پیشگیری از دست دادن داده ها- بخش سوم

خط مشی ها، برنامه ها، تجارب و افراد

استراتژی پیشگیری از دست دادن و نشت داده حول 4 مولفه اصلی قرار دارد:

• خط مشی ها. پیش از آنکه سیستمی برای اجرای استراتژی های پیشگیری از دست دادن داده ها پیاده سازی کنید، باید تصمیم بگیرید که چه مواردی را می خواهید اجرا کنید. برخی از سازمان ها ابتدا به راه حل های نرم افزاری(Data loss Prevention (DLP نگاهی می اندازند اما اولین قدم تعیین خط مشی ها و سیاست ها است زیرا تا زمانیکه ندانید که با راه اندازی (Data loss Prevention (DLP چه موارد خاصی را می خواهید انجام دهید، ارزیابی بسته ها و راه حل های مختلف بسیار دشوار خواهد بود و نمی توانید راه حل مورد نیاز خود را به درستی انتخاب کنید.
  
• برنامه ها. نرم افزارهای پیشگیری از دست دادن و نشست داده قالب های متفاوتی دارد. برخی از تولیدکنندگان تلاش می کنند تا تمامی موارد را در یک بسته و از طریق یک راه حل کلیدی ارائه دهند. هم چنین DLP می تواند توسط پیاده سازی راه حل های مختلف در لایه های متفاوت (لبه شبکه، سرور و نقاط پایانی) انجام شود و یک استراتژی( Data loss Prevention(DLP جامع شامل تعدادی راه حل می باشد که در کنار هم کار می کنند.
  
• تجارب. می توان برای انتخاب یک راه حل( Data loss Prevention (DLP موثر برای سازمان مورد نظر از بهترین تجارب بهره برد. این تجارب به شما نشان می دهند که راه حل DLP چگونه طراحی، پیکربندی و مدیریت می شود.
  
• افراد. عامل انسانی همیشه در مسائل مربوط به امنیت حضور دارد و استراتژی پیشگیری از نشت و از دست رفتن داده نیز از این امر مستثنی نیست. این افراد شامل کاربران نهایی که به طور قانونی به داده ها دسترسی دارند، کاربران غیرمجاز که به داده ها دسترسی یافتند (شامل مهاجمان داخلی و خارجی) و سایر متخصصان امنیت و ادمین های شبکه که وظیفه حفاظت از داده ها را برعهده دارند و هم چنین مدیر سازمان و مدیران اجرایی و شاید مدیرانی که در سازمان تصمیم گیر هستند و تصمیمات آن ها بر روی استراتژی پیشگیری از دست رفتن داده ها(DLP )تاثیر گذار است می شود.

حال هر یک از این مولفه ها با جزئیات بیشتر تشریح می شود.

• خط مشی ها: اساس استراتژی(Data loss Prevention (DLP
• طراحی خط مشی های پیشگیری از دست دادن داده ها(Data loss Prevention (DLP یک فرآیند دو بخشی است که شامل تصمیم گیری در خصوص قوانین شناسایی اطلاعات حساس و پیاده سازی کنترل هایی برای حفاظت از این اطلاعات می باشد.

به عنوان مثال، ممکن است بخواهید انواع اطلاعات زیر به عنوان اطلاعات شخصی/حساس شناسایی شوند:

• شماره های کد ملی
• شماره های گواهینامه
• شماره های پاسپورت
• شماره سریال دفترچه بیمه
• شماره کارت اعتباری
• شماره حساب مالیاتی
• شماره حساب بانکی
• آدرس های IP

تعدادی کمی از اطلاعات عددی وجود دارد که به عنوان داده های شخصی حساس در نظر گرفته می شود در نتیجه باید نقل و انتقال این اطلاعات را به بیرون از شبکه محدود کرده و بر آن ها نظارت داشت. می توان با استفاده از نرم افزارهای DLP این اطلاعات را شناسایی کرد و از رشته داده های غیرحساس دیگر تشخیص داد.

برنامه ها: تشخیص و حفاظت
یک راه حل خوب DLP شامل نرم افزاری است که می تواند داده ها را به منظور یافتن الگوهای تشخیصی بررسی کند و انواع اطلاعاتی که نیاز به نظارت دارند را از بین رشته اطلاعات تشخیص داده و بر آن ها نظارت داشته باشد. این امر در دو حالت قابل استفاده خواهد بود:

• حالت نظارت و هشدار. نرم افزار داده های حساسی که در معرض خطر افشاء قرار دارند را اسکن می کند و هشدار می دهد.
  
• حالت اجرایی. نرم افزار قوانینی که شما برای مسدود نمودن یا حذف اطلاعات حساس (که به صورت غیرقانونی ارسال شده و یا به اشتراک گذارده شده اند) مشخص کرده اید را اعمال می کند.

نرم افزارها از راه های مختلفی می توانند اطلاعات حساس را شناسایی کنند. قوانین شناسایی اطلاعات تعریف شده ای مانند شماره کارت ملی آسان می باشد. اما شناسایی انواع داده های خاص مانند اظهارات مالی شرکت بسیار دشوار است. نرم افزارهایی وجود دارد که می تواند کل یک سند را ارزیابی کرده و مجموعه ای از الگوها را بررسی نماید.
یک نرم افزار خوب DLP به شما اجازه می دهد تا انواع اطلاعات حساس تعبیه شده را شخصی سازی کنید. این مساله به شما اجازه می دهد تا خط مشی های خاص سازمان یا قوانین خاص رگولاتوری را اعمال نمایید. بسته به نرم افزار DLP، نوشتن و اعمال خط مشی های سازمان ممکن است نیازمند داشتن مهارت های برنامه نویسی باشد.
نرم افزار DLP باید بتواند انواع مختلف داده ها را در مکان های متفاوتی که در بخش اول مقاله شرح داده شد اسکن و فهرست کند. اگر سازمانی برخی یا تمامی اطلاعاتش را در ابر ذخیره کرده باشد، راه حل DLP باید قادر باشد تا اطلاعات حساس را در سیستم محلی و ابر شناسایی و حفاظت کند. وب سایت ها و ایمیل ها متداول ترین مکان های هدف حمله برای نشت و از دست رفتن اطلاعات می باشند.
یکی از مشکلاتی که کار نرم افزارهای DLP را بسیار دشوار می کند آن است که امروزه با وجود دستگاه های BYOD و سرویس های ابر، زندگی خصوصی و کاری کارمندان به هم گره خورده است. بسیاری از کارمندان از حساب های ایمیلی یکسانی برای کارهای خصوصی خود و کارهای شرکت استفاده می کنند. وجود ایمیل های وبی مانند جیمیل، یاهو یا هاتمیل کار نرم افزارهای DLP را دشوار کرده است.
نرم افزار DLP باید قادر باشد تا اطلاعات حساس ارسالی از طریق پورت های SMTP، HTTP، HTTPS، NNTP، FTP، IM و پورت های خاص دیگری که ممکن است مورد استفاده قرار بگیرند را شناسایی کند. یک نرم افزار DLP خوب می تواند ارسال پیام های حاوی اطلاعات حساس به وب سایت ها را مسدود کرده یا اطلاعات حساس را از روی وب سایت ها حذف نماید.
امروزه در محیط های کاری، شناسایی و حفاظت کافی نیست. نرم افزارهای DLP باید قادر باشند تا از عملکرد سازمان و رویدادهای به وقوع پیوسته گزارش گیری کنند. ثبت و قایع و گزارش گیری یکی از مهم ترین ویژگی های نرم افزارهای امنیتی است. متخصصان سازمان باید قادر باشند تا گزارش را با فرمت های متفاوت مشاهده کرده و رخدادها و ریسک های برطرف شده را بازبینی کنند.
در نهایت برای عملکرد و حفاظت بهینه، نرم افزار(Data loss Prevention (DLP باید با سایر راه حل های امنیتی یکپارچه شود. به عنوان مثال این نرم افزار باید بتواند با نرم افزار پشتیبان گیری یکپارچه شده و داده های حساس موجود در داده های پشتیبان را اسکن کند.