Questa sera ho avuto un'eccellente discussione con ISACA Scozia intorno a prevenzione della perdita di dati . Ci sono strumenti tecnici là fuori da luminari come Checkpoint , MacAfee , Cisco , Symantec ecc , ma tutti hanno implicazioni sui costi, limiti di scala e problemi di implementazione.
Se utilizzi una soluzione DLP o stai pensando di usarne una, quali fattori hai preso in considerazione per creare un caso aziendale?
Come descritto da questo conversazione su Confidence'09, ci sono alcuni argomenti contro l'implementazione di alcune soluzioni DLP (mi rendo conto che si tratta di un problema polemico ma queste preoccupazioni dovrebbero almeno essere valutate).
In sostanza, molte di queste soluzioni non sono nient'altro che legittimi rootkit. La ricerca alla base della discussione collegata ha rilevato che una delle soluzioni DLP studiate era in realtà una versione modificata di un noto rootkit trovato su rootkit.com! Questo potrebbe essere considerato un problema per una serie di motivi. Uno dei quali è che se, come descritto dalla ricerca, nessuna delle soluzioni di rilevamento dei rootkit ha rilevato con successo nessuna delle soluzioni DLP, non è possibile (probabilmente?) Che i produttori di AV (intenzionalmente) non possano rilevare i propri (o altri?) Soluzioni DLP con i kit di rilevamento rootkit? Sarebbe quindi possibile modificare questi rootkit abilitati / legittimi DLP per produrre un rootkit altamente nascosto con pochissime possibilità di rilevamento?
Potrebbe anche esserci spazio per la preoccupazione sulla sicurezza generale di queste soluzioni. Raccogliendo e distribuendo risme di informazioni potenzialmente sensibili e fornendo il controllo dell'anello 0 (sistema) su ogni sistema di utente finale nell'ambiente aziendale a un server di gestione, stai mettendo molta fiducia nella sicurezza della soluzione DLP stessa . Un attaccante non procederebbe direttamente alla soluzione DLP? Questo è un serio singolo punto di fallimento totale!
È un punto soggettivo che conosco, ma per quanto riguarda le più ampie implicazioni dello spionaggio degli utenti a questo livello? Conosco molti che si risentirebbero seriamente per una società che intraprende queste azioni. Non elimina la nozione di fiducia tra individuo e azienda? Sono un pragmatico a cuore e così vedo i benefici di queste soluzioni (e in effetti riesco ad entrare in empatia con un CISO che tenta di proteggere gli interessi aziendali) ma per un'industria che investe tale energia nella promozione della privacy non c'è qualcosa di sbagliato su soluzioni ingegneristiche che lo distruggono così completamente per l'individuo sul posto di lavoro?
Come indicato dalla risposta di Rory, come quasi tutti i nostri problemi, hai sia il processo aziendale che gli aspetti tecnici da affrontare.
Da un punto di vista tecnico, quando abbiamo studiato la DLP (come prodotto) ci siamo concentrati su 3 aspetti principali:
Sembra una lista abbastanza standard, tuttavia ritengo che il razionale sia una considerazione importante. Al di fuori degli ambienti aziendali, e anche all'interno di essi a volte, l'utente finale compra per progetti di sicurezza è molto tremante. Come indicato nella domanda , un professionista della sicurezza viene spesso visto come uno che dovrebbe essere ignorato perché non fa altro che rendere la mia vita più difficile di quanto non sia necessario, o considerare askance perché "sono fuori per prendermi". In quanto tale, spesso ricade sull'ufficio di sicurezza per aggirare la cultura prevalente e convincere l'utente finale che ogni lavoro extra da parte sua è effettivamente utile.
Tenendo a mente queste considerazioni, cose come gli agenti desktop diventano rapidamente un argomento molto controverso, anche se sono estremamente efficaci. Quindi la domanda diventa quanta interferenza possiamo farla franca? Se ti trovi in un strong ambiente di "stile aziendale" con uno stretto controllo sui sistemi, o politiche forti che governano dati sensibili, o un strong buy-in dalla catena di gestione degli utenti finali, ecc., Allora probabilmente puoi andartene con molto Dall'altra parte dello spettro, una soluzione strettamente basata sulla rete potrebbe essere la soluzione migliore. Qualcosa che agisce più come un IDS e rileverà solo le trasmissioni di dati, ma non funziona per prevenirle.
Sebbene la maggior parte delle soluzioni DLP dispongano di firme predefinite per elementi comuni come SSN, Patente di guida, filigrane che indicano dati riservati, ecc., a volte le informazioni più pertinenti sono quelle che sono uniche per il proprio ambiente. A mio parere, qualsiasi soluzione DLP che vale la pena acquistare deve essere estensibile. Io devo essere in grado di aggiungere la regexp che corrisponde al mio numero PID (Identificazione personale) dell'università o agli ID dei dipendenti interni delle risorse umane. Voglio anche essere in grado di cercare elementi che i reparti specifici trovano importanti. Cioè, se il decano delle Belle Arti decide che un documento di ricerca specifico è importante, dovrei avere un metodo con cui osservarlo (vedi i grafici di buona volontà v. Relativi al punto precedente).
Infine, facilità d'uso. In molte, se non la maggior parte, le risorse dei lavoratori delle organizzazioni sono ad un premio. Il sistema stesso deve essere relativamente facile da mantenere ed eseguire. Ogni volta che un allarme si attiva, dovrebbe essere relativamente indolore agire. Le specifiche dipendono interamente dalle procedure interne e dai altri sistemi utilizzati per il monitoraggio / la risposta di sicurezza.
Alcune risposte dal gruppo:
Un punto molto importante sollevato - l'aspetto delle persone. Qualunque sia il controllo tecnico, le persone saranno quelle che lo infrangeranno (vedi articoli sulla perdita di dati su Her Majesty's Revenue and Customs, praticamente qualsiasi banca, Wikileaks, ecc.), Quindi i seguenti controlli:
Aggiornamento:
Mi è stato segnalato questo documento di ottobre 2010 di Rich Mogull a Securosi su Comprensione e Selezione di DLP. Eccellente set di aree da guardare!
Leggi altre domande sui tag data-leakage dlp