựa trên cấu trúc của dữ liệu nhạy cảm thường thì Pattern là số ví dụ như số điện thoại, ngày sinh, số card, mã số thẻ ... chẳng hạn như số điện thoại ở việt nam thường có 10 hoặc 11 số có cấu trúc thường là 09xx xxx xxx hoặc 01xxx xxx xxx đấy chính là một Patterns.
Hình 57: Các Pattern được định nghĩa trước
Trend Micro cũng cung cấp cho chúng ta một số mẫu của một số nước như là mẫu Credit Card, số phone ở mỹ... chúng ta cũng có thể tự định nghĩa một pattern cho tổ chức của chúng ta bằng cách nhấn vào Add và điền vào những thông tin cần thiết.
Để tạo được một Pattern chúng ta cần có tên của mẫu, các ký tự sử dụng trong dữ liệu cần xác định, chiều dài tối thiểu/tối đa, cấu trúc, khả năng phù hợp với chuẩn nào. như ở hình trên là mẫu phone di động ở nước ta định dạng các ký tự có thể sử dụng là 0123456789().- và có chiều dài tối thiểu là 10 ký tự chiều dài tối đa là 14 ký tự. Có mẫu cấu trúc cho loại 10 số như sau:
[^\d\.-](\d{10}|\(\d{3}\)\s?\d{3} [\.-]?\d{4}|\d{3}-\d{3}-\d{4}|\d{3}\.\d{3}\.\d{4})[^\d\.-] \d{10} = 10 ký tự liền nhau là số \(\d{3}\)\s?\d{3}[\.-]?\d{4} có dạng (xxx) xxx.xxxx \d{3}-\d{3}-\d{4} có dạng xxx-xxx-xxxx \d{3}\.\d{3}\.\d{4} có dạng xxx.xxx.xxxx
Chúng ta có thể định dạng cho loại 11 số như sau sau: [^\d\.-](\d{11}|\(\d{4}\)\s?\d{4} [\.-]?\d{4}|\d{4}-\d{3}-\d{4}|\d{4}\.\d{3}\.\d{4})[^\d\.-] \d{10} = 11 ký tự liền nhau là số \(\d{4}\)\s?\d{3}[\.-]?\d{4} có dạng (xxxx) xxx.xxxx \d{4}-\d{3}-\d{4} có dạng xxxx-xxx-xxxx \d{4}\.\d{3}\.\d{4} có dạng xxxx.xxx.xxxx (ví dụ: 0169.364.5412) sau khi tạo song chúng ta có thể kiểm tra bằng các điền một số bất kỳ vào ô test data để kiểm tra tính đúng đắn của Pattern.
I.2.21.4. File Attributes
File Attributes đem đến cho chúng ta một kiểu xác định dữ liệu nhạy cảm nhờ vào định dạng file và kích thước file. Đây cũng là một kiểu giới hạn khá hữu ích trong khi chúng ta có trong máy tính rất nhiều file và các file có kích thước lớn thì thời gian để DLP kiểm tra sự phù hợp về nội dung dựa vào Keywords và Pattern sẽ mất thời gian hơn.
Hình 59: Xác định dữ liệu nhạy cảm bằng File Attributes
File Attributes cho chúng ta hai lựa chọn về sự phù hợp dữ liệu là về đuôi mở rộng và kích thước file. File Attributes khơng giúp cho việc xác định nội dung dữ liệu là có nhạy cảm hay khơng nó giúp cho sự giới hạn các file cần xác định để cho các thành phần xác định nội dung còn lại hoạt động.
I.2.22. Tạo một bản mẫu
Một bản mẫu được xây dựng trên các thành phần xác định dữ liệu nhạy cảm với các phép and, or, Except. đây là khâu khá quan trọng vì sự kết hợp khéo léo giữa các thành phần giúp cho việc xác định dữ liệu nhạy cảm chính xác hơn.
Hình 60: Ví dụ về một bản mẫu
Để tạo một bản mẫu chúng ta vào trong Data protection> Compliance Templates > Add các thơng tin mà chúng ta cần hồn thành bao gồm tên bản mẫu, các rule. Thực hiện add các rule chính là các Fingerprints, Keywords, Patterns, File Attributes mà chúng ta đã tạo, chọn phép and để thực hiện kết hợp hai rule với nhau. Chẳng hạn chúng ta có thể kết hợp rule tài khoản với rule mật khẩu để xác định 1 văn bản có chứa thơng tin về tài khoản và mật khẩu. Sử dụng phép Or để mở rộng hơn khái niệm dữ liệu nhạy
cảm cho một bản mẫu. Sử dụng Except để loại đi một trường hợp nào đấy. Sau khi thực hiện add các rule cần thiết thì chỉ việc click vào nút Save thì bản mẫu sẽ được tạo ra và chúng ta có thể áp dụng bản mẫu này vào chính sách bảo vệ dữ liệu của tổ chức.
I.2.23. Xây dựng và áp dụng chính sách
Để cho những định nghĩa mà chúng ta thiết lập vào thực tế bảo vệ dữ liệu nhạy cảm thì chúng ta cần phải tạo ra chính sách để áp dụng lên người dùng trong tổ chức. Để mở cửa sổ policy chúng ta click vào Data protection> Company Policies.
Hình 61: Company Policies
Một chính sách có thể áp dụng cho nhiều đối tượng, một đối tượng cũng có thể được áp dụng nhiều chính sách và trong trường hợp có nhiều hơn 1 chính sách được áp dụng cho một đối tượng dữ liệu thì chính sách cao nhất sẽ được áp dụng.
Để tạo một chính sách mới click vào Add một cửa sổ Add policy hiện ra.
Hình 63: Chọn kênh mà DLP sẽ quét
DLP đưa ra khá nhiề kênh kiểm sốt kể cả các kênh có mã hóa như https, PGP... chúng ta có thể bỏ qua các kênh nay nếu các kênh này đủ tin tưởng. Sau khi đã chọn các kênh phù hợp thì chúng ta click vào Next để tiếp tục.
Hình 64: Conditions
Ở đây cho phép chúng ta chọn các bản mẫu để xác định dữ liệu nhạy cảm. thực hiện lựa chọn bản mẫu xong click Next để tiếp tục.
Hình 65: Đưa ra hành động cho chính sách
Trong cửa sổ lựa chọn hành động DLP đưa ra khá nhiều lựa chọn cho người quản trị. Trong ô Filter Actions đưa ra 2 lựa chọn cho mỗi trạng thái kết nối của client là.
Lọc đi ra ngồi mạng nhưng khơng phải ở trong vùng mạng nội bộ Lọc đi ra bên ngoài và cả bên trong mạng
DLP cũng đưa ra hành động của hệ thống trên từng trạng thái của client kết nối đến server. Tức là hành động khi trạng thái client có kết nối đến Server DLP khác với hành động khi client không kết nối đến server. Ngoài hành động Pass hay Block ra cịn có thêm các hành động tùy chọn khác như ghi log (mặc định), cảnh báo cho clie, cảnh báo cho người quản trị, bắt lại dữ liệu, nhắc người dùng đưa ra lời giải thích khi bị chặn (xem hình 65). sau khi đưa ra lời giải thích hành động sẽ được tiếp tục khơng bị block cịn nếu khơng đưa ra lời giải thích cho hành động của mình thì hành động của người dùng sẽ bị block.
Hình 66: Đưa ra lời giải thích cho hành động
Sau khi tạo ra một chính sách mới để triển khai chính sách này người quản trị chỉ cần click nào nút Deploy now chính sách sẽ được áp dụng ngay sau đó trong vịng một phút. Và cơng việc của người quản trị là theo dõi log vào báo cáo để thiết lập chính sách và đưa ra những mẫu tiếp cận gần hơn với dữ liệu nhạy cảm trong tổ chức.
Tất cả các hành động phù hợp với chính sách cho dù bị block hay bỏ qua đề được ghi lại log và người quản trị có thể kiểm tra các bản log này để từ đấy thiết lập chính sách chặt chẽ hơn.
Hình 67: bản Ghi log của DLP
Trong log của DLP nêu dõ thông tin về hành động chính sách dữ liệu và bản mẫu liên quan và cũng đưa ra đường dẫn dữ liệu bị xam phạm giúp
người quản trị dễ dàng kiểm tra tính đúng đắng của chính sách và hiệu quả của các bản mẫu.
I.2.24. Data Discovery và Device Control
Data Discovery cũng là một công cụ để phát hiện các dữ liệu nhạy cảm nằm trong một ổ đĩa nào đó, dựa vào các bản mẫu đã được tạo từ đó thành lập ra thêm những bản mẫu khác. Từ đó có thể quy định chặt chẽ hơn về dữ liệu nhạy cảm để bảo vệ dữ liệu tốt hơn.
Trong DLP cũng giúp cho người quản trị có thể quy định những thiết bị cắm ngoài nào được phép sử dụng bằng công cụ Device Control. Trong Device Control người quản trị có thể làm việc theo nhóm hay trên từng client.
Hình 68: Device Control
DLP cho phép ngắt tất cả các thiết bị gắn ngồi có thể truyền dữ liệu ra bên ngồi và cũng có thể quy định một vùng mạng cụ thể mà client có thể hoạt động bình thường.
Ports (COM & LPT) Imaging devices PCMCIA adapters Floppy disk controllers
Infrared devices (thiết bị hồng ngoại) Print Screen Key (phím)
Removable disk drives (thiết bị lưu trữ di động)
Riêng USB thì DLP cịn cung cấp khả năng lọc thiết bị dựa vào thông số kỹ thuật của nó như nhà sản xuất, Model, Serial ID. DLP cũng cung cấp một công cụ nhỏ giúp bạn biết được các thơng số này có thể down trực tiếp trên web console.
Hình 70: Download trực tiếp cơng cụ trên web console
DLP cũng cho phép chúng ta giới hạn vùng mạng được phép hoạt động của thiết bị. việc cho phép hoạt động này áp dụng trên tất cả các giao diện mạng đối với các máy có nhiều card mạng.
Như vậy sản phẩm Data Lose Prevention cung cấp cho chúng ta mơt giải pháp thơng minh để có thể tự động bảo vệ dữ liệu nhạy cảm dựa vào nội dung của dữ liệu tránh dữ liệu lọt ra bên ngồi tổ chức. Nó chống lại việc sao