Implementace technologie pro monitorování aktivit uživatelů a sítě může přinést překvapivá zjištění. Náš nástroj pro správu událostí a incidentů (SIEM) nám nečekaně oznámil rozsáhlé zamoření sítě.
Když jsme kdysi nasadili systémy detekce a prevence incidentů v naší bráně firewall, ohromil nás počet pokusů o prolomení směřujících na naše prostředky připojené do internetu. A když jsme implementovali síťově založený nástroj ochrany před únikem dat (DLP), zažili jsme něco obdobného.
Během několika dnů provozu jsme objevili celou řadu dat unikajících z naší společnosti a dokonce jsme odhalili nelegální aktivity (zaměstnanec domlouvající se s někým mimo firmu na spáchání trestného činu).
Síťové řešení DLP tedy přináší výhody, ale má své problémy. Zaprvé můžeme monitorovat síťový provoz pouze v místech, kde jsme nainstalovali monitor sítě.
Naše společnost má více než 60 poboček po celém světě, a dokud nezměníme architekturu sítě, bude mít každá tato pobočka své vlastní připojení do internetu, což znamená, že bychom museli nasadit 60 senzorů a nakonfigurovat 60 přepínačů. To je logistická noční můra.
Zadruhé bez složitých konfigurací proxy na každé vzdálené pobočce nemůžeme monitorovat šifrovaný síťový provoz. Nelze monitorovat internetový provoz zaměstnanců, kteří jsou mimo síť (řekněme v důsledku práce na dálku), pokud nejsou připojení přes síť VPN.
DLP pro koncové body
Abychom toto vše a řadu dalšího vyřešili, rozhodli jsme se spustit pilotní projekt řešení DLP pro koncové body.
DLP pro koncové body má některé nevýhody. Například na rozdíl od síťového DLP neumožňuje kontrolovat složité shody indexů dat. Jejich prostřednictvím můžete v systému DLP definovat, jaké texty dokumentů považujete za citlivé.
Když potom uživatel zkopíruje i jen pár řádků z identifikovaného dokumentu a vloží je do jiného dokumentu nebo je pošle e-mailem, systém DLP takovou aktivitu zjistí, zablokuje ji nebo pošle upozornění. Tato úroveň detekce není u DLP pro koncové body zcela k dispozici.
DLP pro koncové body ale nabízí několik výhod. Zaprvé řeší problém šifrované komunikace, protože monitoruje aktivity ještě před použitím kódování. Funguje také i v situaci, když se uživatel dostane mimo síť. Dokáže rovněž zaznamenat případ zkopírování dat na externí médium, například na USB flash disk.
Pilotní projekt nasazení DLP pro koncové body zahrnuje cca 200 osob našeho IT personálu z celého světa. Po počátečním vyladění byly výsledky téměř okamžité. Během několika hodin jsme viděli, jak IT inženýr vyšší úrovně zkopíroval obrovské množství citlivých konfiguračních souborů Active Directory a adresářů zaměstnanců na externí USB disk. Celkem zkopíroval cca 3 GB dat včetně 2 GB archivovaných e-mailů.
Týmová práce
To vypadalo dostatečně podezřele, ale skutečný přínos vznikl díky tomu, že se síťové DLP a DLP koncových bodů vzájemně doplňují. Stejného IT inženýra označil i náš síťový systém DLP, když na něj upozornil na základě pravidla „opouštím firmu“.
Tato zásada dává systému pokyn hledat libovolnou komunikaci, ze které by mohlo být patrné, že nějaká osoba plánuje opustit společnost. Tomuto oznámení bychom zřejmě nevěnovali dostatečnou pozornost, pokud by nás systém DLP pro koncové body neupozornil na kopírování dat.
Promluvili jsme tedy s dotyčným inženýrem, on nám dal USB disk a personální oddělení mu důrazně připomnělo dohodu o mlčenlivosti, kterou podepsal.
Samozřejmě že použijeme případ odcházejícího IT inženýra při naší obhajobě vhodnosti globálního nasazení DLP pro koncové body, jakmile to bude možné.
Pokud dostaneme zelenou, uděláme hodně úprav, aby se snížilo množství falešných poplachů a nedocházelo ke sledování osobních aktivit zahrnujících finance a zdraví.
Vypadá to tedy, že získáme opět spoustu překvapivých informací – tentokrát od systému DLP pro koncové body.
Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.
Tento příspěvek vyšel v Computerworldu 3/2015.