روش‌های توسعه DLP

روش‌های توسعه DLP

در یک سناریو معقول DLP، مدیر ارشد امور مالی به‌سختی در مورد مزایا DLP قانع می‌شود و ممکن است این مسئله محدود به برخی از بخش‌های سازمان (مالی، مدیریت و امنیت) باشد. یک سازمان فرضی ممکن است به دنبال روشی کم‌هزینه و برای پیاده‌سازی DLP در 50 شعبه خود در سراسر دنیا باشد.
در این سناریو کشف مسائل امنیتی در ایمیل‌ها سرمایه‌گذاری در DPL را توجیه‌پذیر می‌کند. باوجوداین چالش احتمال کشف موارد فاش اطلاعات حساس عمدی و غیرعمدی بالا می‌رود و ممکن است به اخراج و یا اعمال قانون بر کارمندان خلاف‌کار ختم شود. حتی ممکن است که این فعالیت‌ها جرائم شناخته شوند. راه‌حل DPL باید در این مرحله اجرا شود و ملاحظاتی در به‌کارگیری آن به شرح ذیل وجود دارد.
بهترین روش کار برای اجرای DLP معماری شبکه‌ای است که در آن تمام ترافیک “اینترانت به سایت‌های بیرونی” از طریق انتقال ترافیک MPLS به نود انجام شود. این کار اجازه می‌دهد تا ترافیک شبکه در تمامی دفاتر راه دور با 3 یا 4 حس‌گر مانیتور شود و هر دفتر راه دور از ارائه‌دهندگان خدمات اینترنت خود استفاده کند.
در این سناریو ما دو انتخاب برای مانیتور کردن ترافیک اینترنت خروجی از سازمان داریم. اولین انتخاب نصب حس‌گرهای شبکه DLP در محل هر دفتر (یا نصب سرورهای مجازی در تمامی دفاتر راه دور) می‌باشد. مشکل این روش این است که visibility بر عملکرد کاربر پس از بیرون رفتن لپ‌تاپ از شبکه وجود ندارد. روش دوم Endpoint DLP است که پاسخگوی فقط مشکل endpoint است.
این قاعده جالب است. با نصب یک Agent سبک‌وزن بر روی هر سیستم از طریق Group policy یا نرم‌افزار می‌توان پوششی مناسب از کل سازمان را به دست آورد. در عمل Endpoint DLP از network DLP ضعیف‌تر عمل می‌کند.
درواقع DLP بر content matching و index matching تکیه می‌کند. Content matching مواردی را مانند لغات کلیدی، شماره‌های امنیت اجتماعی و کارت‌های اعتباری و دیگر اصطلاحات قابل‌شناسایی را مانیتور می‌کند. بسیاری از دیواره‌های آتش، gateway های ایمیل و دیگر ارائه‌دهندگان پراکسی این عملکرد را ارائه می‌دهند.
Index matching امری عمیق‌تر است و ارزش واقعی تکنولوژی DLP را نشان می‌دهد. در زمان شناسایی یک مستند در زیر ساختار DLP که باید از آن محافظت شود، محاسبات پیچیده‌ای روی آن صورت می‌گیرد. سپس اگر حتی یک بخش کوچک از آن مستند فاش شود یا نشت کند، زیر ساختار DPL آنرا به‌عنوان یک مستند قبلی شناسایی می‌کند. حتی اگرچند خط source code از آن مستند به داخل یک ایمیل راه پیدا کند و از شبکه بیرون فرستاده شود، تکنولوژی matching DLP Index آنرا به‌عنوان مستند محافظت‌شده، حتی در میان 10000 خط source رمز ثبت‌شده، شناسایی می‌کند.
این موارد به‌راحتی و بدون مشکل با network DLP کار می‌کند اما اگر همین کار را با Endpoint DLP بخواهید انجام دهید با مشکلات عملکردی و مقیاس‌پذیری روبه‌رو خواهید شد. دلیل این است که agent های نصب‌شده بر روی هر سیستم باید با سرور مرکزی ارتباط برقرار کنند و مشخص شود که آیا داده‌های ارسالی قسمتی از یک مستند تائید شده است یا خیر.
دو راه وجود دارد. بکار گیری حس‌گرهای شبکه در تمامی دفاتر راه دور یا قبول کردن کاهش عملکرد و نصب Endpoint DLP.