תוכן שיווקי

מה זה DLP?

20/09/2016 12:53
אריק וולובסקי, Senior Sales Engineer בפורספוינט

כתב: אריק וולובסקי, Senior Sales Engineer בפורספוינט (ForcePoint)

מערכת DLP (ר"ת Data Leakage Prevention) – מניעת דלף מידע, נועדה לזהות, לדווח ולמנוע חשיפה ודליפה של מידע ארגוני רגיש, בתוך כותלי הארגון ומחוץ להם.

אילו ארגונים צריכים פתרון למניעת דלף מידע?

כל ארגון צריך לשאול את עצמו – "אם מידע ארגוני מסוים ייחשף, האם תהיה פגיעה בארגון?", דליפת מידע רגיש שמגיע לידיים הלא-נכונות מתרחשת היום בכל ארגון, בין אם בכוונת זדון או בטעות. בעידן שבו הלב של כל ארגון הוא המידע, שמירה על הסודיות שלו הינה אחת המטרות העיקרית של כל תעשיית אבטחת המידע.

הארגונים בעיניי מתחלקים לשניים – אלו שנלחמים במניעת דלף מידע ואלו שטועים לחשוב שבארגונם דלף מידע וזה לא בעיה או לא הבעיה הכי קריטית.
השאלה המהותית אינה "האם המידע הארגוני דולף?" אלא "איזה מידע דולף ולאן"?

האתגרים לקראת יציאה לפרויקט DLP

על כל ארגון להפנים כי למרות שכל האקר ישמח להניח את ידיו על המידע הארגוני הרגיש, האיום המסוכן ביותר הם דווקא העובדים, אותם האנשים שהארגון גייס ונתן להם הרשאות למידע רגיש.

נדרש וחשוב להבדיל בין העובדים שניסו להוציא את המידע הרגיש בטעות – למרות שאין זה משנה את הנזק הפוטניציאלי לארגון – לבין עובדי החברה שמכירים את הרשת, המלכודות, מוצרי אבטחת המידע בארגון ורוצים את המידע הארגוני מחוץ לארגון.

הסיבה שעובד בוחר להוציא ביודעין את המידע הארגוני אינה בהכרח זדונית. ייתכן והוא רוצה לעבוד מהבית על טבלת המשכורות מכיוון שלא הספיק לסיים אותה במשרד, או שהוא מחליף עבודה ויש לו תיקייה מקצועית שהתוכן שלה ישמש אותו בעבודה הבאה – דוגמאות של קוד שכתב/רשימת לקוחות/מסמכים שכתב וכו'.

הצורך ברור – להגן על המידע, אבל איך? לרוב אנו נתקלים בארגונים שמכריזים כי נדרש לסווג את המידע בכל הארגון ורק אז ניתן יהיה ליישם פתרון למניעת דלף מידע. הבעיה כאן היא שתהליך סיווג המידע הארגוני, במיוחד במציאות ובתרבות הישראלית, הינו תהליך אינסופי. רגישות המידע הינה דינאמית – מסמך שרגיש היום ייתכן ולא יהיה רגיש בעוד חודש וכן נוצר מידע חדש כל הזמן.

אינני טוען שסיווג מידע אינו חשוב, אבל התניית יישום טכנולוגי ומדיניות מניעת דלף מידע בכך הינה טעות חמורה. כשאנו בוחנים את הסיכון לדלף מידע ארגוני, ללא בקרה מפצה כלשהי, הארגון נתון למעשה ברמת סיכון של 100% לדלף מידע, וחובה עלינו לדווח על כך בעת בדיקת הנאותות. מכאן, שכל בקרה שתצמצם את הסיכון הרי היא מבורכת וחשובה.

כיצד נכון להתחיל ביישום פרויקט דלף מידע

אנו בפורספוינט, ממליצים ללקוחותינו על מספר שלבים קלים ומהירים ליישום, המאפשרים את צמצום דלף המידע בארגון:

● ראשית, עלינו לתת מענה לרגולציות ותקנים הרלוונטיים למדינה ולתעשיה בהם הארגון פועל. בנוסף ניתן ומומלץ ליישם מדיניות מובנית מראש של היצרן, כגון – מספר ת.ז של 7/8/9 ספרות כולל בדיקה של ספרת ביקורת, כרטיסי אשראי, חשבונות בנק, קבצי קוד ועוד. מומלץ להשתמש במדיניות המובנית שמציע היצרן בהתאם למדינה והתעשיה של הארגון.

● יצירת פרופיל התנהגות של כל עובד בארגון, מה שיאפשר התרעה על התנהגות חשודה אשר חורגת מהפרופיל של אותו עובד ובכך זיהוי הונאות ומעילות בטרם יתרחשו.

● להבין באילו ערוצים העובד/התוקף יכול לגנוב את המידע: גלישה, דוא"ל, הדפסה, גישה לתוכן, מדיה נתיקה, העברה בין רשתות ועוד. כשנבין מהן האפשרויות הנפוצות לגניבת מידע יהיה לנו קל יותר להגן על המידע.

● זיהוי תוכן רגיש מתוך מסד הנתונים, כולל אפשרות לבחור כמה שדות עובד בודד יכול להוציא לאורך זמן ודרך אילו ערוצים. לרוב תוכן מתוך מסד הנתונים מהווה את אחוז המידע הרגיש הרב ביותר ולכן זיהוי התוכן שבו מצמצם את הסיכון לדלף מידע באופן מאוד משמעותי.

אחרי שהשלבים המקדימים בוצעו, אנו נמצא את עצמנו עמוק בתוך פרויקט דלף מידע מוצלח עם תוצאות מיידיות. בשלב זה יהיה יותר קל להתמודד במידת הצורך בסיווג המידע הארגוני.

במידה ובארגון יש מסמכים רגישים, כל קובץ שתוכנו יוגדר כרגיש יצמצם עוד את החשיפה ויקרב את הנהלת החברה לצמצום סיכון דלף המידע למינימום האפשרי.

כמו כן, כדי לזהות היכן נמצא המידע הרגיש ברשת הארגון קיימים פתרונות דלף מידע רבים המאפשרים איתור מידע מסווג (Discovery) בשרתי הארגון, כגון שרתי קבצים, שרתי דואר וכן סריקת תחנות העבודה של העובדים לשם מיפוי מיקומו של המידע הארגוני הרגיש.

המטרה היא לזהות חשיפה של מידע רגיש לעובדים שאין להם הרשאה למידע זה, לזהות עובדים השומרים מידע רגיש על המחשב האישי או בתיקיות הרשת הלא נכונות.

למצוא מחט בערימת שחת

האתגר שרוב הארגונים המיישמים פרויקט מניעת דלף מידע מגיעים אליו – זיהוי אירועי דלף מידע אמיתיים וצמצום האירועיים הפיקטיביים שנוצרו במערכת.

אחת היכולות המתקדמות אשר קיימת בפתרון למניעת דלף מידע בפורספוינט, היא IRR (ר"ת Incident Risk Ranking), מדובר על יכולת מתקדמת אשר מבצעת קורלציה בין האירועים ויודעת להבליט את האירועים הכי קריטיים בארגון.

דירוג האירועים האיכותי מתאפשר בין היתר בזכות היכולות המתקדמות שיש לפתרון דלף המידע של פורספוינט להציע כגון: דלף מידע לאורך זמן (טפטוף מידע איטי), דלף מידע לפי קטגוריות אתרי אינטרנט, Geo Location, OCR – זיהוי טקסט בתמונות ועוד.

לסיום, פתרון דלף המידע מאפשר לארגון להתגונן לא רק מתוקפים מתוחכמים שחדרו את שכבות ההגנה אלא גם מהמשתמשים הארגוניים  המהווים איום הולך וגדל על המידע הארגוני.

חשוב להדגיש כי כאשר בוחרים פתרון דלף מידע, כמו בכל פתרון, לאיכות יש משמעות ולכן מומלץ לבחור בפתרון שמתייחס למידע הארגוני האמיתי כגון תוכן קבצים, תוכן מסדי נתונים, ושיודע להבדיל בין אירועים שהינם False Positive לבין אירועים אמיתיים. על הארגון לגשת לפרויקט מתוך הבנה כי לא ניתן למנוע לחלוטין את אירועי דלף המידע בארגון, אך בהחלט ניתן לצמצם אותם לאחוזים בודדים וקבלת ROI מהיר וקל להוכחה.

DLP

אירועים קרובים