Gửi lúc: 19/12/2011 15:02:34
Bookmark and Share

Giải pháp ngăn ngừa mất mát, rò rỉ thông tin

Các tổ chức, doanh nghiệp (TC/DN) có rất nhiều loại hình thông tin cần được bảo vệ chặt chẽ như thông tin khách hàng, bí mật công nghệ, chiến lược phát triển kinh doanh, hay các tin tức nhạy cảm khác,… Những thông tin/dữ liệu này nếu để lộ/lọt ra ngoài có thể gây các hậu quả nghiệm trọng đối với TC/DN. Bài này sẽ giới thiệu DLP (Data Leak/Loss Prevention) là một giải pháp ngăn ngừa mất mát/rò rỉ thông tin nhạy cảm, bí mật của TC/DN.

Các nguy cơ rò rỉ thông tin
Theo các nghiên cứu về an ninh, an toàn thông tin (ANATTT) hiện ngay, các nguy cơ về ANATTT đang có xu hướng chuyển từ tấn công vào hạ tầng mạng của TC/DN để phá hoại, làm mất uy tín..., sang đánh cắp thông tin tài khoản cá nhân để trục lợi. Trong TC/DN, thông tin nhạy cảm có thể được lưu trữ và nằm rải rác ở nhiều bộ phận và do vô tình hay cố ý mà thông tin có thể bị rò rỉ, phát tán qua nhiều con đường như:
- Gửi nhầm nội dung hoặc upload file chứa thông tin nhạy cảm ra ngoài qua các hộp thư cá nhân như Yahoo, Gmail, khi chia sẻ file, qua trang web cá nhân, trang xã hội, blog,...
- Các phần mềm gián điệp, virus, mã độc hại,... tự động ăn cắp thông tin và gửi ra ngoài mà người dùng không hay biết....

Giải pháp ngăn ngừa mất mát/rò rỉ thông tin DLP
Hiện nay, có ba phương pháp giúp giảm nguy cơ thất thoát thông tin, tuy nhiên cần phải hiểu rõ 3 phương pháp đó trước khi đưa ra quyết định là làm thế nào để có hiệu quả nhất, đỡ tốn kém và dễ triển khai, trong khi vẫn đảm bảo các yêu cầu về tính bảo mật. Ba phương pháp đó là:


Data-in-Motion: là phương pháp phát hiện và kiểm soát thông tin lưu chuyển trên mạng như qua mail, web,... phương pháp này còn được gọi là ngăn ngừa mức mạng (Network-based DLP).
Ưu điểm: phạm vi kiểm soát thông tin rộng, từ tất cả các máy bên trong gửi ra bên ngoài,  chính sách kiểm soát thống nhất tại mạng vành đai (giữa mạng nội bộ - LAN và mạng công cộng - Internet), triển khai đơn giản, không đòi hỏi cài đặt các phần mềm trên các máy trạm, máy chủ.
Nhược điểm: không kiểm soát được việc copy, in,... các thông tin từ máy trạm, máy chủ.
Data-in-Use: là phương pháp phát hiện vàkiểm soát dữ liệu trên máy trạm, máy chủ như copy ra USB, ghi CD/DVD, in trên giấy,... Phương pháp này còn được gọi là ngăn ngừa tại các điểm đầu cuối (Endpoint DLP).
Ưu điểm: Phạm vi kiểm soát thông tin với mọi hành động của người dùng (in, sao chép, gửi thông tin qua mạng).
Nhược điểm: Chính sách được thiết lập phân tán trên các máy đầu cuối dẫn tới có máy không được áp dụng chính sách và/hoặc để giảm thiểu chi phí cho bản quyền, chi phí bảo trì nên khách hàng thường không mua đầy đủ license cho toàn bộ các máy trạm, máy chủ; không kiểm soát được đối với các máy không cài phần mềm, phần mềm không tương thích, phần mềm bị cố tình làm vô hiệu...; triển khai phức tạp vì phải cài đặt, cấu hình phần mềm trên các máy trạm, máy chủ,...
Data-at-Rest: là phương pháp phát hiện sự tồn tại của dữ liệu nhạy cảm nằm trong các máy trạm, máy chủ, ổ đĩa cứng, thiết bị đầu cuối,... việc thực thi các chính sách ngăn ngừa mất mát dữ liệu không phải là một kết quả trực tiếp của Data- at- Rest DLP. Các thông tin thu thập được qua Data- at- Rest DLP có thể được sử dụng để đưa ra một kế hoạch hành động nhằm làm giảm nguy cơ mất dữ liệu.
Ưu điểm:Phạm vi phát hiện sự tồn tại của dữ liệu nhạy cảm khi thực hiện quét các vị trí được chỉ ra.
Nhược điểm:Phát hiện sự tồn tại của dữ liệu nhạy cảm, nhưng không thực hiện được các chính sách ngăn ngừa thất thoát dữ liệu; thực hiện quét với phần mềm (Agent) thường trú, hoặc phần mềm tạm thời khiến tiêu tốn tài nguyên của các hệ thống bị quét.



Mỗi phương pháp ngăn ngừa rò rỉ/mất mát thông tin có các ưu điểm, nhược điểm khác nhau, nhưng phương pháp ngăn ngừa tại mức mạng (Network- based DLP hay Data- in-Motion) mang lại hiệu quả cao với thời gian triển khai nhanh, phạm vi kiểm soát lớn, kiểm soát tại vị trí thích hợp và ít tác động tới người dùng cuối. Tuy nhiên, đối với hệ thống đòi hỏi mức độ ngăn ngừa cao thì việc kết hợp cả ba phương pháp trên là cần thiết.



Những suy nghĩ sai lầm về vấn đề thất thoát thông tin/dữ liệu
Một số suy nghĩ chưa chính xác về vấn đề ATTT dữ liệu phổ biến như sau:
-  Nhiều người cho rằng TC/DN của mình đã trang bị nhiều giải pháp an ninh bảo mật như tường lửa, chống virus, chống xâm nhập,... nên có thể ngăn ngừa thất thoát thông tin rồi. Các giải pháp an ninh truyền thống như firewall, IPS, Anti- virus,... giúp nhận diện và ngăn ngừa các tấn công, mã độc hại,... nhưng các giải pháp này không phân biệt được dữ liệu nào là nhạy cảm, dữ liệu nào cần bảo vệ.
-  Triển khai giải pháp DLP rất phức tạp, tốn nhiều thời gian và chi phí. Tùy theo mức độ bảo mật thông tin mà tổ chức yêu cầu, có thể lựa chọn triển khai một trong 3 phương pháp kể trên, hoặc triển khai kết hợp cả 3 phương pháp. Việc triển khai phương pháp Network- based DLP tương đối đơn giản, chi phí không quá cao mà đáp ứng các yêu cầu về bảo mật thông tin
theo các tiêu chuẩn như HIPAA, PCI- DSS, SOX,....
-  Đã triển khai DLP thì nhất thiết phải triển khai cả 3 phương pháp. Tùy theo yêu cầu về bảo mật thông tin, có thể lựa chọn phương pháp Network- based DLP (Data- in- Motion) để loại bỏ các hành động vô tình, cố tình gửi các thông tin ra bên ngoài, gửi thông tin cho sai người nhận,... hoặc lựa chọn giải pháp Endpoint DLP (Data- in- Use) để ngăn chặn việc in, copy các thông tin trên các thiết bị đầu cuối.
-  Giải pháp DLP giúp ngăn ngừa tối đa các nguy cơ thất thoát thông tin khi thiết lập chính xác chính sách đối với các loại thông tin và người được quyền sử dụng thông tin. Một số giải pháp Network- based DLP chỉ có khả năng nhận diện và phát hiện các thông tin nhạy cảm/mật được gửi đi, tuy nhiên lại không có khả năng ngăn chặn tức thời các thông tin đó, mà đòi hỏi phải kết hợp với các giải pháp an ninh bảo mật khác.

 Giải pháp DLP của Check Point
Check Point bổ sung vào bộ giải pháp an ninh bảo mật của mình giải pháp Network-based DLP (Data- in- Motion) theo cách tiếp cận mới với các công nghệ nổi bật:
- MultiSpectTM: nhận diện 250 kiểu dữ liệu, 600 định dạng file, nhận diện qua từ khóa, qua biểu mẫu (form),... cho phép học/định nghĩa các kiểu dữ liệu mới, nhận diện các thông tin tiếng Việt và nhiều ngôn ngữ khác nhau.
-  Cho phép ngăn chặn tức thời các nguy cơ thất thoát thông tin.
- UserCheckTM: nhận diện người dùng, thiết lập chính sách bảo mật thông tin chính xác, đưa ra các cảnh báo (alert), thu hút người dùng tham gia vào quá trình bảo mật thông tin (ask), và nâng cao nhận thức (Educate) của người dùng về an toàn thông tin.
- Tích hợp/Định nghĩa sẵn hơn 250 chính sách bảo mật thông tin, đáp ứng các tiêu chuẩn như PCI- DSS, HIPAA, GLBA, SOX,....
Triển khai đơn giản (trong vòng 1 tuần là có thể nhận diện các nguy cơ thất thoát thông tin) và linh hoạt với Bridge mode (Layer 2) mà không đòi hỏi cấu trúc lại mạng, hoặc bổ sung vào các thiết bị tường lửa với phiến DLP (DLP blade).
-  Chi phí triển khai và vận hành thấp.
Các vị trí có thể triển khai Check Point DLP thể hiện trong hình dưới đây:


Nguyễn Như Bằng