پیشگیری از نشت داده (DLP) که معرف Data Loss Prevention می باشد، مجموعه ای از فناوری ها، محصولات و تکنیک هایی می باشد که برای توقف خروج اطلاعات حساس از سازمان ها و جلوگیری از حملات سایبری طراحی شده است.
داده ها ممکن است به روش های مختلفی، مانند ارسال از طریق ایمیل، پیام لحظه ای، فرم های وب سایت، انتقال فایل ها یا موارد دیگر، حال به صورت غیرعمدی و یا حتی برای مقاصد اشتباه ارسال شوند.
استراتژی های DLP باید دربرگیرنده راهکارهایی باشند که فرآیند غیرمجاز و نامعتبر دسترسی به اطلاعات را ردیابی، شناسایی و مسدود نماید.
انتقال اطلاعات محرمانه از کامپیوتر یا پایگاه داده به دنیای بیرون
نشت داده ها می تواند با برداشتن آنچه که دیده می شود، برداشتن فیزیکی هارد، فلش، گزارشات یا غیره و پنهان سازی غیر مستقیم داده ها انجام شود.
یک وضعیت error می باشد که در ان داده ها به دلیل عدم حفظ ذخیره سازی، انتقال یا پردازش از دست رفته یا نابود می شوند. در نتیجه باید پروسه هایی همچون Backup و Disaster Recovery، جهت برگشت داده های از دست رفته در نظر گرفت.
شایان ذکر است که اگر دلیل در دسترس نبودن داده ها (Data unavailability)، به دلیل خرابی یا down شدن سیستم باشد، عدم دسترسی به داده ها می تواند موقتی باشد.
در این حالت داده ها به دست مجرمین سایبری می افتند و در بعضی مواقع اصطلاح Data loss نیز برای این امر استفاده می شود.
DLP یک تکنولوژی امنیت اطلاعات می باشد که از انتشار اطلاعات محرمانه درون یک سازمان جلوگیری می کند.
فناوری های DLP از قوانینی، به منظور جستجوی اطلاعاتی استفاده می کنند که ممکن است در ارتباطات الکترونیکی موجود باشند یا انتقال غیر طبیعی داده ها را شناسایی کنند. هدف DLP توقف اطلاعاتی همانند مالکیت معنوی، داده های مالی و جزئیات مربوط به کارکنان یا مشتریان است که به صورت تصادفی یا به عمد به خارج از شبکه سازمان یا شرکت منتقل شده است.
به دلیل سهل انگاری برخی از کاربران یا حتی به دلایل مقاصد مخرب، ممکن است داده های سازمانی در اختیار بسیاری از افراد قرار بگیرند. نتیجه این دسترسی، بروز انواع تهدیدات داخلی می باشد که می تواند داده های محرمانه را تنها با یک کلیک در معرض خطر قرار دهد. به همین دلیل بسیاری از مقررات دولت و صنعت، استفاده از فناوری DLP را الزامی کرده است.
مدل در واقع ترسیم کننده برخورد یک تکنولوژی در شرایط پیچیده می باشد. حال می خواهیم بدانیم که در یک سیستم DLP به چه مدل هایی نیازمند هستیم.
به این منظور نیاز است تا اطلاعات را ابتدا دسته بندی نماییم و سپس راه های احتمالی سرقت اطلاعات را مشخص کنیم.
اطلاعات در حال استفاده
این دسته از فناوری های DLP، داده های در حال استفاده را امن می کنند که به عنوان داده هایی تعریف می شوند که به طور فعالانه توسط یک برنامه یا تجهیز مورد پردازش قرار گرفتند که به طور معمول دربرگیرنده تایید هویت کاربران و کنترل دسترسی آن ها به منابع می باشد.
اطلاعات در جریان (داخل شبکه)
هنگامی که داده های محرمانه در حال انتقال می باشند، فناوری های DLP جهت تضمین این که داده ها به خارج از سازمان هدایت نشده و یا در محل های ناامن ذخیره نشوند، مورد نیاز هستند. روش های رمزنگاری داده ها نقش گسترده ای در این زمینه ایفا می کند. امنیت ایمیل نیز در این مورد نقش حیاتی دارد چرا که بسیاری از ارتباطات تجاری از طریق این کانال ایجاد می شوند.
اطلاعات بلا استفاده (ذخیره شده در یک مکان)
حتی داده هایی که در حال انتقال (جابجایی) یا استفاده نیستند، نیز نیازمند حفاظت می باشند. فناوری های DLP از قرارگیری داده ها در انواع مختلف تجهیزات ذخیره سازی همانند فضای ابری حفاظت می کنند.
فناوری DLP می تواند کنترل هایی به منظور اطمینان از دسترسی کاربران مجاز به داده ها ایجاد کند و دسترسی آن ها را هنگام نشت یا سرقت داده ها مورد ردیابی قرار دهد.
جهت ایجاد یک مدل جهت برخورد با شرایط پیچیده در زمان ایجاد رخداد بر روی اطلاعات مورد استفاده و داخل شبکه، باید موارد زیر را در نظر گرفت:
از یک سیستم DLP انتظار می رود که بتواند پاسخ سوالات زیر را بدهد:
در بخش انگشت نگاری از بانک های اطلاعاتی، تکنیکی پیاده سازی می شود که توسط آن می توان اطلاعات متنی درون بانک اطلاعاتی را مورد بررسی قرار داد و در نهایت اطلاعات حساس داخل آن را استخراج کرد.
به طور مثال شما اطلاعاتی از قبیل شماره تماس و آدرس را درون بانک اطلاعاتی خود ذخیره کردید، حال با انگشت نگاری می توانید اطلاعات را از بانک اطلاعاتی استخراج و به عنوان اطلاعات حساس طبقه بندی نمایید.
کاربردی ترین تکنیک بررسی اطلاعات در سیستم DLP
در این روش شما یک فرهنگ لغت از واژگان پرکاربرد مورد استفاده درون فایل های متنی خود ایجاد می کنید و از سیستم DLP درخواست می کنید که تمام مستندات موجود در مجموعه را با این فرهنگ لغت بررسی کرده و در صورت مشاهده هر کدام از این کلید واژه ها درون مستندات، آن را به عنوان یک فایل حساس نشانه گذاری نماید.
مشکلات : کاهش عملکرد چشمگیر سیستم در فضا بزرگ – نیاز به ایجاد الگوریتم های مقیاس پذیر
RAID
برحسب نیاز می توان از انواع پیکربندی های RAID استفاده کرد و ریسک Data Loss را که در نتیجه خرابی غیرمنتظره هارد دیسک اتفاق می افتد را کاهش داد.
با انجام تنظیمات Spare Drive، وقتی یه هارد در هر یک از RAID Volume ها خراب شود، هارد Spare به صورت خودکار، جایگزین هارد خراب می شود تا از، از دست رفتن داده جلوگیری شود.
تهیه بکاپ
تهیه Snapshot
در این روش وضعیت سیستم به صورت لحظه ای ثبت خواهد شد، تا اگرشرایط ناخواسته ای پیش آمد، بتوان سیستم را با کمک Snapshot ها به وضعیت قبلی برگرداند.
منظور از وضعیت قبلی زمانی است که این Snapshot ثبت شده است.
رمزگذاری
دو روش جهت رمزگذاری پیشنهاد می شود:
– تهیه لیست کاربران مجاز به دسترسی به اطلاعات مورد نظر و تهیه لیست سیاه از کاربران (در این صورت کاربران در لیست سیاه با IP های خود مجاز به دسترسی به اطلاعات نخواهند بود.)
اگر با استفاد از ابزار رمزگذاری، هارد خود را رمزگذاری کنید، حتی اگر دزدیده شود هم قابل دسترسی یا نفوذ نخواهد بود.
سامانه های تشخیص نفوذ IDS و IPS که وجود هر گونه نفوذ و حمله به شبکه را تشخیص می دهند و از آن جلوگیری می کنند را نیز می توان به عنوان بخشی از یک سیستم DLP به حساب آورد، از این جهت که مانع از خرابکاری و از بین رفتن اطلاعات می گردند. با این حال، سیستم هایی همانند IDS ها بر روی ترافیک نظارت دارند و آن را فیلتر می کنند ولی DLP بیشتر بر روی پیشگیری از خروج اطلاعات نظارت دارد.
هدف اصلی پیاده سازی DLP پیشگیری از خروج هر چیز از شبکه می باشد.