Δεν είναι όλες ίδιες

#139
ΠΑΡΑΣΚΕΥΗ 3 ΔΕΚΕΜΒΡΙΟΥ 2010
Ενημερωτικό Δελτίο και Συνεχής Πληροφόρηση από τους ανθρώπους της SeCure
Δεν είναι
όλες ίδιες
Σε αυτό
το τεύχος:
από τον Νίκο Βασιλειάδη
1
| secure news #139
Σε προηγούμενο άρθρο μου είχα παρατηρήσει ότι δεν είναι δυνατόν σε μια σύγχρονη επιχείρηση να μην υπάρχουν πληροφορίες των οποίων η διαρροή τουλάχιστον να
ενοχλεί. Δεν είναι δυνατόν να μην υπάρχουν αρχεία που, αν χαθούν, να προκληθεί
ζημιά στην επιχείρηση. Αν κάποιος πιστεύει ότι κάτι τέτοιο συμβαίνει στη δική του
εταιρεία, μάλλον δεν έχει μπει ποτέ στον κόπο να διαβαθμίσει τις πληροφορίες του.
Τι εννοούμε όμως με τον όρο «διαβάθμιση» πληροφοριών, πώς γίνεται και ποιος
είναι υπεύθυνος για να την κάνει;
Αυτό που όλοι καταλαβαίνουμε είναι η διαβάθμιση εμπιστευτικότητας. Το εύρος του
κύκλου των ανθρώπων που επιτρέπεται να χειριστούν μια πληροφορία είναι ευθέως
ανάλογο της διαβάθμισης αυτής. Όσο περισσότεροι οι άνθρωποι που επιτρέπεται να
μάθουν και να μεταδώσουν την πληροφορία τόσο πιο «κοινή» είναι αυτή. Αν από
την άλλη μεριά η πληροφορία μπορεί να διατεθεί μόνο στην ανώτατη διοίκηση του
Οργανισμού, είναι «άκρως απόρρητη». Είναι σαφές ότι όσο πιο πολλές είναι οι διαβαθμίσεις, τόσο πιο δύσχρηστο γίνεται το σύστημα αλλά από την άλλη μεριά σίγουρα
κερδίζουμε σε σαφήνεια. Είναι επιλογή μας λοιπόν το πόσες διαβαθμίσεις θα χρησιμοποιήσουμε και η διαβάθμιση εμπιστευτικότητας κάθε πληροφορίας καθορίζει
σε μεγάλο βαθμό τον τρόπο με τον οποίον αποθηκεύεται και βέβαια τα δικαιώματα
πρόσβασης σε αυτήν.
Ένας άλλος άξονας διαβάθμισης τον οποίον δεν έχω δει να χρησιμοποιείται πολύ
συχνά είναι αυτός της μεταβλητότητας. Πόσο συχνά αλλάζουν οι πληροφορίες μας;
Οι συμβάσεις που έχουμε με τους πελάτες π.χ. αλλάζουν μάλλον σπάνια και μπορεί
και σπανιότερα από μια φορά το χρόνο που, ίσως, ανανεώνονται. Οι κινήσεις των πελατών αντίθετα αλλάζουν καθημερινά. Αυτή η διαβάθμιση καθορίζει σε μεγάλο βαθμό τη συχνότητα με την οποία πρέπει να λαμβάνονται αντίγραφα ασφαλείας (backup)
των πληροφοριών και νομίζω πως είναι περιττό να τονίσω το πόσο σημαντική είναι.
Διαβάθμιση των πληροφοριών μπορεί επίσης να γίνει και από τη σκοπιά της επιθυμητής ταχύτητας ανάκτησής των.
(Κύριο Άρθρο)
Δεν είναι όλες ίδιες
(Many Whys)
Σιγά μην τα
καταφέρουμε εμείς!
(Sir DoRight)
Συμμορφωθείτε για
να μη διαρρεύσουν
(Mr. HackIt)
Διαβάθμιση
στην πράξη
(Prof. NumberTalk)
Διαβάθμιση στο
SharePoint
(Dr. VirKill)
DLP για τις διαρροές
Many Whys: Αυτό δεν γίνεται. Δεν προλαβαίνουμε να εξυπηρετούμε τους πελάτες όλοι μαζί και θέλετε να είμαστε μόνοι
μας; Πολλές φορές χρειάζεται να απαντήσει σε, ας πούμε, δικό
μου πελάτη κάποιος άλλος διότι εγώ δεν προλαβαίνω. Πώς θα
γίνει αυτό αν δεν μπορεί να δει άλλος την καρτέλα του;
DoRight: Έχετε δίκιο και αυτό ακριβώς είναι το πρόβλημα σε
αυτές τις περιπτώσεις. Αν κάνουμε τα πράγματα πιο ασφαλή τα
κάνουμε και πιο δύσκολα.
Γιώργος: Οπότε τι μένει; Οι λύσεις data leak prevention δεν
βοηθάνε; Αν η υπερδύναμη είχε τέτοιες λύσεις θα γινόταν η
διαρροή; Μήπως τελικά όλα είναι μια τρύπα στο νερό με την
ασφάλεια πληροφοριών;
Many Whys: (πριν προλάβει να απαντήσει): Εγώ το λέω από
την αρχή που ήρθατε κύριε DoRight και μην το πάρετε προσωπικά. Δεν πιστεύω ότι μπορεί να γίνει τελικά κάτι με την ασφάλεια. Κάτι ουσιαστικό εννοώ. Πάντα θα υπάρχουν κίνδυνοι.
Σιγά μην τα
καταφέρουμε εμείς!
από τη Many Whys
Η Many Whys είχε κατέβει να πάρει μελάνι για τον εκτυπωτή
της στη μηχανογράφηση και βρέθηκε τυχαία να ακούει τη συζήτηση:
Γιώργος: Ο Γενικός πάντως ήταν σαφής. Πρέπει να βρούμε
έναν τρόπο να το διασφαλίσουμε αυτό. Δεν είναι δυνατόν να
μπορούν οι πωλητές να πάρουν όλα τα στοιχεία και να φύγουν!!
DoRight: Δεν έχει καθόλου άδικο αλλά, όπως σας είπα και
πριν, οι τεχνικού χαρακτήρα λύσεις έχουν όρια. Ό,τι μέτρα
ασφαλείας και αν εφαρμόσουμε δεν μπορούμε να προστατευτούμε εύκολα από τον δυσαρεστημένο πωλητή ο οποίος θα
αποχωρήσει και θα αρχίσει να διαδίδει πληροφορίες δεξιά και
αριστερά.
Many Whys: Συγγνώμη που επεμβαίνω κύριε DoRight αλλά
δεν βλέπετε τι γίνεται; Εδώ ολόκληρη υπερδύναμη και δεν κατόρθωσε να προφυλάξει τα απόρρητα έγγραφά της. Θα μπορέσουμε εμείς; Νομίζω ότι η συζήτηση είναι περιττή.
Γιώργος: Δεν μπορούμε να κάνουμε τίποτα απολύτως;
DoRight: Μπορείτε να κάνετε πιο αυστηρή την πολιτική πρόσβασης. Κάθε πωλητής να έχει τους πελάτες του που δεν θα
βλέπει κανένας άλλος οπότε στην περίπτωση που φύγει να
μειωθεί η ζημιά μόνο στους δικούς του πελάτες.
Many Whys: Ευτυχώς που δεν είμαστε υπερδύναμη λοιπόν!
DoRight: Αυτό να λέγεται.
Σχολιάστε
2
| secure news #139
DoRight: Έχετε δίκιο ως ένα βαθμό. Το πρόβλημα με τη διαρροή των εγγράφων είναι ότι έγινε από μέσα και αυτό είναι το
πιο δύσκολο να αντιμετωπιστεί.
DoRight: (αμυνόμενος): Σιγά. Ένας-ένας για να μπορέσω να
απαντήσω. Κανείς δεν είπε ότι με αυτά που θα σας προτείνω
ή που σας έχω ήδη προτείνει θα εξαλείψετε όλους τους κινδύνους. Αυτό δεν γίνεται και δεν θα γίνει ποτέ. Εκείνο που
θα κάνετε είναι να προστατεύσετε επαρκώς τις πληροφορίες
σας από τους κινδύνους που θεωρείτε πιο σημαντικούς. Δεν
έχει νόημα όμως να ξοδέψετε περισσότερα από όσα αξίζουν
οι πληροφορίες αυτές. Πιστεύεις Γιώργο ότι η υπερδύναμη δεν
έχει DLP; Αν είναι δυνατόν! Το πρόβλημα είναι ότι τα έγγραφα
αυτά αποτελούσαν τον υπέρτατο στόχο. Ακόμα κι αν βάλουμε
στην άκρη τα όποια πολιτικά μηνύματα και μόνο να καταφέρει
κάποιος hacker να «βάλει στο χέρι» αυτά τα απόρρητα αρχεία
είναι μεγάλο κίνητρο γι’αυτόν. Τα στοιχεία αυτά είχαν τεράστια
αξία και δικαιολογούσαν την όποια επένδυση σε μέτρα ασφαλείας αλλά από την άλλη μεριά δικαιολογούσαν και την όποια
προσπάθεια απόκτησής τους. Η συγκεκριμένη διαρροή έγινε
από ανθρώπους που είχαν πρόσβαση σε αυτά τα στοιχεία και
αποφάσισαν (για δικούς τους λόγους) να τα δώσουν στη δημοσιότητα. Το ερώτημα τώρα είναι το εξής: Τα δικά σας στοιχεία
διατρέχουν τον ίδιο κίνδυνο; Δεν είστε κάποια εταιρεία-στόχος
(και καταλαβαίνετε τι εννοώ) ούτε μπορεί κάποιος να πουλήσει τόσο ακριβά το πελατολόγιό σας. Άρα τι φοβάστε; Μόνο
το πλήγμα στη φήμη σας αν κάποιος αρχίσει και διαρρέει πληροφορίες και τα διαφυγόντα κέρδη αν χάσετε πελάτες. Μέχρι
εκεί λοιπόν θα επενδύσετε. Όχι παραπάνω. Το DLP είναι μια
καλή λύση διότι σας επιτρέπει να αντιμετωπίσετε τους περισσότερους κινδύνους. Η πολιτική πρόσβασης είναι επίσης καλή
λύση διότι σας επιτρέπει να αντιμετωπίσετε ένα μέρος των κινδύνων που απομένουν. Και πάει λέγοντας.
Ξέρετε ποιος βρίσκεται πίσω από το 1 στα 3
πιστοποιημένα Συστήματα Διαχείρισης
Ασφάλειας Πληροφοριών στην Ελλάδα;
www.iso27001.gr
Αλλαγή στο
SeCureNews
Συμμορφωθείτε
για να μη διαρρεύσουν
3
| secure news #139
από τον Sir DoRight
Στο «αφιέρωμά» μας αυτό στα συστήματα DLP ο δικός μου ρόλος είναι μάλλον
άχαρος. Θα πρέπει (είπε το αφεντικό) εγώ να αναπτύξω τη θεωρία και να βάλω τα
πράγματα στη θέση τους. Ας ξεκινήσουμε λοιπόν με κάποια βασικά (πιο βασικά δεν
γίνεται):
Οι στόχοι των εφαρμογών DLP είναι βασικά τρεις: Να βρίσκουν και να καταγράφουν
ευαίσθητες πληροφορίες στο σύνολο της επιχείρησης, να παρακολουθούν και να
ελέγχουν την κίνηση των ευαίσθητων πληροφοριών στο σύνολο των δικτύων της
επιχείρησης και να παρακολουθούν και να ελέγχουν την κίνηση των ευαίσθητων
πληροφοριών στα μηχανήματα των χρηστών. Αυτές οι ενέργειες γίνονται καθώς οι
πληροφορίες μας βρίσκονται και στις τρεις δυνατές καταστάσεις: Αποθηκευμένες,
σε κίνηση και σε χρήση. Ας δούμε τι σημαίνει η κάθε μία από τις καταστάσεις αυτές
και πώς λειτουργούν τα DLP σε κάθε περίπτωση:
Οι αποθηκευμένες πληροφορίες μας είναι όλα τα αρχεία που έχουμε στους δίσκους
των server μας και δεν χρησιμοποιούνται από κάποιον. Στην περίπτωση αυτή τα DLP
συστήματα θα πρέπει να είναι σε θέση να σαρώσουν τους δίσκους των server μας
και να «δουν» μέσα στα αρχεία προκειμένου να εντοπίσουν αν αυτά περιέχουν ευαίσθητες πληροφορίες με βάση την πολιτική που καθορίσαμε. Το στάδιο αυτό είναι
απαραίτητο για όλα τα επόμενο αφού εδώ η εφαρμογή «μαθαίνει» για τις πληροφορίες μας ώστε να ξέρει πού βρίσκεται αποθηκευμένο το κάθε τι.
Οι πληροφορίες σε κίνηση είναι αυτές οι οποίες διακινούνται από τον έναν server
στον άλλον ή από τους server στα μηχανήματα των χρηστών. Οι εφαρμογές DLP
στην περίπτωση αυτή λειτουργούν ως protocol analyzer αφού είναι υποχρεωμένες
να συλλαμβάνουν και να αναλύουν κάθε πακέτο δεδομένων χρησιμοποιώντας την
παλιά καλή τεχνική του deep packet inspection (DPI). Η τεχνολογία στο χώρο εξελίσσεται συνεχώς και είναι σαφές ότι όσο πιο εξελιγμένη είναι μια εφαρμογή σε
αυτόν τον τομέα τόσο καλύτερα ενημερώνεται και αλλάζει τον «χάρτη» με τις πληροφορίες μας ώστε να ξέρει πώς να τις προστατεύσει εμποδίζοντας την «παράνομη»
διακίνησή τους.
Οι πληροφορίες σε χρήση είναι αυτές που χρησιμοποιούνται από τις εφαρμογές που
υπάρχουν στα μηχανήματα των χρηστών και κατευθύνονται στην οθόνη, στον εκτυπωτή ή σε κάποιο μέσο αποθήκευσης. Είναι ουσιαστικά οι πληροφορίες που οδεύουν προς την έξοδο και η εφαρμογή θα πρέπει να μπορεί να αποφασίσει αν η έξοδος
αυτή είναι εξουσιοδοτημένη ή όχι.
Για να μπορέσει να ανταποκριθεί στα παραπάνω μια DLP εφαρμογή θα πρέπει να διαθέτει μια κεντρική κονσόλα διαχείρισης με την οποία να μπορούμε να καθορίσουμε
την πολιτική μας θέτοντας συγκεκριμένους κανόνες. Καλό είναι (και οι περισσότερες
λύσεις DLP το κάνουν) να μπορούμε να συγκρίνουμε την πολιτική που θέσαμε με
πρότυπα ασφάλειας πληροφοριών ή και να εφαρμόσουμε έτοιμες πολιτικές που βασίζονται στα πρότυπα αυτά.
Το άλλο απαραίτητο συστατικό μια εφαρμογής DLPείναι η ολοκλήρωσή της με τις
υπηρεσίες καταλόγου του δικτύου μας (directory service) ώστε να μπορεί εύκολα να
«διαβάσει» τους χρήστες και τα δικαιώματά τους και να προσαρμόσει τις πολιτικές
της με βάση αυτά τα στοιχεία.
Θα διαπιστώσατε ίσως
την αλλαγή στην ημέρα αποστολής
του newsletter μας.
Στο εξής θα μας βρίσκετε
στο γραμματοκιβώτιό σας
κάθε Δευτέρα πρωί εκτός
αν δουλεύετε μέχρι αργά
την Παρασκευή ή λαμβάνετε
τα e-mail σας και
το Σαββατοκύριακο.
H SeCure
για σας…!
Είναι γνωστό ότι οι κατασκευαστές
προϊόντων ασφάλειας ...αγαπούν
τη SeCure.
Έτσι, εξασφαλίσαμε για εσάς τις
καλύτερες τιμές της αγοράς
σε 2 κορυφαία προϊόντα ασφάλειας
δικτύου
• FortiGate50B (Firewall- UTM)
που περιλαμβάνει προστασία:
- Firewall
- Antivirus
- Antispam
- IPS
- WebFiltering
- VPN
Από 695€ μόνο 487€!
• FortiMail100 (Mail Security
appliance) που περιλαμβάνει
προστασία:
- Antivirus
- Antispam
- Mail Archiving
Από 1885€ μόνο 1320€!
Η προσφορά ισχύει μέχρι εξαντλήσεως
του αποθέματος και δεν περιλαμβάνει
ΦΠΑ 23%
Στείλτε μας λοιπόν e-mail με
τα στοιχεία σας στο
[email protected] ή καλέστε μας
στο 210 6080395.
Διαβάθμιση
στην πράξη
από τον Mr HackIt
Καλά τα λέει το αφεντικό αλλά πώς μπορούμε να εφαρμόσουμε στην πράξη τη διαβάθμιση των πληροφοριών; Ας πούμε ότι
έχουμε μια σειρά από ηλεκτρονικά αρχεία και τα αποθηκεύουμε στους server μας. Κάποια από αυτά είναι κοινά, κάποια είναι
απόρρητα και κάποια άκρως απόρρητα. Πώς θα εφαρμόσουμε
αυτό το σχήμα με τον καλύτερο τρόπο; Όσο και να φαίνεται
περίεργο το λεπτό σημείο δεν είναι το πώς θα χειριστούμε τα
αρχεία αλλά το πώς θα χειριστούμε τους χρήστες διότι η διαβάθμιση εμπιστευτικότητας έχει να κάνει με το τι μπορούν οι
χρήστες να κάνουν στα αρχεία.
Το βέβαιο είναι ότι αρχεία με την ίδια διαβάθμιση θα μπουν
στον ίδιο φάκελο. Μπορεί ενδεχομένως να διαχωριστούν ανά
τμήμα, διεύθυνση ή ό,τι άλλο μας βολεύει αλλά σίγουρα θα
υπάρχει ένα φάκελος που θα περιέχει απόρρητα, ένας που θα
περιέχει κοινά και ένας που θα περιέχει τα άκρως απόρρητα.
Με τον τρόπο αυτόν μπορούμε να χειριζόμαστε τα αρχεία όλα
μαζί χωρίς να υπάρχει ανάγκη να δίνουμε πρόσβαση στο καθένα χωριστά.
Διαβάθμιση στο SharePoint
4
| secure news #139
από τον Prof. NumberTalk
Ο HackIt μου έδωσε μια καλή πάσα για να σας περιγράψω πώς
μπορούμε να υλοποιήσουμε ένα σχήμα διαβάθμισης πληροφοριών στο SharePoint. Η διαφορά εδώ είναι ότι δεν έχουμε
να κάνουμε με ένα σύστημα αρχείων όπως στην περίπτωση
που απλώς αποθηκεύουμε τα αρχεία μας σε έναν file server.
Έχουμε στη διάθεσή μας μια βάση δεδομένων και πολύ περισσότερες δυνατότητες χαρακτηρισμού και απόδοσης δικαιωμάτων.
Εκείνο το οποίο παραμένει όπως ακριβώς το πρότεινε ο HackIt
είναι οι ομάδες χρηστών. Και στην περίπτωση του SharePoint
θα πρέπει να φτιάξουμε ομάδες χρηστών με τα ίδια κριτήρια
θέσης και ρόλου που τα φτιάξαμε και στο σύστημα αρχείων.
Δεν σας κρύβω μάλιστα ότι πρόκειται για τις ίδιες ακριβώς
ομάδες χρηστών αφού προέρχονται από το Active Directory
όπου ουσιαστικά δημιουργούνται και τηρούνται οι λογαριασμοί
των χρηστών μας.
Στην περίπτωση του SharePoint δεν έχουμε φακέλους αρχείων αλλά λίστες εγγράφων. Μπορούμε να κρατήσουμε την ίδια
ιεράρχηση ανά τμήμα, διεύθυνση και βαθμό ασφαλείας και να
τοποθετούμε τα έγγραφά μας ανάλογα. Σε κάθε λίστα εγγρά-
Στη συνέχεια θα πρέπει να φτιάξουμε ομάδες χρηστών που η
κάθε μία θα έχει συγκεκριμένο επίπεδο πρόσβασης στα αρχεία συγκεκριμένης διεύθυνσης ή τμήματος. Το επίπεδο πρόσβασης θα πρέπει να περιγραφεί με ακρίβεια και μπορεί να
αντιστοιχεί στη θέση που έχουν οι συγκεκριμένοι χρήστες στο
οργανόγραμμα και το ρόλο που αυτή η θέση συνεπάγεται. Η
ομάδα «Διευθυντής Λογιστηρίου» π.χ. είναι διαφορετική από
την ομάδα «Λογιστής» και αυτή διαφορετική από την ομάδα
«Γενική Διεύθυνση».
Το επόμενο βήμα είναι να συνδέσουμε τις ομάδες χρηστών
με τους φακέλους των αρχείων. Θα πρέπει λοιπόν να πάμε
σε κάθε φάκελο και να δώσουμε τα δικαιώματα σε επίπεδο
ομάδας. Εκεί π.χ. που έχουμε βάλει τα απόρρητα αρχεία του
λογιστηρίου θα προσθέσουμε την ομάδα «Διευθυντής Λογιστηρίου» και θα δώσουμε σε αυτήν τα δικαιώματα που είναι
κατάλληλα για τα συγκεκριμένα αρχεία. Στον υποφάκελο με τα
κοινά αρχεία θα προσθέσουμε και την ομάδα «Λογιστής» και
θα δώσουμε κατάλληλα δικαιώματα ανάγνωσης, κ.ο.κ.
Αυτό το σχήμα με τις ομάδες και τους φακέλους έχει το πλεονέκτημα ότι οι χρήστες μπορούν να μετακινούνται αν αλλάξουν
καθήκοντα από τη μια ομάδα στην άλλη και αυτόματα να παίρνουν τα δικαιώματα που χρειάζονται. Αντίστοιχα και τα αρχεία
μπορούν να τοποθετούνται στους κατάλληλους φακέλους χωρίς να χρειάζεται να ασχολείται κανείς με τα δικαιώματα πρόσβασης σε κάθε αρχείο χωριστά. Εκείνο που πρέπει βέβαια να
επισημανθεί εδώ είναι ότι στις μετακινήσεις αρχείων διατηρούνται τα δικαιώματα του φακέλου από τον οποίον προήλθε το
έγγραφο. Αν δηλαδή δημιουργήσουμε ένα αρχείο στο φάκελο
των κοινών εγγράφων και μετά το μετακινήσουμε στο φάκελο
των απορρήτων, αυτό θα εξακολουθήσει να έχει τα δικαιώματα
που είχε πριν. Θα πρέπει να το αντιγράψουμε στα απόρρητα
και να το διαγράψουμε από τα κοινά για να είμαστε σίγουροι
ότι τελικά θα πάρει τα σωστά δικαιώματα.
Αυτά αν δουλεύουμε με το σύστημα αρχείων. Υπάρχουν όμως
και άλλες λύσεις που θα μας περιγράψει ο NumberTalk…
Σχολιάστε
φων θα προσθέσουμε τις ομάδες χρηστών που θέλουμε και θα
τους δώσουμε τα αντίστοιχα δικαιώματα τα οποία εδώ μπορούμε να δημιουργήσουμε μόνοι μας συνδυάζοντας τις βασικές
λειτουργίες: Ανάγνωση, Προσθήκη, Αλλαγή, Διαγραφή, Έγκριση. Δημιουργούμε έτσι ένα επίπεδο «Αναγνώστη» το οποίο
μπορεί να διαβάζει μόνο τα αρχεία μιας λίστας ή ένα επίπεδο
«Αρχισυντάκτη» το οποίο μπορεί να διαβάζει, να προσθέτει, να
διορθώνει και να εγκρίνει τα στοιχεία μιας λίστας προκειμένου
αυτά να είναι ορατά στο σύνολο των χρηστών που έχουν δικαιώματα ανάγνωσης.
Εκείνο που δεν μπορούμε να δημιουργήσουμε ούτε στο σύστημα αρχείων ούτε στο SharePoint είναι ένα σύστημα που
στηρίζεται σε διαβαθμισμένους χρήστες: Να ορίσουμε δηλαδή
ότι όποιος έχει διαβάθμιση «εμπιστευτικό» θα μπορεί να διαβάζει έγγραφα με αυτή τη διαβάθμιση και χαμηλότερη. Κατά τη
γνώμη μου όμως το σχήμα αυτό μπορεί ίσως να λειτουργεί στο
Στρατό αλλά όχι σε μια επιχείρηση διότι εκεί χρειαζόμαστε διαβάθμιση και ανά τμήμα: Δεν είναι απαραίτητο ότι ένα απόρρητο
έγγραφο του λογιστηρίου θα πρέπει να το διαβάζει και κάποιος
που διαβάζει απόρρητα έγγραφα των πωλήσεων.
Σε κάθε περίπτωση η διαβάθμιση εμπιστευτικότητας πληροφοριών μπορεί να υλοποιηθεί σε αρκετά ικανοποιητικό βαθμό στο
δίκτυό μας αρκεί βέβαια να έχει προηγηθεί ο χαρακτηρισμός
των ίδιων των πληροφοριών.
Σχολιάστε
DLP για τις διαρροές
από τον Dr. VirKill
Είναι στη μόδα οι διαρροές εγγράφων και έτσι θα αναφερθώ ξανά σε κάτι που είναι
πολύ της μόδας τον τελευταίο καιρό: Τις εφαρμογές Data Leak Prevention ή αλλιώς
DLP. Όπως ήδη ανέλυσε ο DoRight στη Many Whys οι εφαρμογές αυτές αντιμετωπίζουν ένα σημαντικό μέρος του κινδύνου κυρίως διότι το 88% των διαρροών
δεν οφείλεται σε κακόβουλες ενέργειες αλλά σε αβλεψία όπως φαίνεται σε σχετική
μελέτη. Ποια είναι όμως τα κριτήρια με τα οποία θα επιλέξουμε εφαρμογή του είδους και ποια είναι τα σημεία εκείνα που δεν πρέπει να παραγνωρίσουμε κατά την
υιοθέτηση και εφαρμογή της στο δικό μας δίκτυο; Για να μη λέτε ότι μιλάω μόνον
εγώ σας παραπέμπω σε μια πολύ ενδιαφέρουσα καταχώρηση η οποία συνοψίζει τα
πράγματα σε δέκα βήματα:
Βήμα 1 Ξεκαθαρίστε αν χρειάζεστε DLP. Η τεχνολογία προχωρά συνεχώς και είναι
πολύ πιθανό να μπορείτε να περιμένετε λίγο.
Βήμα 2 Αποφασίστε ποια κατηγορία DLP χρειάζεστε. Υπάρχουν DLP τα οποία καλύπτουν μόνο ένα κανάλι επικοινωνίας (π.χ. e-mail ή web) και άλλα τα οποία καλύπτουν το σύνολο. Δεν κοστίζουν το ίδιο και μπορεί να μη χρειάζεστε το ακριβότερο.
Βήμα 3 Καθορίστε τι θέλετε να προστατεύσετε. Η διαβάθμιση πληροφοριών που
αναφέρεται σε διπλανές στήλες είναι πολύ βασική προϋπόθεση για το βήμα αυτό.
Βήμα 4 Γιατί πρέπει να προστατεύσετε τις πληροφορίες; Είναι θέμα κανονιστικής
συμμόρφωσης, πνευματικής ιδιοκτησίας ή απλώς πολιτική σας;
Βήμα 5 Βρείτε από πού διαρρέουν οι πληροφορίες σας τώρα. Αποστέλλονται με
e-mail, φεύγουν με φορητά μέσα ή ανεβαίνουν σε site κοινωνικής δικτύωσης;
Βήμα 6 Αρχίστε να εφαρμόζετε τις αποφάσεις σας καθορίζοντας την πολιτική προστασίας.
Βήμα 7 Δοκιμάστε, δοκιμάστε, δοκιμάστε! Έχοντας την πολιτική σας καταγεγραμμένη προχωρήστε σε πιλοτικές εγκαταστάσεις των εφαρμογών που σας ενδιαφέρουν
στην ανάγκη με τη βοήθεια εξειδικευμένων τεχνικών (εδώ είμαστε εμείς!).
Βήμα 8 Επικοινωνήστε την πολιτική σας. Τα στελέχη σας πρέπει να ενημερωθούν
έγκαιρα για την πολιτική που καθορίσατε και τα ανώτατα στελέχη θα πρέπει να λάβουν μέρους στη διαδικασία εκπόνησής της.
Βήμα 9 Εφαρμόστε την πολιτική σας παραμετροποιώντας κατάλληλα το προϊόν που
σας έπεισε στις δοκιμές.
Βήμα 10 Παρακολουθείτε τις εξελίξεις. Τα πράγματα αλλάζουν με καταιγιστικούς
ρυθμούς και κάτι που δεν χρειάζεστε τώρα ή πειστήκατε ότι δεν το χρειάζεστε επειδή
δεν το βρήκατε, μπορεί να σας χρειαστεί στο μέλλον.
Σχολιάστε
Συμμορφωθείτε για να μη διαρρεύσουν... (συνέχεια)
Η ύπαρξη εξελιγμένου συστήματος ειδοποιήσεων (workflow & alert management)
είναι ένα ακόμα απαραίτητο στοιχείο των εφαρμογών του είδους αφού θα πρέπει
να μας ενημερώνουν άμεσα για οτιδήποτε συμβαίνει και παραβιάζει τις ορισμένες
πολιτικές.
Τέλος, οι δυνατότητες backup και reporting είναι επίσης απαραίτητες αφού θα πρέπει και να ασφαλίζουμε τις πολιτικές που έχουμε καθορίσει από πιθανή απώλεια δεδομένων αλλά και να είμαστε σε θέση να ενημερώσουμε τη διοίκηση για την πορεία
των πραγμάτων.
Αναζητήστε λοιπόν εφαρμογές που να καλύπτουν τις παραπάνω απαιτήσεις και στα
επόμενα θα δούμε πιο αναλυτικά συγκεκριμένες λύσεις.
Πόσο γρήγορα πρέπει να ανακτήσουμε μια πληροφορία που για οποιοδήποτε λόγο δεν είναι πλέον διαθέσιμη;
Αν π.χ. μιλάμε για τις καρτέλες των
πελατών είναι προφανές ότι δεν μπορούμε να μείνουμε για πολύ καιρό
χωρίς να τις έχουμε στη διάθεσή μας.
Το καταστατικό της εταιρείας μας από
την άλλη πλευρά είναι ένα πολύ σημαντικό έγγραφο αλλά σπάνια το χρησιμοποιούμε αν δεν συμμετέχουμε σε
διαγωνισμούς ή έργα του Δημοσίου
και συνεπώς μπορούμε να ζήσουμε
κάποιες μέρες χωρίς αυτό. Η διαβάθμιση σε αυτή την κλίμακα καθορίζει
σε αρκετά μεγάλο βαθμό το μέσο στο
οποία τηρούνται τα αντίγραφα ασφαλείας μας σε συνδυασμό βέβαια με
τη διαβάθμιση εμπιστευτικότητας. Διαφορετική ταχύτητα ανάκτησης έχουμε όταν παίρνουμε backup σε σκληρό
δίσκο και διαφορετική όταν παίρνουμε backup σε ταινία.
Ο τελευταίος άξονας διαβάθμισης
είναι αυτός της σημαντικότητας των
πληροφοριών για την επιχείρησή μας.
Είναι ουσιαστικά το σκορ το οποίο
θα παίρναμε αξιολογώντας των πληροφορία ως αγαθό και εξετάζοντάς
την με τη μεθοδολογία Ανάλυσης
Κινδύνων που περιγράψαμε σε προηγούμενα τεύχη. Είναι μέτρο των
συνεπειών που θα υπάρξουν για τον
Οργανισμό στην περίπτωση ολικής
απώλειας και μη ανάκτησης των πληροφοριών ή στην περίπτωση κακού
χειρισμού τους από τρίτους.
Όλα τα παραπάνω θα πρέπει ιδανικά να αναγράφονται επάνω σε κάθε
πληροφορία με την κατάλληλη σήμανση ώστε να ξέρει ο καθένας πώς
πρέπει να τη χειριστεί. Είμαι βέβαιος
πάντως ότι αν δοκιμάσετε να υποβάλλετε τα δεδομένα σας στη βάσανο της
διαβάθμισης, θα εκπλαγείτε από τα
πράγματα που δεν είχατε λάβει μέχρι
τώρα υπόψη σας.
Σχολιάστε
Σχολιάστε
5
| secure news #139
Δεν είναι όλες ίδιες…
(συνέχεια)
SeCure ΕΠΕ Υακίνθου 3Γ, 153 43 Αθήνα
|
|
|
Τηλ.: 210 60 80 395 Fax: 210 60 04 954 [email protected] www.secure.com.gr
A4