Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


12.05.2022

Odszyfrowanie historii

Z inicjatywy prezesa IPN, dr. Karola Nawrockiego, powstało Biuro Nowych Technologii. Jego...
01.04.2022

Program partnerski

NGAGEFirma NFON, ogólnoeuropejski dostawca komunikacji głosowej w chmurze, ogłosił...
01.04.2022

SI w TFI PZU

Na platformie do inwestowania inPZU działa już nowa metoda identyfikacji tożsamości...
01.04.2022

Kooperacja w chmurze

To oparta na stworzonej przez NetApp technologii ONTAP i w pełni zarządzana przez...
01.04.2022

Nowe laptopy od Dynabook

Dynabook wprowadza do swojej oferty dwa laptopy z procesorami Intel Core 12. generacji,...
01.04.2022

Ryzen do stacji roboczych

AMD przedstawił nową gamę procesorów Ryzen Threadripper PRO 5000 serii WX.
31.03.2022

Serwery dla MŚP

Firma Lenovo wprowadziła nowe rozwiązania w zakresie infrastruktury IT Future Ready,...
31.03.2022

Innowacyjny kontroler SSD

Microchip zaprezentował nowe kontrolery SSD, które umożliwią obsługę napędów o pojemności...
31.03.2022

Wydajny jak Brother

Brother dodał do swojej oferty trzy nowe, atramentowe urządzenia wielofunkcyjne, które...

Safetica ONE, czyli ochrona przed wyciekiem informacji

Data publikacji: 04-01-2022 Autor: Marcin Jurczyk

Pojęcie ochrony danych jest dość szerokim zagadnieniem, ale bez wątpienia jest to temat, któremu warto poświęcić uwagę. Ochrona przed wyciekiem informacji w połączeniu z kontrolą użytkowników to dość nośne hasła, w związku z czym postanowiliśmy przetestować rozwiązanie wspomagające administratorów w tym zakresie.

 

Dotychczas testowaliśmy zróżnicowane rozwiązania, których głównym zadaniem była szeroko rozumiana ochrona zasobów informatycznych w przedsiębiorstwie. Wśród produktów, które przewinęły się przez redakcyjny stół testowy, znaleźć można zarówno sprzęt, jak i oprogramowanie, których głównym zadaniem była ochrona zasobów firmowych na wielu poziomach, począwszy od filtrowania ruchu sieciowego, poprzez produkty do monitoringu aktywności użytkowników, na szyfrowaniu danych kończąc. Tym razem mamy do czynienia z rozwiązaniem klasy DLP (Data Loss Prevention), a więc specjalizowanym produktem, którego głównym zadaniem jest zapobieganie utracie danych. Safetica ONE to propozycja od sąsiadów zza naszej południowej granicy. Czeska firma istnieje na rynku od 2007 r. i od samego początku skupia się na zabezpieczeniu danych przed wyciekiem. Własność intelektualna, zapisy kontraktowe, poufne analizy i raporty czy chociażby baza klientów to tylko wycinek większego obszaru, który należy chronić zarówno przed świadomym, jak i nieumyślnym upublicznieniem. Sprawdźmy zatem, w jaki sposób jesteśmy w stanie kontrolować dane z wykorzystaniem Safetiki.


> ARCHITEKTURA I MOŻLIWOŚCI


Podstawowym zadaniem rozwiązań klasy DLP jest ochrona przed zagrożeniami płynącymi z wewnątrz przedsiębiorstwa, mającymi źródło na urządzeniach końcowych obsługiwanych przez użytkowników. Safetica ONE ma za zadanie pomóc przy klasyfikacji danych wrażliwych znajdujących się w plikach oraz wiadomościach mailowych, aby następnie monitorować ich przetwarzanie na podstawie reguł dopasowanych do firmowej polityki ochrony informacji. Aplikacja działa w modelu klient–serwer, przez co konieczne jest zainstalowanie dedykowanego agenta oraz klienta na chronionych urządzeniach, za pośrednictwem których możliwa jest inwentaryzacja plików oraz monitoring wszelkich aktywności na stacjach roboczych. Aplikacja agenta pozwala na komunikację z serwerem. Klient z kolei wymagany jest do zarządzania politykami na chronionych urządzeniach. Z poziomu serwera z kolei wymuszane są zdefiniowane wcześniej polityki i reguły DLP. Wszelkie informacje na temat chronionego środowiska przechowywane są w centralnej bazie danych. W przypadku Safetiki jest to Microsoft SQL, którego wersję Express wbudowano w program instalacyjny. W najprostszym scenariuszu wdrożeniowym jesteśmy w stanie zainstalować część serwerową wraz z bazą danych na pojedynczej maszynie. W bardziej złożonych implementacjach można odseparować część bazodanową od warstwy aplikacyjnej, a tam, gdzie możliwości darmowego silnika MS SQL nie wystarczą, skorzystać z wersji komercyjnej. Najnowsza oferta Safetiki składa się z trzech produktów oraz opcjonalnych modułów dodatkowych. Mowa tu o Safetica ONE Discovery, Protection oraz Enterprise, których funkcjonalność może być uzupełniona o moduły UEBA (User and Entity Behavior Analytics) oraz Mobile.


> DISCOVERY


W przypadku modułu Discovery mamy do czynienia z warstwą budowania wiedzy na temat przechowywanych danych, ich inspekcji oraz kontroli przepływu informacji wraz z analizą ryzyka na bieżąco, uzupełnioną o raporty i alarmowanie. Administrator może w prosty sposób skonfigurować zakres audytu w odniesieniu do kategorii takich jak: aplikacje, urządzenia, strony internetowe, wydruki, ruch sieciowy, wiadomości e-mail oraz pliki. Funkcję ciągłego audytu dla wybranego elementu można po prostu włączyć lub wyłączyć. W zależności od istniejącej struktury organizacyjnej ustawienia te mogą być także dziedziczone. Safetica w pełni integruje się z Active Directory, tak więc łatwo wyobrazić sobie rozbudowany scenariusz z wieloma jednostkami organizacyjnymi czy też grupami dziedziczącymi główne ustawienia z poziomu organizacji, dopasowując wybrane opcje do charakterystyki konkretnej grupy pracowników czy wręcz pojedynczych użytkowników. Za sprawą modułu Discovery dostajemy szczegółowy podgląd aktywności użytkowników w kontekście wspomnianych wyżej kategorii, dzięki czemu łatwo przeanalizować chociażby wykorzystanie poszczególnych aplikacji wraz z czasem aktywnej pracy z podziałem na użytkowników. Dane wyświetlane są zarówno w formie tabelarycznej, jak również wykresów graficznych.


Możliwa jest także łatwa agregacja danych względem dowolnej kategorii, jak np. nazwa aplikacji, komputera, lokalizacja programu czy czas jej działania. Sytuacja wygląda analogicznie w przypadku pozostałych kategorii podlegających kontroli, dostępnych w osobnych oknach menu. W ten sposób łatwo zweryfikować chociażby najczęściej wykorzystywane urządzenia zewnętrzne podpinane do komputerów, jak chociażby pamięć masowa USB czy sprzęt sparowany za pośrednictwem protokołu Bluetooth lub podłączony poprzez FireWire. Analogicznie sprawa wygląda w przypadku komunikacji e-mailowej, ruchu sieciowego czy wydruków – w każdym przypadku można łatwo prześledzić źródło, miejsce docelowe, czas, rozmiar oraz inne szczegóły charakteryzujące aktywność każdego użytkownika czy komputera.


Szczególnie ciekawy jest monitoring stron internetowych i wiadomości e-mail. W przypadku tych pierwszych bez trudu przeanalizować można najczęściej odwiedzane witryny WWW, z których część niekoniecznie musi być wykorzystywana w celach służbowych, z uwzględnieniem czasu spędzonego w każdej z nich dla wszystkich użytkowników. Analiza poczty elektronicznej pozwala z kolei sprawdzić np. rodzaj wysłanych załączników lub domeny, pomiędzy którymi odbywała się komunikacja. Moduł Discovery to doskonałe źródło informacji o tym, co się dzieje na komputerach firmowych w zakresie komunikacji elektronicznej oraz przepływu danych, dzięki czemu łatwo zidentyfikować incydenty związane z nieprzestrzeganiem wewnętrznych regulacji.


> PROTECTION


Safetica Protection rozszerza możliwości pakietu o warstwę ochronną bazującą na regułach i politykach DLP definiowanych zgodnie z wymaganiami danego przedsiębiorstwa. W tym przypadku poza funkcjami analitycznymi i czysto informacyjnymi dostępne są mechanizmy pozwalające skutecznie zablokować niedozwolone operacje, aby uniknąć przejęcia danych. Oczywiście w pierwszym etapie wdrożenia istnieje możliwość wymuszenia pracy w trybie czysto informacyjnym, jedynie ostrzegającym użytkowników o potencjalnej próbie naruszenia reguł bezpieczeństwa. W takim przypadku wymagane jest potwierdzenie przez pracownika, że dana czynność wykonywana jest w pełni świadomie wbrew obowiązującym zasadom, co ewentualnie pomoże w wyciągnięciu dalszych konsekwencji. Oczywiście możliwe jest także narzucenie twardych reguł uniemożliwiających transfer danych wrażliwych poza firmę.


Ochrona danych w module Protection opiera się na kilku elementach. Najważniejsze z nich to kategorie danych oraz reguły DLP. Oba komponenty są ze sobą ściśle powiązane. Dostępne są trzy typy polityk bezpieczeństwa DLP – ogólna, aplikacyjna oraz bazująca na klasyfikacji danych. W przypadku tej ostatniej konieczna jest wcześniejsza klasyfikacja informacji ze względu na ich rangę. Jednym z najlepszych przykładów będą dane wrażliwe, gdzie wśród kryteriów z pewnością znajdą się takie składniki jak chociażby nr dowodu osobistego, identyfikator PESEL czy chociażby numer karty kredytowej. Producent przewidział predefiniowaną listę słowników, którą z powodzeniem można rozszerzyć o własne wyrażenia regularne RegEx. Warunki można grupować w relacji AND lub OR, dzięki czemu możliwe jest precyzyjne zdefiniowanie wystąpienia dopasowania reguły. Można również zaimportować do 50 własnych słowników w formacie TXT zawierających do 500 tys. słów kluczowych.


Oczywiście możliwe jest określenie wielu polityk DLP. W tym przypadku przetwarzanie odbywa się od góry do dołu i kończy w momencie wystąpienia pierwszego dopasowania. Sama polityka może działać w czterech trybach – od tymczasowego wyłączenia, poprzez logowanie w dzienniku zdarzeń, logowanie z powiadamianiem, po logowanie z blokowaniem. Wbudowana lista reguł może dotyczyć takich elementów jak dyski chmurowe (z rozróżnieniem dla Box Sync, Dropboksa, Google Drive'a, OneDrive Personal, OneDrive Business oraz Sharepointa), przesyłanie danych do usługi hosting plików, do poczty webowej, stron internetowych, poprzez wiadomości e-mail, komunikatory (tylko dla plików), urządzenia wymienne czy chociażby schowek systemowy, zrzuty ekranowe, wydruki, a nawet operacje git push. Dostępne opcje mogą się różnić w zależności od tego, czy wybierzemy politykę ogólną, która pozwala na zarządzanie konkretnym rodzajem komunikacji – jak chociażby kopiowanie danych na urządzenia zewnętrzne – czy też politykę danych, która pozwala na bardziej granularną kontrolę.


> ENTERPRISE


Tworzenie polityk opartych na predefiniowanej liście kategorii aplikacyjnych dostępne jest w najwyższej wersji – Safetica ONE Enterprise. Poza automatyczną klasyfikacją danych ze względu na ich kategorię czy też aplikację, z której dane pochodzą, użytkownicy mogą również oznaczać pliki ręcznie, przypisując je do odpowiedniej klasy.


Poza wspomnianymi mechanizmami kategoryzacji danych i polityk DLP możliwe jest także kontrolowanie użytkowników i danych za pomocą definicji stref, stanowiących dodatkową warstwę abstrakcji w zarządzaniu przepływem informacji. W ten sposób można np. zagregować wybrane urządzenia, lokalizacje sieciowe, adresy e-mail czy IP w grupy, którymi można łatwo zarządzać za pośrednictwem reguł DLP. Mechanizm jest szczególnie przydatny w tworzeniu zaufanego środowiska pracy z przypisanymi zasobami, co do których wykorzystania jesteśmy pewni. Inne funkcje dostępne w ramach Safetica ONE Protection to zarządzanie szyfrowaniem dysków na podstawie integracji z BitLockerem.

 

[...]

 

Autor jest architektem w międzynarodowej firmie z branży IT. Zajmuje się infrastrukturą sieciowo-serwerową, wirtualizacją infrastruktury i pamięcią masową.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"