DLP megoldások a kínpadon
adatszivárgás védelmi rendszerek tesztelése
Amikor megcsináltam a saját cégemet, abban biztos voltam, soha a büdös életben nem lesz ebből rendes cég (HR, PR, menedzsment, dolgozók, stratégia, tervezés, stb.) – sok mindenre teljesen alkalmatlan vagyok, többek között a cégvezetésre IS.
Azért addig már eljutottam, hogy az AFA időben be van fizetve, valamint a járulékok és fizetések is időre el vannak utalva – de azt hiszem ez a legtöbb, amire cégvezetésben én képes vagyok.
Viszont pontosan azért szakítottam előző kényelmes életemmel, mert olyan munkákat akartam csinálni, amelyek szakmailag kihívással járnak – és nem utolsó sorban még érdekesek és változatosak is.
Az egyik ilyen „legjobb” projekt egy bank megbízásából érkezett, és aligha lehetett volna testre szabottabb: a cél az itthon elérhető összes adatszivárgás védelmi rendszer (DLP) helyszíni tesztelése, kipróbálása és a tapasztalatok dokumentálása volt, egy olyan műszaki anyag előállítása, amely segítséget nyújt a bank belső szakembereinek a megfelelő DLP megoldás kiválasztásához.
DLP rendszerek nagyító alatt
Amikor elindult a projekt persze minden létező gyártó megjelent, így lehetőségem volt alaposan meggyötörni a
- Symantec DLP
- McAfee DLP
- Grayteq DLP
- Forcepoint/Websense DLP
- DeviceLock DLP
- GTB DLP (nem ebben a projektben, de ugyanezen a helyen korábban) megoldásokat.
Bónuszként a Microsoft is bejelentkezett a DLP termékével, de több okból ez már nem került tesztelésre, viszont hamarosan lehetőségem lesz egy kicsit jobban megismerni, mit tud a Microsoft ezen a területen (az RMS rendszerükkel volt korábban tapasztalatom, most ez lett kicsit feltupírozva a Secure Island nevű gyártó megoldásának felvásárlásával és integrálásával).
A projekt mindenképpen sikerese volt, egyrészt számos bugot sikerült a rendszerekben felfedezni, másrészt meg született egy több, mint 100 oldalas dokumentum, amely részletesen bemutatja az egyes gyártók aktuális verzióinak funkcióit, lehetőségeit és természetesen hiányosságait.
Elég régen foglalkozom DLP technológiákkal (Csinos Tamás ex-RRC/Clico véleménye szerint egyszemélyban vagyok felelős a magyar DLP biznisz bedöntéséért J - örök hála az eposzi jelzőért!), ennek ellenére sem volt egyszerű felállítani egy olyan szempontrendszert, amely valamennyire lehetővé teszi a DLP megoldások összehasonlítását.
Almát a traktorral, cseresznyét a szilvával
Azért mondom, hogy valamennyire, mert a felsorolt technológiák nem azonos tőről valók: három teljesen különböző technológiai irányvonalat képviselnek, ezért összehasonlításuk sem egyszerű.
Content-aware DLP
Ebbe a kategóriába tartoznak azok a megoldások, amelyek első sorban az adatokkal foglalkoznak. Számukra az adat megjelenési formája (fájlban, adatbázisban, SharePointban, Exchnage-ben, stb.) irreleváns.
A content-aware DLP megoldások kinyerik (extraktálják) az adatokat a tárolási helyükből, feldolgozzák, megtanulják, értelmezik, stb. azokat, majd ezek után képesek felismerni az adatokat az adatfolyamokban és kommunikációs csatornákban.
Játékosok:
- a Symantec,
- a Forcepoint/Websense
- a GTB
- a DeviceLock
File-based DLP
Személy szerint nem nagyon találkoztam ezzel a megoldással, csak IRM (rights management) oldalon, de mindenképpen érdemes megemlíteni, hogy nem ördögtől való koncepció, és ha jól működik, akkor a DLP-ből a „P” betű nem a marketingesek elmeszüleménye.
Az ilyen DLP cuccok magukkal a védendő fájlokkal, nevükkel, elérési útjukkal, mozgásukkal, hozzáférésükkel (copy, move, read, write, etc.) foglalkoznak. (A gyártó képviselőjével művéres szócsatákat folytattam, egyáltalán ez DLP termék-e, véleményem szerint inkább IRM mint DLP, de abban kiegyezhetünk, hogy DLP funkciókat tartalmazó eszköz :)).
Játékos:
- a Grayteq DLP
Tag/label-based DLP
Korábban nem rajongtam az ilyen megoldásokért, a klasszifikáció és labeling terület kiterjesztéseként az eszközök belenyúlnak/hozzányúlnak a fájlokhoz és megtaggelik őket. Később a szabályrendszer a tag-eket felismerve mondhatja azt, hogy ebben a fájlban a tag szerint szenzitív adat van, ezért nem engedem, hogy emailben elküldje a felhasználó házon kívülre.
A tagek hozzáadása az állományokhoz lehet manuális (a felhasználó saját mega megjelöli, hogy védett adat van benne) vagy lehet automatikus: ilyen esetben valamilyen crawler processz megtalálja a fájlt, megpróbálja értelmezni a tartalmát, és a tartalomnak megfelelően ráhelyez egy vagy több taget.
Hopp...tartalom alapján?! – Na akkor ez nem content aware DLP? De lehet, például ilyen
versenyző:
- a McAfee DLP
Nehezíti a besorolást, hogy a McAfee DLP bizony fájl és elérési út alapján is dolgozhat, szóval jelen esetben inkább a hibrid jelölés lenne rá érvényben. Mivel azonban a legtöbb funkciója taggingre épül, ezért mégis a harmadik kategória mohikánjaként érdemes megjegyezni.
A következő részben arról lesz szó, hogy egyáltalán mire jó a DLP és mire nem – csak azért, mert a drága marketingesek előszeretettel puffogtatják, hogy a DLP bevezetése majd megakadályozza, hogy ellenséges/imperialista/konkurentalista/rosszinulatúista felhasználók ellopják a szervezet védett és féltve őrzött adatait.
Hát nem.
Arra pont nem jó, de majd megnézzük ezt kicsit közelebbről.