پیچیدگی محدود به مسائل فنی نیست. چالش اصلی در ارتباط با سناریوهای مختلفی است که مانع از آن میشوند یک برنامه پیشگیری از نشتی دادهها (DLP) سرنام Data Loss Prevention بتواند به درستی میان فعالیتهای عادی و فعالیتهای مخرب که نشتی و خروج دادهها را به همراه دارند تمایز قائل شود. سازمانها تنها زمانی میتوانند کارهای عادی و روزانه خود را انجام دهند که تعریف صریح و روشنی از فعالیتهای عادی داشته باشند. در چنین شرایطی کوچکترین ناهنجاری در شبکه به سرعت شناسایی میشود. یک مهندس DLP برای آنکه بتواند یک برنامه راهبردی تشخیص و پیشگیری از نشت و خروج دادهها از شبکه را پیادهسازی کند باید شبیه به یک هکر فکر کند تا بتواند سطوح مختلف حملاتی که باعث استخراج و بهرهبرداری از دادهها میشوند را پیشبینی کند. امروزه هکرها برای فریب مکانیزمهای امنیتی برای ورود به زیرساختهای یک شبکه از راهکارهای پیچیدهای استفاده میکنند که در نهایت نشتی دادهها را به همراه دارد.
پیشگیری از نشت دادهها
پیشگیری از نشت دادهها، یک چالش امنیتی متفاوت از سایر بردارهای حمله است. سازمانها میتوانند برای مقابله با انواع مخلتفی از تهدیدات هکری از لایههای امنیتی سنتی و مدرن همچون سامانههای تشخیص نفوذ و سامانههای محافظت از نقاط انتهایی شبکه استفاده کنند، اما پیادهسازی یک مکانیزم پیشگیری از نشت دادهها به برنامهریزی دقیق در ارتباط با بازرسی دادهها، مدیریت چرخه عمر برنامه، هماهنگ کردن مدیران بخشهای مختلف یک سازمان و همسو کردن برنامه با استراتژیهای تجاری سازمان نیاز دارد. هماهنگ کردن این مولفهها با یکدیگر و رعایت خطمشیهای از پیش تعیین شده و نظارت دقیق بر جزییات، پیچیدگی این برنامه را دوچندان میکند. یک برنامه پیشگیری از نشت دادهها از نام تجاری سازمان صیانت کرده و مانع از آن میشود تا سازمان از رقبای تجاری خود عقب بماند (به دلیل حفظ اسرار سازمان) و درگیر مشکلات حقوقی و قانونی شود. برنامه DLP مکانیزمی است که اجازه میدهد یک سازمان از دادههای حساس خود محافظت کند، مکانهای مجاز برای ذخیره یا پردازش دادهها را مشخص میکند، افراد و برنامههای کاربردی که اجازه دسترسی به دادهها دارند را مشخص میکند و نحوه محافظت از دادههای حساس در برابر شرایطی همچون سرقت یا پاک شدن دادهها را تعیین میکند.
طبقهبندی دادهها
دادهها به دو شکل متفاوت ساختیافته و غیرساختیافته ذخیره میشوند. دادههای ساخت یافته درون بانکهای اطلاعات ذخیره و پردازش میشوند. در این مدل دادهها در قالب دودویی ذخیره میشوند و مکانیزم نمایهگذاری برای ارجاعدهی یا وابستگیهای تکرارشونده استفاده میشود. ورودیها و خروجیهای بانکهای اطلاعات قابل پیشبینی هستند و قابلیت تکرار وجود دارند. قابلیت پیشبینی به معنای آن است که شما میدانید چه نوع دادهای قرار است درون یک فیلد متنی یا عددی وارد شود و همچنین انتهایی برای آن وجود دارد. مکانیزم یک برنامه بازرسی DLP در ارتباط با دادههای ساختیافته مشخص و پایانپذیر است. نوع دوم دادههای غیرساختیافته یا فاقد ساختار هستند که دادههای مرتبط با پردازش مستندات، ایمیلها، اعلانهای پیام کوتاه، ارتباطات ویدیویی یا عکسها را شامل میشود. یک برنامه بازرسی DLP در زمان کار با چنین دادههایی با مشکلات مختلفی روبرو است، زیرا پایانی برای پردازش دادههای تصادفی وجود ندارد و اطلاعات تکرارپذیر یا قابل پیشبینی نیستند. بهطور مثال، برنامههایی که اجازه میدهند کاربران اسناد مختلف را ویرایش و ذخیره کنند در گروه دادههای فاقد ساختار طبقهبندی میشوند. در رابطه با اسناد به سختی میتوان میزان حساسیت محتوا یا مطالب درون سند را برای یک برنامه DLP توصیف کرد. رویکردی که هیچ پایانی برای آن وجود ندارد.
تعریف و طبقهبندی دادهها
دادهها به دو دلیل مهم در برنامه DLP تعریف میشوند. اول آنکه نوع دادهها تعریف میشود تا سازمان شناخت درستی از عملکرد دادهها به دست آورد و قادر به شناسایی مکانهایی باشد که دادهها در آن مکانها ذخیرهسازی میشوند و دوم آنکه سازمان روش خاصی برای طبقهبندی نوع دادهها تعریف کند. تعریف نوع دادهها نشان میدهد که سازمان با دادههای ساخت یافته، غیر ساخت یافته یا هر دو مورد در ارتباط است. در فرآیند طبقهبندی، سازمان ویژگیهای دادهها را تعیین میکند تا اطمینان حاصل کند که سامانهها و ابزارهای تشخیص میتوانند بر مبنای خطمشیهای مشخص دادهها را شناسایی و مدیریت کنند. طبقهبندی دادههای حساس به برنامه DLP در تشخیص مواردی که نیازمند هشداردهی هستند و پیشگیری از فعالیتهای غیرمجاز با دادهها که نشتی اطلاعات را به همراه دارند کمک میکند. بدون طبقهبندی دادهها شانس موفقیت یک برنامه DLP ضعیف است. دقت کنید در فرآیند طبقهبندی به دلیل ماهیت ناپایدار دادهها و موقعیت کاربران (افرادی که استخدام میشوند یا سازمان را ترک میکنند)، طبقهبندی به ارزیابی مستمر و تغییر احتمالی مکانهایی که باید بازرسی شوند نیاز دارد. در سلسله مراتب طبقهبندی بهتر است بیشتر از پنج سطح طبقهبندی لحاظ نشود.
چه عواملی برنامه DLP را با مشکل روبرو میکنند؟
برنامه پیشگیری از نشت دادهها با هدف هشداردهی به سازمانها در ارتباط با رفتارهای مشکوکی که ناخواسته باعث نشت دادهها از سوی کارمندان میشود و شناسایی فعالیتهایی که روند انجام کارها را مختل میکنند پیادهسازی میشود. این برنامه با هدف شناسایی تهدیدات درون سازمانی غیرمخرب نیز اجرا میشود. در اغلب موارد کارمندان ناخواسته و نه از روی عمد کاری انجام میدهند که خطمشیهای حاکمیتی سازمان نقض میشود و نشتی اطلاعات به وجود میآید. بهطور مثال، کارمندی تصمیم میگیرد بخشی از کارهای خود را در منزل انجام دهد و به همین دلیل دادههای طبقهبندی شده را روی یک حافظه فلش ضبط میکند یا آنها را روی سامانههایی که متعلق به سازمان نیستند کپی میکند. یک برنامه DLP برای شناسایی تهدیدات داخلی و خارجی استفاده میشود. تهدیدات داخلی کارمندانی هستند که سعی میکنند خطمشیهای حاکمیتی سازمان در ارتباط با دادهها را نقض کنند. کارمندان به دلایل مختلفی همچون اخراج شدن، اطلاع از تنزل مقام یا دریافت پول برای سرقت دادهها دست به چنین کاری میزنند. عامل خارجی تعامل مستقیمی با سازمان ندارد. رقبای تجاری یا هکرهایی که به دنبال سرقت دادهها و فروش آنها به سازمان دیگری هستند در گروه عوامل تهدیدآفرین خارجی قرار میگیرند. در بیشتر موارد تهدیدهای خارجی سعی میکنند فعالیتهای تجاری یک سازمان را مختل کنند یا روی تصمیمگیریهای آتی شرکت تاثیر منفی بگذارند، در چنین شرایطی یک برنامه DLP مانع به ثمر رسیدن تهدیدات میشود.
استقرار فناوری پیگشیری از نشت دادهها
پیادهسازی فناوری جلوگیری از نشت دادهها بر پایه سه عنصر کلیدی قابلیت مشاهده، قابلیت بازرسی و قابلیت واکنش در زمان شناسایی یک تهدید آماده می شود.
قابلیت مشاهده
تشخیص زمانی انجام میشود که قابلیت مشاهده، درک و شناسایی محتوا تعیین شده باشد. قابلیت مشاهده به وضعیتی اشاره دارد که دسترسی کامل به مکانهایی که قرار است دادههای درون این مکانها بازرسی شوند، وجود دارد. مهندس DLP مشخص میکند دادههای حساس در چه بخشهایی قرار دارند و چه تمهیدات و قابلیتهایی برای بازرسی مشخص شدهاند. از رایجترین روشهای بازرسی میتوان به پویش دادههایی که استفاده نمیشوند، پویش دادههایی که در شبکه استفاده میشوند و پویش دادههای نقاط پایانی اشاره کرد. برای پویش دادههای بدون استفاده بخشی از زیرساخت DLP در کنار دادههای حساس قرار میگیرد و جستوجوی محتوای حساس را آغاز میکند. زیرساختهای پویش در اغلب موارد روی مکانهای بهاشتراکگذاری دادهها در شبکه، نسخههای پشتیبان بانکهای اطلاعاتی، مکانهایی که نسخههای آرشیو یا دادهها به شکل طولانی مدت در آن مکانها ذخیره شدهاند، تمرکز دارند. پویش دادههای در حال استفاده در شبکه از قابلیتهای بازرسی DLP برای پیشگیری از نشت دادهها است. در پویش فوق بخشی از زیرساخت DLP پروتکلهای شبکه که برای انتقال دادهها در حالت بارداده استفاده میشوند را بررسی میکند. برای آنکه سرعت شبکه افت محسوسی نداشته باشد، برخی از مولفهها به شکلی طراحی میشوند تا روی پروتکلهای محدود و خاصی تمرکز کنند. بهطور مثال، DLP برای نظارت بر ایمیل پروتکلهای SMTP، POP3 و IMAP را بررسی میکند. سایر مولفههای شبکهمحور DLP روی بازرسی پروتکلهای خطرآفرین در زمینه انتقال دادهها شبیه به FTP و IM (پیامرسان فوری) متمرکز میشوند. مهندس DLP میتواند مولفههای مختلف DLP شبکه را به شکل درون خطی طراحی کند تا بین جریان دادهها قرار گیرند (درست مشابه با حالتی که سامانههاش تشخیص و پیشگیری از نفوذ در نقش پلی در شبکه ظاهر میشوند و دادهها از میان آنها منتقل میشوند.) یا مولفهها را به شکلی طراحی کند تا دادهها خارج از پهنای باند بازرسی شوند. مهندس DLP در زمان طراحی معماری DLP مبتنی بر شبکه باید به چند اصل مهم دقت کند. زیرساختهای بازرسی DLP میتوانند به شکل درون خطی یا tap مستقر شوند. در هر دو حالت، بازرسی به یک شکل انجام میشود، اما ویژگیهای واکنشی این حالتها متفاوت است. حالت درون خطی از دو رابط کاربری برای هر طرف ارتباط استفاده میکند تا دادههایی که میان دو سامانه از میان مولفههای DLP عبور میکنند را بررسی کند. در زمان عبور دادهها از میان مولفههای فوق، دادهها برای بررسی نشتهای احتمالی با خطمشیها بررسی میشوند تا دادههای غیرمجاز انتقال پیدا نکنند. اگر محتوای غیرمجازی شناسایی شود، DLP قادر است از رویکردهای واکنشی برای پیشگیری از انتقال دادهها استفاده کند. در حالت Tap یک رابط کاربری تکی استفاده میشود. در این روش یک کپی از دادهها برای بازرسی به مولفههای مذکور ارسال میشود. از آنجایی که مکانیزم پیشگیری از نشست دادهها در حالت Tap وجود ندارد، امکان بهکارگیری مکانیزمیهایی شبیه به قطع ارتباط تجهیزات وجود ندارد. یک برنامه DLP در واکنش به شناسایی نشت دادهها دو راهکار در اختیار دارد. برای ارتباطات مبتنی بر پروتکل TCP از تکنیک ریست برای قطع ارتباط استفاده میکند یا یک فلگ به دستگاه خاطی ارسال میکند که یک نشت داده رخ داده است. در این وضعیت اگر پیکربندی خاصی روی دستگاه اعمال شده باشد، سامانه در واکنش به فلگی که دریافت کرده کار خاصی انجام میدهد. در شبکههایی که ترافیک آنها رمزنگاری شده، زیرساخت DLP باید کار بیشتر انجام دهد و بارداده این ارتباطات را رمزگشایی کند. اینکار با دو چالش مهم مصرف پهنای باند و نقض حریم خصوصی روبرو است. رمزگشایی و بازرسی بلادرنگ به نرمافزارهای خاصی نیاز دارد که فرآیند رمزگشایی و رمزنگاری را انجام دهند که افت محسوس عملکرد شبکه را به همراه دارند. نقض حریم خصوصی مشکل دیگری است. کارمندان شبکه علاقهای ندارند در زمان خریدهای اینترنتی و انجام معاملات بانکی یا مشاهده سوابق پزشکی اطلاعات آنها توسط فناوریهای سازمانی شنود و بررسی شود. به همین دلیل در اروپا و کانادا برای انجام چنین کاری سازمانها مجبور هستند از نهادهای قانونی مجوز لازم را دریافت کنند و پس از دریافت مجوز مربوطه معماری زیرساخت DLP مبتنی بر رمزگشایی اطلاعات را درون شبکه سازمانی اجرایی کنند. سومین بخش از قابلیت مشاهده در مرحله شناسایی به پویش دادههای نقاط پایانی مرتبط است. این مرحله که تمرکزش روی نقاط پایانی است، جنبه نرمافزاری داشته و قابلیت مشاهده دقیقی از سیستمی که نرمافزار DLP روی آن مستقر شده است را شامل میشود که دسترسی کامل به پشته شبکه شرط دسترسی به چنین قابلیت است. در این مرحله باید دادههای حساس نقاط پایانی در هر دو مدل ساخت یافته و غیر ساخت یافته و نرمافزارهای کاربردی که با دادههای حساس سروکار دارند بررسی شود. افزایش تعداد کاربرانی که از گوشیهای همراه استفاده میکنند و از نرمافزارهای مختلفی برای بهاشتراکگذاری دادهها استفاده میکنند خطر نشت دادهها را افزایش میدهد.
قابلیت بازرسی
هنگامی که قابلیت مشاهده برای شناسایی آماده شده، در گام بعد باید وضعیت قابلیت بازرسی مشخص شود. در این مرحله نوع استقرار برنامه DLP روی شبکه یا نقاط پایانی با قابلیت شناسایی دادههای در حال استفاده متغیر است. در قابلیت بازرسی برای DLP دو گرایش کلی بازرسی زمینه و محتوا وجود دارد. در این مرحله دادههایی که با رویکرد محتوا بازرسی میشوند با برچسبهای تطبیق دقیق داده (EDM)، تطبیق سندهای نمایهگذاری شده (IDM) و تطبیق رشته تعریف میشوند. در زمان بازرسی امکان تعیین سطح روی دو حالت پیچیدگی زیاد یا پیچیدگی کم وجود دارد. در بازرسی با رویکرد پیچیدگی کم از برچسبها، کلیدواژهها، عبارات با قاعده و قواعد ساده استفاده میشود. این مدل بازرسی به فعالیتهای غیرمتعارف روی محتوا دقت نمیکند. در این روش از نشانهها برای شناسایی سریع و تمایز قائل شدن بین محتوای حساس و غیر حساس استفاده میشود. مشکل روش فوق در ماندگاری برچسبها در کل چرخه عمر دادهها است. پردازش محتوا ممکن است باعث حذف نشانهها شده و بازرسی محتوایی DLP را خراب کند، مگر آنکه طراحی به شکلی باشد که نشانهها در زمان پردازش حفظ شوند که اینکار در برخی موارد امکانپذیر نیست. برچسبهای تطبیق دقیق داده (EDM) فرآیند بازرسی را روی دادههای دارای ساختار انجام میدهند، در حالی که تطبیق سند نمایهگذاری شده (IDM) روی دادههای بدون ساختار متمرکز است. در روش IDM باید همه یا بخشی از مولفههای حساس سند در اختیار ماژول مربوطه قرار بگیرد تا فرآیند تطابق به درستی انجام شود. در روش بازرسی محتوای پیچیدهتر از مکانیزم OCR استفاده میشود تا زیرساخت DLP بتواند محتوای درون عکسها را بازرسی کند. بهطور مثال، ممکن است درون یک سند ورد مایکروسافت تصویری با اطلاعات مهم قرار گرفته باشد یا کاربر از یک سند حساسی عکسی گرفته و قصد ارسال عکس را داشته باشد. در این روش به حافظهای با ظرفیت بالا و توان پردازشی زیاد نیاز است. عیبی که روش بازرسی محتوای پیچیده دارد این است که امکان تشخیص بلادرنگ به دلیل انجام محاسبات سنگین و زیاد امکانپذیر نیست.
قابلیت واکنش
راهکارهای واکنشی، مکانیزمهایی هستند که برای جلوگیری از انتشار غیرمجاز دادهها از آنها استفاده میشود. اطلاعرسانی درباره یک نشتی اطلاعات کافی نیست، زیرا در هنگام بررسی اوضاع، هکرها ممکن است به شبکه رخنه کرده یا اطلاعات بهطور کامل نشت پیدا کرده باشند. روشهای واکنشی انواع مختلفی دارند، بهطور مثال، هکر ممکن است متوجه شود کارهای او زیر نظر است و سامانه در حال ضبط فعالیتهای هکر است. بهطور مثال، اگر پورتها و درگاههای انتقال دادهها ناگهان مسدود شوند، هکر متوجه میشود امکان انتقال اطلاعات وجود ندارد و از انجام کارهای دیگر صرفنظر کند. این راهکار دو مشکل بزرگ دارد: اول آنکه هکر سعی خواهد کرد از بردار حمله دیگری استفاده کند و دوم آنکه متخصص DLP قادر نیست اطلاعات و شواهد لازم درباره هکر را جمعآوری کند. برای اجتناب از بروز چنین مشکلاتی، سازمانها از روشهای واکنشی و بدون مسدود کردن درگاهها استفاده میکنند که تغییر دادهها، تحریف دادهها و پاکسازی دادهها از جمله این اقدامات هستند. راهکارهای فوق اطمینان میدهند هکرها به دادههای بیارزشی دست پیدا خواهند کرد. در این روشها هدف این است تا اطلاعات تاکتیکی، روشها و راهکارهایی که هکر از آنها استفاده میکند جمعآوری شوند و به عنوان شاخص تعیینکننده خطر (IOC) برای زیرساختهای امنیتی استفاده شوند. دقت کنید زمانیکه هکرها به سامانهای دسترسی پیدا میکنند از مکانیزم بخشبندی دادهها استفاده میکنند. پس از بخشبندی دادهها، بخشهای کوچکتر رمزنگاری میشوند تا سازمان موفق نشود دادههای اصلی را شناسایی کند. در مرحله بعد دادههای رمزنگاری شده به یک فایل ویدیوی تبدیل میشوند تا سامانه بازرسی را فریب دهند. به همین دلیل مهم است پیش از آنکه دادهها به یک قالب ویدویی تبدیل شوند، برنامه DLP متوجه این مسئله شود. برای پیادهسازی موفق یک برنامه DLP به ارزیابی، تعریف مکانیزمهای استفاده شده، آزمایشهای متعدد، آشنایی با روشهای ارائه قابلیت مشاهده DLP، مکانیزمهای تشخیص و پیگشیری درون خطی و Tap و نحوه بررسی دادههای بدون استفاده و در حال استفاده در شبکه نیاز است
- اگر به مباحث امنیتی علاقه مندید مطالب فصل امنیت سایت شبکه را بخوانید.
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟