Tại sao triển khai DLP cần kết hợp với DAG

13:15 | 23/10/2018

Vấn đề về rò rỉ dữ liệu đã và đang trở nên nổi cộm và cấp bách, bảo vệ các nguồn dữ liệu quan trọng, giảm thiểu khả năng rò rỉ là một trong những nhiệm vụ cấp thiết nhất của nhiều công ty hiện nay. Các phương pháp chống rò rỉ dữ liệu có thể là các hệ thống an toàn thông tin khác nhau, nhưng phổ biến hơn cả là các phương pháp bảo vệ chống lại các mối đe dọa từ phía các nhân viên của chính công ty hay còn gọi là các mối đe dọa nội bộ. Rò rỉ thông tin có thể do gửi thư đính nhầm tài liệu bí mật, hay sao chép nhầm tài liệu với nội dung thông tin quan trọng vào vật mang tin lưu động phục vụ cho công việc từ xa…. Do đó, một trong các vấn đề lớn của công ty liên quan đến an toàn thông tin là hành vi trái phép của các nhân viên có quyền truy cập vào những thông tin quan trọng.

Hiện nay, không có bất kì phương tiện chuyên dụng nào có khả năng bảo vệ tuyệt đối chống rò rỉ thông tin, bởi vậy ngày càng nhiều nhà cung cấp giải pháp nhận thức được sự cần thiết phải kết hợp một số hệ thống với nhau, tạo ra các phương án đồng bộ và xem xét các khả năng tích hợp chúng. Trên thị trường hiện nay có thể lựa chọn công nghệ DLP (Data leak prevention) như một phương tiện phổ biến nhất để bảo vệ chống rò rỉ thông tin. Các giải pháp của công nghệ này được sử dụng trong hầu hết các tổ chức trên toàn thế giới, với chức năng cơ bản là theo dõi và ngăn chặn các nỗ lực truyền tải trái phép dữ liệu quan trọng từ trong ra ngoài địa phận công ty. Tuy nhiên, không có công cụ nào ngăn được kẻ tấn công từ bên trong đánh cắp dữ liệu bằng các thủ đoạn như viết lại, chụp ảnh hoặc ghi nhớ dữ liệu giá trị của công ty, do đó việc kết hợp với hệ thống kiểm soát truy cập tới dữ liệu phi cấu trúc DAG (Data Access Governance) là vấn đề cần thiết.

Những chức năng chính của hệ  thống DLP 

DLP là hệ thống chống rò rỉ thông tin với các chức năng sau:

- Cung cấp khả năng phân loại và xác định các loại dữ liệu quan trọng cần bảo vệ bằng cách áp dụng  các cơ chế phân tích thông tin khác nhau;

- Sử dụng một số phương pháp tiếp cận để phân loại dữ liệu như: phân tích nội dung (công nghệ ngôn ngữ, trong đó có phân tích theo từ điển, các cách biểu đạt thông thường để gõ dữ liệu, dấu vân tay số); phân tích các dấu hiệu hình thức (nhãn tài liệu, loại và kích thước của tài liệu).

- Bao quát một khối lượng lớn các luồng thông tin của tổ chức, các kênh truyền thông tin;

- Thống kê về di chuyển của dữ liệu quan trọng với khả năng theo dõi việc tuân thủ các yêu cầu của các tiêu chuẩn an toàn, quét các tập tin được lưu trữ để xác định vị trí các thông tin quan trọng;

- Thực hiện chức năng theo dõi hoạt động của người dùng, ghi và phân tích thông tin trao đổi giữa họ.

Mỗi lớp giải pháp đều có các hạn chế về chức năng, các hạn chế này không cho phép chỉ một giải pháp giải quyết được một cách đồng bộ các bài toán cụ thể về an toàn thông tin của công ty. Xét theo phương diện rò rỉ thông tin, hệ thống DLP cũng không là ngoại lệ:

Thứ nhất, một hệ thống DLP lí tưởng phải có khả năng ngăn chặn mọi rò rỉ dữ liệu quan trọng. Nhưng trong thực tế thì bài toán ngăn chặn mất mát dữ liệu nhạy cảm tại hầu hết các công ty sử dụng DLP đều được giải quyết thông qua một cuộc điều tra nguyên nhân rò rỉ và sau đó là xử phạt  những người chịu trách nhiệm về sự cố đã xảy ra.

Các tổ chức ít khi sử dụng hệ thống DLP ở chế độ phong tỏa thông tin do có nhiều sự nhầm lẫn, làm cản trở quá  trình hoạt động bình thường của hệ thống và thường thì lợi bất cập hại. Ưu tiên chính của công ty luôn là tính liên tục của các quá trình hoạt động, sau đó mới là bảo vệ chống rò rỉ thông tin.

Hệ thống DLP không phải lúc nào cũng có được thông tin kịp thời. Ví dụ, hệ thống DLP không xác định một nhân viên nào đó tại một thời điểm cụ thể có phải là nhân viên của một một bộ phận cụ thể trong công ty với quyền truy cập tới nguồn tài nguyên được chỉ định. Liệu anh ta có sử dụng dữ liệu theo quyền hạn của mình, hoặc trong khi đang ở vị trí làm việc khác trong công ty, anh ta gửi theo đường email, hoặc sửa chữa hay in các tài liệu liên quan đến bộ phận anh ta làm việc đây, những điều mà anh ta không nên hoặc không được phép làm.

Thứ hai, nhiều công ty đối mặt với sự cần thiết phải phân tích và xử lý một khối lượng thông tin lớn. Thời gian tìm kiếm, phân tích và xử lí thông tin tỉ lệ với nhịp độ gia tăng dữ liệu. DLP không thích hợp để bảo vệ tài nguyên một cách tập trung, bởi nó sử dụng cách tiếp cận thâu tóm toàn bộ tài liệu được xử lí, do đó định kỳ phải quét một lượng dữ liệu khổng lồ. Kết quả là, có hàng chục, hàng trăm ngàn cảnh báo về việc tìm kiếm thông tin quan trọng, mà một phần trong đó không còn tính thời sự.

 DLP bỏ qua các loại dữ liệu chưa được nghiên cứu kỹ lưỡng trước đó. Hệ thống này cũng không dễ dàng xây dựng logic phân phối các yêu cầu thương mại với định dạng khác nhau chưa được chuẩn hóa, hoặc theo dõi việc truyền các cơ sở khách hàng.... Trong các công ty không sử dụng chức năng chặn thông tin ra ngoài, sẽ có vô số sự cố xảy ra làm tăng tải lên bộ phận công nghệ thông tin và an toàn thông tin. Nếu không sử dụng thông tin bổ sung kịp thời, thì quản trị hệ thống rất khó xác định liệu việc truyền thông tin có hợp pháp hay không.

Thứ ba, các hệ thống DLP không thể theo dõi tất cả các kênh rò rỉ, không hỗ trợ một số giao thức và định dạng hoặc hỗ trợ không đầy đủ. Các DLP cổ điển không thể tự phân tích video, giọng nói, không có khả năng phân loại và kiểm soát rò rỉ thông tin được lưu trữ trong dịch vụ dựa trên đám mây, trong lưu trữ dùng mật khẩu hoặc sao lưu dữ liệu kèm theo mã hóa.

Thứ tư, tại các hệ thống thuộc lớp DLP thiếu vắng sự hiểu biết toàn diện về sử dụng dữ liệu, về quyền truy cập tới chúng, về chủ sở hữu dữ liệu mà sự tham gia của những người này là cần thiết để hiểu chính xác mức độ nhạy cảm của dữ liệu và thiết lập chính sách truy nhập đúng đắn.

Thông thường các công ty không tránh được những khó khăn về mặt hành chính trong việc bổ nhiệm người chịu trách nhiệm về phân tích sự cố, về điều chỉnh và duy trì các qui tắc phân loại dữ liệu và các chính sách của các hệ thống DLP. Hệ thống không chỉ phải được cài đặt đúng khi đưa vào sử dụng mà còn phải thường xuyên điều chỉnh trong quá trình khai thác. Nếu hệ thống không được duy trì đúng cách thức và thiếu vắng những người chịu trách nhiệm thì sẽ dẫn đến các hệ quả sau:

- Hệ thống đánh mất chất lượng nhận dạng thông tin, thiếu sự hỗ trợ các giao thức liên quan, các công nghệ mới và các định dạng tập tin khác nhau;

- Thông tin về dữ liệu cập nhật quan trọng không được kịp thời nhập vào hệ thống để kiểm soát sự di chuyển của chúng;

- Sử dụng một số chính sách hạn chế không được điều chỉnh theo thời gian, ít tạo ra các chính sách mới mà chỉ hạn chế ở việc bổ sung các điều khoản mới và các từ khóa trong các thuật toán phân loại tài nguyên.

Thứ năm, không tồn tại các giải pháp 100% đủ mạnh chống lại kẻ tấn công trình độ cao trong nội bộ công ty. Kẻ tấn công có trình độ cao có thể vượt qua bất kỳ thuật toán phát hiện rò rỉ nào. Ví dụ: để làm cho việc tìm kiếm tệp tin hoặc phân loại tài liệu không thành công, họ có thể thay thế các chữ cái của bảng chữ cái bằng các con số, bằng mã hay bằng các chữ cái có cách viết giống theo cách viết tiếng Anh hoặc một ngôn ngữ khác. Khi đó sẽ rất khó cho hệ thống DLP, nếu trước đó không tiến hành cài đặt các quy tắc tương ứng trong hệ thống để loại trừ những nguy cơ kể trên. Nhưng ngay cả khi có các quy tắc đó cũng không thể dự đoán tất cả các phương án đánh tráo dữ liệu cố ý.

Cũng cần lưu ý là không có công cụ nào ngăn được kẻ tấn công từ bên trong viết lại, chụp ảnh hoặc ghi nhớ dữ liệu giá trị của công ty. Tuy nhiên, có thể hạn chế những trường hợp như thế bằng cách hạn chế truy cập vào tài nguyên và giảm số lượng người dùng có quá nhiều quyền truy cập.

Dù có những hạn chế kể trên, các hệ thống DLP vẫn được áp dụng thành công trong thực tế, các hệ thống này thực thi tốt chức năng phát hiện những rò rỉ dữ liệu không cố ý và giải quyết được một phần các vấn đề của công ty trong việc bảo vệ dữ liệu chống các hành vi rò rỉ cố ý của các nhân viên thiếu đạo đức.

Mục đích của bài viết này không nhằm chỉ ra các nhược điểm công nghệ của DLP hay các vấn đề mà khách hàng phải đối mặt khi làm việc với các giải pháp của DLP mà về việc sử dụng đồng thời hai công nghệ - DLP và DAG - cũng như trả lời câu hỏi: công nghệ DAG có thể hổ trợ như thế nào để DLP hiệu quả hơn và ngược lại khi kết hợp hai công nghệ với nhau.

Chức năng của DAG (Data Access Governance)

DAG là hệ thống kiểm soát truy cập tới dữ liệu phi cấu trúc được lưu trữ trên máy chủ tập tin, trên các lưu trữ đám mây và trên mạng, trên các cổng doanh nghiệp và các hộp thư điện tử, cũng như kiểm soát các hoạt động liên quan đến những dữ liệu này. Hệ thống này cho phép quản lí tập trung quyền truy cập vào các dữ liệu quan trọng, kiểm soát các thao tác trên dữ liệu, theo dõi, phát hiện và đáp trả các hành vi truy cập trái phép, các hoạt động bất thường và các chương trình độc hại.

Tìm kiếm, phân loại:

Hệ thống phân loại cho phép tìm kiếm dữ liệu theo nhiều thông số khác nhau (thông tin bí mật bị mất, các tập tin bị xóa, bị loại...). Phân loại dữ liệu có thể thực hiện bằng phân tích nội dung hay phân tích hành vi, cũng có thể phân loại dữ liệu với cài đặt nhãn (metadata) tập tin, gán thẻ khác nhau, tùy thuộc vào  chức năng cụ thể được cung cấp.

Điều khiển truy cập:

Chức năng của các hệ thống thuộc khối này là: phân tích các quyền truy cập hiện tại của người dùng; phát hiên các truy cập chưa sử dụng và truy cập thừa; loại bỏ truy nhập chia sẻ, giảm thiểu các đặc quyền (áp dụng nguyên tắc ưu tiên tối thiểu); khuyến nghị về việc giảm quyền các truy cập dư thừa. Tự động quá trình cấp/sửa đổi quyền truy cập vào tài nguyên;

Sử dụng cổng thông tin tự phục vụ cho các truy vấn và xem xét lại quyền truy cập. Tiến hành định kì hoặc, theo sự cần thiết do sự cố, tái xác nhận quyền truy cập dữ liệu.

 Trong việc xác định chủ sở hữu dữ liệu, về nguyên tắc, chỉ những người có thẩm quyền (ví dụ, người đứng đầu các bộ phận) mới có thể xác định giá trị của thông tin, mức độ nhạy cảm và theo dõi tính toàn vẹn của dữ liệu và tính đúng đắn quyền truy cập vào chúng. Chủ sở hữu dữ liệu có thể đối chiếu quyền truy cập và kiểm soát hoạt động dữ liệu, nhận cảnh báo trong thời gian thực, xác định những tài nguyên đã củ không được sử dụng và mô phỏng tác động của các hành động khác nhau với quyền truy cập. 

Kiểm soát hoạt động

Chức năng của các hệ thống thuộc khối này gồm: giám sát hành vi của người dùng khi làm việc với dữ liệu trong thời gian thực; xác định những tài nguyên không được sử dụng, những dữ liệu đã lỗi thời, dữ liệu có khối lượng lớn và các hoạt động tiếp theo về lưu trữ hoặc xóa, ngăn chặn những lạm dụng ác ý bằng cách sử dụng đặc quyền tài khoản, cảnh báo và phát hiện các mối đe dọa bên ngoài và bên trong nhằm vào các tập tin hệ thống bằng cách sử dụng phân tích hành vi và/hoặc máy học như phát hiện các tài khoản nghi ngờ, các dữ liệu bất thường, các hoạt động người dùng trên dữ liệu (xóa một số lượng lớn các tệp, các truy cập trái phép vào dữ liệu quan trọng, các thay đổi quyền truy cập đáng ngờ); kiểm soát truy cập đặc biệt, giám sát các hoạt động cho biết các cuộc tấn công; ngăn chặn di chuyển ngang của mã độc và các hành động khác (như tạo số lượng lớn các tập tin, các cố gắng bổ sung dữ liệu vào các đường dẫn công ty); khảo sát sự hiện diện của virus, virus tống tiền và mã độc mã hóa; phát hiện các bộ chỉ báo tấn công gián tiếp, các tập tin như: Decrypt.me, Decrypt...; khả năng hỗ trợ cơ sở dữ liệu các virus đã biết, theo dõi tên và phần mở rộng đặc trưng cho virus mã hóa. 

Phản ứng và điều tra:

Ở chế độ thời gian thực có thể thông báo thư hoặc gửi thông tin vào SIEM nhằm kịp thời đưa ra các biện pháp đối phó với các hành vi trái phép và các hoạt động bất thường với dữ liệu, chẳng hạn như: các hành vi trái pháp luật về các quyền truy cập; các giao dịch chưa được phép với các dữ liệu quan trọng; truy cập vào dữ liệu quan trọng ngoài giờ làm việc; hành vi bất thường của người dùng (bất thường); các hoạt động bất thường liên quan đến mã độc.

Cùng thể loại này còn có các hành động tiếp theo về chặn quyền truy cập hoặc tài khoản sau khi phát hiện các cuộc tấn công hoặc các hoạt động bất thường khác.  

Trách nhiệm báo cáo

Các nhà cung cấp thuộc lớp giải pháp này đề xuất gói gồm 80 mẫu báo cáo được xác định trước, ví dụ: về vị trí một số loại dữ liệu quan trọng; về việc sử dụng các dữ liệu quan trọng; về các nguồn tài nguyên không được sử dụng quá một năm; về các quyền truy cập không sử dụng; về các nguồn tài nguyên được chia sẻ; về thư mục chiếm nhiều không gian; về các hoạt động bất thường trên các dữ liệu quan trọng; về quyền truy cập dư thừa; về các hoạt động virus; về tài khoản đã lỗi thời; về các hành vi truy cập trái phép; về việc xóa/thay đổi dữ liệu quan trọng; về hoạt động của các tài khoản đặc quyền; về các chủ ở hữu dữ liệu có thể.

Đáp ứng  các yêu cầu khác nhau

 Theo dõi thực hiện chính sách phân quyền truy cập và chính sách sử dụng dữ liệu quan trọng, tuân thủ các yêu cầu của cơ quan quản lý bên ngoài, tuân thủ các yêu cầu dịch vụ bảo mật thông tin nội bộ.

Như vậy, hệ thống DAG chịu trách nhiệm cấp quyền truy cập vào tài nguyên, kiểm soát các hành vi có thể dẫn đến sử dụng dữ liệu trái phép hoặc gây thiệt hại từ phía các nhân viên thiếu đạo đức (hành vi trộm cắp, xóa dữ liệu giá trị) hoặc phần mềm độc hại. Tất cả các dữ liệu quan trọng cần phải có chủ sở hữu, những người phải chịu trách nhiệm về an toàn của những dữ liệu đó. Cấp quyền truy cập và kiểm soát dữ liệu được thực hiện bởi các chủ sở hữu hoặc nhân viên an ninh thông tin phù hợp với chính sách của công ty.

Kết hợp DLP và DAG

Trong thực tế, không một loại công nghệ nào giải quyết được trọn vẹn vấn đề rò rỉ thông tin vì mỗi công nghệ đều có các hạn chế, nhưng chúng có các chức năng bổ sung cho nhau như: DLP tập trung vào thiết bị người dùng và bao quát toàn cục các kênh truyền thông tin, cũng như phân loại dữ liệu, còn DAG giải quyết bài toán tổ chức bảo vệ chống truy cập trái phép thông tin và kiểm soát các hoạt động trên dữ liệu.

Mỗi hệ thống chứa những cái mà hệ thống kia còn thiếu, do đó kết hợp hai lớp giải pháp và chuyển đổi từ khả năng bổ sung cho nhau sang tích hợp với nhau có ý nghĩa rất quan trọng. Ở đây  DLP và DAG không chỉ không cạnh tranh với nhau, mà bổ sung hoàn hảo cho nhau.

Cách tiếp cận đồng bộ này đặc biệt phù hợp cho các tổ chức có nhu cầu cấp thiết đáp ứng các yêu cầu của an ninh thông tin nội bộ, của các nhà quản lý bên ngoài, cũng như cho những công ty thận trọng với sự trung thành của nhân viên, bởi tại đó thường có sự luân chuyển nhân viên và sự rò rỉ thông tin dẫn đến thất thiệt tài chính nghiêm trọng, những rủi ro về danh tiếng và sự rời bỏ công ty của khách hàng DLP và DAG đều có mục tiêu chung là ngăn chặn sự thất thoát thông tin có giá trị. Cả hai giải pháp đều phù hợp với nhiệm vụ đáp ứng các yêu khi làm việc với dữ liệu, nhưng chúng có những khác biệt đáng kể và cách tiếp cận khác nhau trong việc đạt được mục tiêu. Các hệ thống dựa trên công nghệ DLP cho chúng ta biết dữ liệu quan trọng di chuyển bên trong công ty như thế nào và ra khỏi đó ra sao, còn DAG giúp đảm bảo rằng việc truy cập dữ liệu chỉ cấp cho những nhân viện theo đúng chính sách an ninh của công ty sẽ đảm bảo giám sát tốt các hoạt động, cảnh báo ở chế độ thời gian thực và phân tích hành vi của người dùng dữ liệu cùng với việc cấp quyền truy cập chính xác.

Tiếp cận đồng bộ các hệ thống DLP và DAG sẽ cung cấp cho khách hàng những lợi thế sau:

Thứ nhất, DLP sẽ góp phần lập lại trật tự nhờ phân loại thông tin và do đó tạo điều kiện đưa hệ thống DAG vào sử dụng. Tại các công ty đã sử dụng  DLP, một số lượng lớn các dữ liệu quan trọng đã được đánh dấu hoặc cài đặt các quy tắc tìm kiếm nội dung cho phép làm giảm đáng kể thời gian dành cho quá trình phân loại dữ liệu từ đầu và thiết lập các quy tắc cho phép giữ lại được những đầu tư trước đó. DAG khi tích hợp với DLP có thể sử dụng thông tin về dữ liệu quan trọng đã được phân loại trước đó trong DLP và cung cấp một bức tranh kịp thời về quyền truy cập và về tình hình sử dụng dữ liệu.

Thứ hai, DAG sẽ giúp tăng cường DLP bằng các khả năng hạn chế quyền tiếp cận tới các nguồn tài nguyên giá trị và cung cấp thêm thông tin về các chủ sở hữu dữ liệu, về quyền truy cập dữ liệu, về sử dụng dữ liệu và giúp bảo vệ dữ liệu chống các loại virus như mã độc mã hóa, mã độc tống tiền và sự lan truyền các chương trình độc hại khác. Thông tin do DAG cung cấp sẽ giúp hệ thống DLP có được một sự hiểu biết đầy đủ và rõ ràng về công việc với dữ liệu. Các thông báo từ DAG, chẳng hạn như thông báo về vi phạm chính sách, hoạt động bất thường với dữ liệu, thay đổi quyền truy cập vào dữ liệu..., giúp áp dụng một cách chính xác chức năng ngăn chặn phát hành trái phép thông tin ra ngoài địa phận của công ty.

Hệ thống DLP theo dõi sự di chuyển của dữ liệu nhạy cảm, còn DAG thiết lập quyền truy cập của người dùng tới dữ liệu. Kết quả là, việc kết hợp hệ thống DLP và DAG  sẽ cho phép phân loại dữ liệu một cách tối ưu, xác định chủ sở hữu của dữ liệu, giám sát quyền truy cập chính xác, đảm bảo thi hành các điều kiện của chính sách an toàn và sử dụng dữ liệu phù hợp với các quy tắc của công ty, cho phép các nhân viên thuộc các bộ phận CNTT và an toàn thông tin tăng cường bảo vệ các dữ liệu quan trọng và đáp ứng các yêu cầu  dịch vụ nội bộ và các tiêu chuẩn an toàn thông tin.