Víte, co odchází z vaší sítě

Není to obvykle provoz, který do firemní sítě vchází, kvůli čemu bývají bezpečnostní manažeři značně znepokoj...


Není to obvykle provoz, který do firemní sítě vchází, kvůli čemu bývají
bezpečnostní manažeři značně znepokojeni. Je to spíše ten, jenž vychází ven.
Pro řadu těchto pracovníků je totiž prioritou zamezit úniku citlivých
zákaznických dat nebo proprietárních informací.

Problémem přitom není jen obsah e-mailových zpráv, ale i exploze alternativních
komunikačních mechanismů, jež zaměstnanci používají, včetně instant messagingu,
blogů, FTP přenosů, webových e-mailu či jiných boardů. "Už nestačí jednoduše
monitorovat e-mail," říká Gene Fredriksen, CSO (Chief Security Officer)
společnosti Raymond James Financial, která se zabývá obchodováním s cennými
papíry.
"Musíme se vyvíjet a měnit stejnou rychlostí, jako náš byznys," vysvětluje.
"Novinky přicházejí mnohem rychleji."
Proto Fredriksen zavádí síťový systém pro monitoring a kontrolu obsahu
odchozích paketů. Software společnosti Vontu je umístěn v síti a monitoruje
provoz téměř stejným způsobem, jako činí síťový intrusion-detection system.
Avšak namísto toho, aby se soustředil na příchozí provoz, monitoruje Vontu
síťovou aktivitu, která vychází od 16 tisíc zaměstnanců firmy Raymond James.
Prověřuje obsah každého síťového paketu v reálném čase a vydává varování, když
jsou nalezena porušení některých stanovených politik. Fredriksen by jej mohl
nakonfigurovat také tak, aby příslušný systém tento provoz blokoval, avšak
použít tuto funkci hned na začátku neplánuje.
Na rozdíl od bezpečnostních nástrojů, jež chrání specifické aplikace, jako je
e-mail nebo instant messaging, využívají síťové nástroje pro monitoring a
kontrolu obsahu širší přístup, přičemž prověřují veškerý provoz, který
překračuje hranici sítě. Nástroje, jako jsou například e-mailové filtry, se
zaměřují na jednu část skládačky zabezpečení obsahu teprve nedávno se ale
začaly soustřeďovat i na odchozí provoz.
Naproti tomu síťové produkty, aby byly schopny identifikovat a blokovat
odesílání chráněného obsahu, nabízejí sofistikovanější techniky lingvistické
analýzy.
Síťové systémy dělají mnohem více, než aby pouze na základě pravidel hledaly
čísla sociálního pojištění nebo další snadno identifikovatelný obsah. Typicky
analyzují citlivé dokumenty a typy obsahu a generují pro každý z nich unikátní
"otisk". Administrátoři potom ustanovují politiky vztahující se k tomuto
obsahu, přičemž systém, aby identifikoval citlivá data a vynucoval tyto
politiky při tom, jak se informace přesouvají v rámci firemní LAN, využívá
lingvistickou analýzu. Systémy mohou detekovat jak kompletní dokumenty, tak i
"odvozené dokumenty", jako jsou třeba zprávy instant messagingu, do nichž
uživatel vložil fragment příslušného dokumentu.
Většina nástrojů nabízí přednastavené moduly shody, které ihned po instalaci
detekují specifické typy citlivých dat. Ty pokrývají oblasti sahající od
sexuálního obtěžování a narušování soukromí až po shodu s vládními předpisy.
Nástroje jsou navrženy pro použití i netechnickým personálem, jako jsou
zaměstnanci právních, kontrolních nebo HR oddělení. Existuje zde však jedna
potíž: Nejsou schopny identifikovat šifrovaný obsah. Organizace tak musejí
přehodnotit obchodní procesy, v nichž je šifrování využíváno a vyvinout
politiky, které povolují přesun šifrovaných dat v rámci předem daných
souvislostech.

Širší trend
Síťově orientované produkty, jež Brian Burke, analytik společnosti IDC,
označuje jako multiprotokolové nástroje pro filtrování obsahu, jsou součástí
širší kategorie produktů pro kontrolu odchozího obsahu. Tato řada zahrnuje
e-mailové filtry, zabezpečený e-mailové systémy, nástroje pro ochranu instant
messagingu či správu podnikových práv. Zatímco IDC očekává, že celkový trh s
těmito řešeními vzroste do roku 2009 až na hodnotu 1,9 miliardy dolarů,
nejrychleji rostoucím segmentem zřejmě bude multiprotokolové filtrování obsahu,
jež bude během následujících čtyř let dosahovat průměrného ročního nárůstu 70
%, jak říká Burke.
Tento růst je důsledkem obav o ochranu soukromí a potřebou vyhovět takovým
zákonným předpisům, jako jsou Sarbanes-Oxleyův zákon či HIPAA (Health Insurance
Portability and Accountability Act). "Vynucování těchto politik regulačními
orgány je na vzestupu," říká Trent Henry, analytik společnosti Burton Group.
Zatímco síťové nástroje pro monitorování obsahu jsou zde už několik let, až
donedávna většina výrobců nabízela pouze funkce monitoringu a varovných
hlášení. Nyní ale většina z nich přidala i možnosti blokování provozu v reálném
čase, tedy funkci, s níž některé z firem experimentují, avšak většina z nich ji
zatím nevyužívá. Někteří dodavatelé, včetně například společnosti Tablu,
zařadili do nabídky rovněž produkty, které monitorují také obsah, který spočívá
"v klidu" na jednotlivých pracovních stanicích zaměstnanců.
Firma Fidelity Bancshares funkci blokování zpráv obsaženou v produktu
PortAuthority společnosti PortAuthority Technologies už používá. Odchozí
e-mailové zprávy, jež obsahují čísla sociálního pojištění, čísla účtů či úvěrů
nebo jiná osobní finanční data, jsou zachyceny a vráceny zpět uživateli spolu s
instrukcemi o tom, jak e-maily posílat bezpečně.
Joe Cormier, viceprezident síťových služeb, říká, že jejich firma využívá
systém PortAuthority také k tomu, aby zachytil "neopatrné" odpovědi. Zákazníci
často posílají dotazy a vkládají do nich čísla svých účtů. "Zákaznická služba
by jinak odpověděla bez modifikace původního e-mailu," říká.
Hlavním důvodem, proč Fredriksen začal v produktu Vontu používat nejprve jen
functionalitu monitoringu, je strach z falešných pozitivních nálezů.
Minimalizace falešných pozitivních nálezů vyžaduje vyladění systému, zkoumání
příčin těchto falešných nálezů a vyvinout politik, díky nimž bude možné si s
nimi poradit nebo se jim vyhnout. Fredriksen ale varuje, že samotná technologie
nebude úspěšná, pokud firma, která ji používá, nemá také dobře definovanou
politiku pro zpracování citlivých dat (stejně jako plán odezvy).
"Každý systém jako tento je cenný jen do té míry, do jaké máte zpracovány
procedury pro zmírnění rizik, které používáte v back-endu," říká. Dalším klíčem
k úspěchu je podle Fredriksena vzdělávání uživatelů zaměřené na problematiku
monitoringu, aby se firma vyhnula tomu, že bude zaměstnanci vnímán jako "Velký
bratr". "Ujišťujeme se, že uživatelé rozumějí tomu, proč implementujeme
systémy, jako jsou tyto, a k čemu jsou využívány," říká.
Henry navíc uvádí, že blokování v reálném čase by mohlo způsobit zpomalení
sítě, neboť veškerý provoz musí být směrován přes příslušné zařízení ještě před
tím, než je odeslán na místo určení. Prozatím, říká, se většina organizací, jež
blokování využívají, vyhýbá problémům s výkonem tím, že jej používá pouze na
perimetru sítě, kde je šířka pásma významně nižší, nikoliv uvnitř v jádru sítě.

Problémem i e-mail
Cormier se zase soustřeďuje na e-mail veškerý provoz FTP, webového e-mailu a
instant messagingu je zakázán takže může funkci blokování aktivovat bez toho,
aby si musel dělat starosti s výkonem. Říká ale, že falešné pozitivní nálezy
byly pro firmu Fidelity Bancshares problémem, neboť některá čísla účtů jsou
shodná s legitimními kódy PSČ nebo s telefonními čísly. Tvorba výjimek by však
způsobila zranitelnost pro taková čísla účtů, takže uživatelé byli vyškoleni,
aby při komunikaci s těmito informacemi posílali spíše zabezpečené zprávy.
Mark Rizzo, viceprezident ve společnosti Perpetual Entertainment, ve svém
předchozím zaměstnání poznal, jaké následky může mít, když není intelektuální
vlastnictví chráněno. "Pozoroval jsem, jak věci mizely a pak se objevovaly u
konkurentů," říká. Start-up zabývající se vývojem on-line her nasadil za účelem
řešení tohoto problému systém Content Alarm společnosti Tablu. Rizzo jej
používá k tomu, aby vyhledával podezřelé aktivity, jako jsou velké soubory
přesouvané ven ve firemní LAN. Nyní, když byly nastaveny základní pravidla a
politiky, systém nevyžaduje příliš mnoho další údržby, jak říká. Rizzo však
dodává, že nepoužívá funkci blokování, protože by musel tvorbou politik, aby se
vyhnul falešným pozitivním nálezům, strávit značné množství času.
Zatímco firmy ve vysoce regulovaných odvětvích mohou investice do nástrojů pro
monitoring a blokování obsahu ospravedlnit, jiné organizace se budou možná
muset zamyslet, jak náklady na ně obhájit. "Jde o řešení, jejichž nasazení je
velmi drahé," říká Henry.
Fredriksen, který vybudoval systém pro podporu 16 000 uživatelů, říká, že u
konfigurací s okolo 20 000 lidmi "se snadno dostanete na 200 000 dolarů".
"Ceny sahají od 6 do 40 dolarů na uživatele v závislosti na velikosti
implementace," říká Burke. Nicméně firmy v méně regulovaných segmentech se o
tato řešení i navzdory vysokým nákladům stále více zajímají. Důvod: Jsou si
vědomy, že následky ztráty intelektuálního vlastnictví, uvolnění informací o
zákaznících nebo nepatřičného úniku finančních dat mohou být velmi hrozivé.

Načasování je správné
Trhu v současnosti dominují spíše menší hráči, avšak na kolbiště vstupují i
další výrobci. Například společnosti CipherTrust a Proofpoint Systéme, které
prodávají produkty pro filtrování obsahu e-mailů, už, jak říká Burke, oznámily
nové produkty. "Jakákoliv oblast, která každoročně vzroste o 70 %, bude
etablované hráče na poli bezpečnosti přitahovat," říká.
Takže měli byste s nákupem počkat? Není to nutné, myslí si Burke. "Mnohé
organizace nechtějí nakupovat různé jednoúčelové produkty, aby chránily každý
komunikační kanál," dodává.
"Použití aplikačně specifických nástrojů nicméně není nutně špatnou myšlenkou,
obzvláště pokud už vaše organizace nějaké má," říká Henry. Potřeba
multiprotokolových nástrojů pro filtrování obsahu může být zčásti zmírněna
existujícími bezpečnostními mechanismy. Uživatelé, kteří už zavedli filtrování
obsahu odchozích e-mailů, blokování adres URL či kontrolu instant messagingu,
už nějakou úroveň ochrany mají, i když takové nástroje obvykle neprovádějí na
stejné úrovni i lingvistickou analýzu.
Rovněž byste měli zvážit pravděpodobnost konfliktů s dalšími bezpečnostními
nástroji. Síťový software pro monitoring obsahu může detekovat šifrované
soubory a interpretovat je v nějakém kontextu, není ale schopen přečíst jejich
obsah. Tím vzniká rozpor s dalšími nástroji pro správu odchozího obsahu, které
dokumenty šifrují, jako jsou aplikace pro zabezpečení e-mailů či software pro
podnikovou správu autorských práv, jak popisuje Henry.
Fredriksen dodává, že ačkoliv je pro něj Vontu důležitým řešením, stále jde jen
o jednu část větší strategie, která zahrnuje rozsáhlou sadu kontrolních
mechanismů, jež firma Raymond James používá pro boj s vnitřními hrozbami. "Ta
rozšiřuje ochranu pomocí našich intrusion-detection systémů a firewallů, které
kontrolují a blokují specifické porty," říká. "Jde ale jenom o jednu část. Není
to zlatý grál."


Zablokujte výměny nelegálního obsahu
Zatímco většina organizací zvažuje použití síťových nástrojů pro monitoring
odchozího obsahu, aby vyhověla požadavkům regulatorních opatření, systémy mohou
rovněž pomoci detekovat šíření závadného nebo nelegálního obsahu. V realitní
agentuře Prudential Americana Group byla problémem výměna ilegálních souborů na
osobních počítačích pracovníků.
"Byly na nás podány stížnosti společnostmi Columbia, 20th Century Fox a
několika dalšími za to, že lidé kradli filmy a používali za tímto účelem naše
sítě," říká ředitel IT Tom Araujo. Nicméně Araujo nemůže zamknout nebo jinak
ovládat PC uživatelů, neboť jeho společnost potřebné vybavení nevlastní. "Při
způsobu, jakým fungujeme, máme z 99 % nezávislé smluvní partnery," říká.
Používá tedy systém PacketSure společnosti Palisade Systems k tomu, aby mohl
monitorovat a blokovat výměnu souborů a další nepatřičný provoz na PC jejich 1
684 uživatelů. Díky vyladění systému PacketSure tak Araujo eliminoval provoz
spojený s populárními programy pro sdílení souborů, jako jsou Grokster a Kazaa.
Prudential rovněž blokuje veškerá čísla kreditních karet a sociálního pojištění.
Nicméně Araujo musí být opatrný, aby se příliš horlivé používání těchto
nástrojů nedotklo byznysu. "Nemám vůbec tušení, odkud je aktivováno spojení
mezi našimi spolupracovníky," vysvětluje. Avšak krádežím v pracovní době je
třeba říci jednoznačné ne. "Nemohu kontrolovat, co naši partneři dělají ve svém
volném čase, je však problém, když v pracovní době stahují legrační domácí
videa nebo sdílejí informace, které s obchodem nesouvisejí."

Obě stránky nástrojů pro filtrování obsahu
Klady
ĘMohou detekovat a blokovat šíření citlivých informací začleněných do zpráv
instant messagingu, webového e-mailu, FTP uploadů či jiných aplikací v době,
kdy příslušný datový provoz překračuje hranice firemní sítě.
Poté, co jsou nasazeny a nakonfigurovány, vyžadují jen malou údržbu.
Techniky lingvistické analýzy dovolují detekovat citlivý obsah dokonce i tehdy,
pokud je posílána jen jejich část.
Mohou být obsluhovány i netechnickým personálem, jako jsou zaměstnanci z
oddělení lidských zdrojů nebo právního oddělení

Zápory
Nákup a instalace mohou být nákladné.
Blokování v reálném čase vyžaduje in-line monitoring síťových paketů, který by
tak mohl vytvářet úzké hrdlo.
Funkce blokování může generovat i falešné pozitivní nálezy.
Je nezbytné vzdělávání zaměstnanců, aby se firma vyhnula tomu, že bude
monitorovací aktivita vnímána jako obdoba Velkého bratra.
Není možné identifikovat obsah vložený v šifrovaných souborech.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.