DLP systémy (Data Leakage Prevention) již dávno neslouží pouze k ochraně před únikem dat. Expanzivní rozvoj techniky ustoupil intenzivnímu vývoji. DLP se začalo prohlubovat a zlepšovalo kvalitu analýzy obsahu a odposlechu. Díky tomu se data z DLP stávají neocenitelnými pro jakákoli manažerská rozhodnutí. To umožňuje proměnit informační bezpečnost ve službu pro další oddělení společnosti – od HR po ekonomické zabezpečení
Proč analyzovat data
Prvním úkolem, který má analýza dat vyřešit, je předcházení únikům. Bez analytických technologií lze únikům také zabránit, ale budete muset aplikovat příliš mnoho administrativních opatření a v podstatě zakázat všechny (to jsou nízkorozpočtové bezpečnostní metody, psali jsme o nich zde). Pokud je společnost dostatečně velká, může to poškodit obchodní procesy. Tohle nechceme! Proto je potřeba blokovat data selektivně a analytické technologie vám pomohou vybrat, co blokovat a pro kterého uživatele.
Druhým úkolem je označení zachyceného archivu. Záchytný archiv bez označení je velká hromada dat, se kterými lze pracovat pouze pomocí fulltextového vyhledávání, ale ani to ne vždy pomůže. Pozoruhodným příkladem je normální forma v textových objektech InfoWatch Traffic Monitor. Řekněme například, že máte 16místné číslo kreditní karty. Toto číslo v korespondenci lze zapsat v libovolném formátu: všechna čísla dohromady, skupiny 4 čísel s různými oddělovači atd. Najít takové číslo karty pomocí fulltextového vyhledávání v archivu odposlechů je téměř nemožné. Ale tady normální forma přichází na záchranu. Traffic Monitor má textový objekt „Credit Card“, který zachycuje kreditní karty bez ohledu na formátování. Poté vybere normální formu a odstraní jakékoli formátování. Normální forma je uložena v databázi (DB) s odkazem na zachycený objekt. Poté lze při vyhledávání zadat číslo karty v libovolném formátu, bude z ní přijat i normální tvar a pomocí něj bude provedeno vyhledávání.
Analýza řetězce událostí
Další aplikací značkování archivu událostí je analýza řetězců událostí. Na základě této analýzy se objevují produkty třídy UBA (User Behavior Analytics), například InfoWatch Prediction. Analyzují chování uživatele – soubor událostí v informačním prostředí, které uživatel generuje. Dobře označené události ukazují, co uživatel skutečně dělá: od porušování různých bezpečnostních zásad až po analýzu běžných životních situací. Odeslání životopisu, návštěva webu pro hledání zaměstnání nebo webu pro hodnocení zaměstnavatele – systém takové události vytváří v řetězci a pomáhá pochopit, zda existuje pravděpodobnost propuštění. Nebo je možná jeden ze zaměstnanců přidružen k dodavatelské společnosti? InfoWatch Prediction dokáže identifikovat i taková rizika. Jak to funguje? Můžete hledat anomálie v chování, směrové anomálie – například abnormální počet zkopírovaných souborů, což naznačuje hromadění informací pro budoucí únik. Můžete sledovat řetězce událostí, aplikovat strojové učení a předvídat rizika, můžete hledat selhání a úzká místa v obchodních procesech a včas je napravovat ve prospěch podniku. InfoWatch Prediction se aktuálně vyvíjí tímto směrem.
Jaká data má společnost k dispozici?
V moderním světě existuje mnoho způsobů, jak prezentovat data. To je oprávněné a pomáhá to zlepšit kvalitu softwarových produktů. Například archivy pomáhají šetřit čas přepravy a úložný prostor. Formáty Office ukládají text, obrázky, textové značky a další metainformace do jednoho souboru. Je obtížné rychle se k těmto informacím dostat, musíte znát formát ukládání dat. A informační bezpečnost je oblastí rychlé reakce. Proto má systém DLP bohatou sadu extraktorů. Jejich úkolem je získat informační primitiva ze všech formátů podporovaných společností (text, obrázky, vektorová grafika atd.).
Text je samozřejmě nejjednodušší a nejpohodlnější primitivum informací pro analýzu. Dokonce i obrazy systému DLP se je snaží převést na text pomocí technologie OCR (Optical Character Recognition). Moderní metody počítačového vidění pracují s obrazem vč. neuronové sítě, které již dokážou o obrazu mnohé „vypovědět“. Doufáme, že se technologie v budoucnu vyvinou natolik, že bude možné získat fulltextový popis obrázku (takový vývoj již existuje). Není to tak dávno, co se vektorové obrázky přesunuly z kategorie binárních do samostatného primitiva informací, protože naučili jsme se je analyzovat jako strukturovaná data.
Data lze analyzovat třemi směry: sémantickým, formálním a věcným. Pro sémantické vyhledávání informací se obvykle používá klasifikátor. Tento přístup umožňuje, v případě úniku, extrahovat témata ze zachycených informací, aniž byste museli hledat přesný vzorek. Ve formální analýze se člověk primárně zajímá o to, jak jsou informace prezentovány, a za druhé o to, co to je. Pozoruhodným příkladem takové analýzy jsou regulární výrazy. Ale hledání podle vzoru je přesně to, co smysluplné typy analýzy dělají. Aby fungovaly, je nutné mít standard nebo několik standardů, se kterými se analyzované informace porovnávají.
Jaké jsou analytické technologie?
Klasifikaci lze aplikovat na data s charakteristikami, podle kterých můžeme určit určité skupiny nebo témata dat. Poměrně dlouhou dobu se na obrázky neuplatňovala klasifikace, ale počítačové vidění a nárůst výpočetního výkonu umožnily klasifikovat tento typ dat. Obecně platí, že hlavním kritériem při tvorbě technologií je samozřejmě maximální kvalita za minimum pracovní doby. Při analýze dat za chodu je důležité to udělat rychle, jinak se specialista na informační bezpečnost dozví o porušení příliš pozdě. Systém DLP zachytí každý den miliony událostí. Zpoždění při analýze tak velkého počtu zachycených objektů může být pro podnikání kritické. V naší praxi se vyskytly případy, kdy při pilotní implementaci DLP přímo na jedné ze schůzek se zákazníkem obdržel bezpečnostní specialista upozornění na únik kritických dat a doslova spěchal tento incident řešit.
Aby klasifikátor fungoval, je vyžadována sbírka školení. Musí se jednat o označenou kolekci, tzn. Každý dokument v něm musí být přiřazen do jedné z prezentovaných tříd. Nejjednodušší analogií jsou adresáře s dokumenty na pevném disku. Dále jsou z předložených dokumentů extrahovány vlastnosti (klíčové body pro obrázky a termíny pro texty), které jsou ve spojení s kategoriemi odeslány do matematického jádra a na jejich základě je trénováno. Jakmile je klasifikátor vyškolen, mohou mu být předloženy dokumenty. Proces analýzy je podobný učení. Po zachycení jsou vlastnosti extrahovány z dokumentu a vloženy do matematického jádra pro klasifikaci; v důsledku práce klasifikátor vrátí příslušnost analyzovaných dat do jedné nebo více kategorií. Nejčastěji není možné předem nastavit klasifikátor pro žádnou společnost. I stejné téma mezi společnostmi působícími na stejném trhu může být vyjádřeno různými soubory pojmů. Při instalaci DLP se proto klasifikátory dolaďují, aby se zlepšila kvalita jejich práce. Za provozu je také nutné seřídit třídiče, protože kategorie nebo se mění jejich charakteristiky.
Například při nastavování DLP mělo HR oddělení starou „nemocnou“ multifunkční tiskárnu. Kategorie „Pas Ruské federace“ byla dále trénována pomocí skenů z tohoto MFP. O šest měsíců později dostalo HR oddělení novou módní multifunkční tiskárnu s velmi vysokou kvalitou skenování. Z jeho skenů se začalo odstraňovat více klíčových bodů a ty staré byly přerozděleny a na skle skeneru už nebyly žádné škrábance, které způsobily klíčové body. V takové situaci se kvalita klasifikace sníží, i když ne kriticky. Tomu se však dá čelit přeškolením klasifikátora – předložením nových příkladů naskenovaných pasů.
Kromě obrázků třídíme i texty. Ke klasifikaci textů lze využít mnoho přístupů ze strojového učení, InfoWatch využívá dva: kosinusovou míru (tzv. BKF – Content Filtering Base) a logistickou regresi, pomocí které se brzy dočkáme dalšího vydání. U textu jsou znaky slova. Slova v téměř jakémkoli jazyce mají tvary, ale konečný význam textu, ve kterém jsou tyto tvary použity, se radikálně nemění. Proto naše klasifikátory používají slovní morfologii. Používáme morfologické slovníky pro několik jazyků (aktuálně 18), redukujeme všechna slova do normálního tvaru, což pomáhá zlepšit kvalitu klasifikace. U jazyků, pro které nemáme slovníky, pracují klasifikátory na přesné shodě. Pro zlepšení přesnosti existuje také technologie oprav překlepů, která porovnává zvýrazněná slova se známými výrazy a dokáže opravit jeden překlep.
Regulární výrazy se používají pro formální analýzu, v Traffic Monitoru jsou reprezentovány v technologii textových objektů.
Pro začátek krátký úvod, jak se očekávalo, je nudný a formální. Informace vládnou světu. Informace jsou cennější než zlato. Jaká další otřepaná myšlenka by mohla být předložena k potvrzení teze, o které stejně nikdo nepochybuje?
Jakákoli informace má tendenci unikat. A většinou i konkurentům. Chcete-li mít své informace u sebe, musí být chráněny. Uveďme si tři hlavní způsoby ochrany, podívejme se na klady a zápory. Abyste si mohli popovídat na stejné úrovni se svým šéfem IT bezpečnosti, přidáme část chytrých slov, která tyto metody odborně popisují.
První cesta. Můžete postavit zeď, vyříznout bránu do zdi, postavit k bráně hlídku a ten bude strkat nos do každého dokumentu, který se pokusí vzít za zeď. Pokud dokument vypadá jako tajný, brána se zabouchne a zavolá se šéf ochranky.
Chytrá slova. Tato metoda se nazývá hraniční DLP (Border DLP). Je jasné, proč je to hraniční: zakazujeme dokumentům opustit hranice naší organizace. Zkratka DLP znamená Data Leak Prevention. Dokumenty jsou identifikovány jako tajné buď podle názvu souboru (jednoduchá, ale nespolehlivá metoda, protože přejmenování souboru je velmi snadné) nebo podle jeho obsahu. Vypočítá se tzv. podpis – binární sekvence, která bude pro každý zdrojový dokument jedinečná. Když se dokument jakýmkoliv způsobem pokusí opustit organizaci – po síti, přes USB disk (flash disk), poštou atd., je určen jeho podpis a porovnán s databází chráněných dokumentů. Pokud je v databázi nalezen podpis, operace se zablokuje a upozorní bezpečnost IT.
Pros. Výroba takového systému je celkem jednoduchá, takže jich je na trhu mnoho a jsou relativně levné.
Nevýhody. Dokument není nutné vynášet z organizace přes internet nebo poštou. Existují i alternativní způsoby. Zaprvé se dá číst a zapamatovat si. Za druhé, pořiďte snímek obrazovky a odešlete jej poštou. Za třetí, vyfotografujte dokument otevřený na obrazovce monitoru. Za čtvrté, změňte dokument úplně; nyní nebude odpovídat podpisu, což znamená, že systém si ničeho nevšimne.
Závěry. Zda stojí za to zaplatit za takový systém – rozhodněte se sami. Může se hodit jako doplněk. Jediným problémem je, že dva systémy stejného typu, ale fungující odlišně, mají často sklon ke konfliktu.
Druhá cesta.Nemusíte stavět zeď (proč být tak přísní?), ale každému zaměstnanci přidělte důstojníka tajné služby, aby vás sledoval a sledoval, jaké dokumenty se snaží číst. A jakmile chce otevřít zakázaný dokument, chytne ho za rukáv, tajný dokument zpátky na polici a narušitel režimu – kam patří.
Chytrá slova.Tato verze DLP se nazývá agent DLP. Na každém počítači v organizaci je nainstalován agent, který sleduje každý pokus o práci s jakýmikoli dokumenty (otevření, kopírování, mazání, tisk atd.). Při každém takovém pokusu vypočítá podpis dokumentu a porovná jej s databází podpisů. Pokud je dokument chráněný, určuje uživatel, který se s ním pokouší pracovat, a zda má tento uživatel oprávnění k provedení této operace. Pokud práva existují, operace se provede, pokud ne, je zablokována a upozorněna bezpečnostní služba.
Pros. Pomocí této metody můžete skutečně účinně chránit dokumenty. Nebude možné je ani otevřít, a pokud je nemůžete otevřít, nemůžete se seznámit s obsahem. I když, pokud je hlavním úkolem zakázat otevírání dokumentů, stačí standardní mechanismus pro vymezení přístupových práv k souborům Windows.
Nevýhody. Kupodivu jich tu je dost. Za prvé, na každém počítači v síti běží agent, což nemá pozitivní vliv na celkový výkon počítače. Trpí také výkon sítě, protože každý počítač pravidelně přistupuje k databázi podpisů dokumentů (ne, ta je samozřejmě uložena lokálně na počítačích, ale musí být pravidelně aktualizována). Za druhé, před otevřením, kopírováním, tiskem každého dokumentu se vypočítá jeho podpis, porovná se a provedou se další akce, které v případě průměrného počítačového hardwaru mohou mezi zahájením operace poskytnout zpoždění 1-5 sekund (nebo i více). a jeho provedení. Zatřetí, systém je třeba nakonfigurovat a uvést všechny soubory, které je třeba chránit, a přístupová práva k nim pro různé uživatele. A nakonec – peníze. Licence pro každého agenta není levná – 50-100 USD a blíže 100 než 50. Zároveň si musíte koupit licenci pro každý počítač, jinak můžete sednout k nechráněnému počítači a získat přístup k soubory.
Závěry. Není to špatný přístup, pokud pro vás nevýhody nejsou významné. Funguje s jakýmikoli dokumenty, ale není efektivní ve všech situacích.
Třetí cesta.Nemusíte stavět zdi a nemusíte utrácet peníze za špiony. Stačí zašifrovat dokumenty. K čemu je dokument, který nelze přečíst? Pokud si to chcete přečíst, jděte do úložiště klíčů, tam vám zkontrolují identitu a dají vám klíč. Ale ani s klíčem nejste všemocní, pokud vám nedovolí dokument vytisknout nebo v něm provádět změny.
Chytrá slova.Každá společnost tuto technologii nazývá jinak. Existuje ale také společný název – DRM (Digital Rights Management), správa digitálních práv. Tato technologie je implementována integrací šifrovacího/dešifrovacího mechanismu do standardních programů pro prohlížení a úpravu dokumentů. Pro Microsoft je to většina programů obsažených v Office: Word, Excel, PowerPoint, Outlook; pro Adobe – Acrobat a Acrobat Reader. Když se klientská část pokusí otevřít dokument, přistoupí na server klíčů s informacemi o dokumentu a uživateli, který jej otevírá, který ukládá informace o právech různých uživatelů pro přístup k různým dokumentům. Pokud je k dispozici přístupové právo, je zaslán klíč, pomocí kterého klient uživatel nepozorovaně dešifruje dokument a umožňuje provádět povolené operace. To znamená, že pokud jsou práva nastavena na „Pouze prohlížet“, nebudete již moci dokument vytisknout.
Pros. Zabezpečené e-maily v aplikaci Outlook se otevírají znatelně pomaleji než běžné, ale obecně má tato technologie dobré ukazatele výkonu a málo zatěžuje počítač a síť.
Nevýhody. Ne nadarmo jsem řekl, že všechny firmy tuto technologii nazývají jinak. Každá společnost také implementuje tuto technologii po svém. K ochraně dokumentů Microsoft Office se používá software od Microsoftu (a je žádoucí, aby Office měl určitou verzi), k ochraně Adobe PDF – ano, tušíte správně, software od Adobe. Kromě toho, pokud chcete otevřít dokument z pracovního notebooku, který jste si vzali domů, ujistěte se, že servery jsou přístupné mimo vaši organizaci.
Výstup.Řešení obecně není špatné, ale velmi úzké. Je to nutné v případech, kdy existuje malý počet dokumentů, které je třeba chránit. Dokumenty jsou v jednotném formátu, všem zaměstnancům, kteří budou s těmito dokumenty pracovat (například vrcholové vedení společnosti), je nainstalován klientský software stejné verze. Ale pro hromadné použití je řešení poměrně těžké a neúčinné.
















