Đang tải... (xem toàn văn)
Nghiên cứu và ứng dụng hệ thống chống thất thoát dữ liệuNghiên cứu và ứng dụng hệ thống chống thất thoát dữ liệuNghiên cứu và ứng dụng hệ thống chống thất thoát dữ liệuNghiên cứu và ứng dụng hệ thống chống thất thoát dữ liệuNghiên cứu và ứng dụng hệ thống chống thất thoát dữ liệuNghiên cứu và ứng dụng hệ thống chống thất thoát dữ liệuNghiên cứu và ứng dụng hệ thống chống thất thoát dữ liệuNghiên cứu và ứng dụng hệ thống chống thất thoát dữ liệu
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG - VŨ VĂN TUẤN NGHIÊN CỨU VÀ ỨNG DỤNG HỆ THỐNG CHỐNG THẤT THOÁT DỮ LIỆU CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN MÃ SỐ: 60.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC: TS VŨ VĂN THỎA HÀ NỘI - 2016 Luận văn hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS Vũ Văn Thỏa Phản biện 1: ……………………………………………… Phản biện 2: ……………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thông Vào lúc: ngày tháng năm … Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thông MỞ ĐẦU Tính cấp thiết đề tài Một nghiên cứu IDC (International Data Corporation) hầu hết trường hợp mát liệu sơ ý, mã độc gây Họ ước tính khoảng 80% trường hợp mát liệu vô tình Chính vậy, nghiên cứu, ứng dụng giải pháp ngăn ngừa mát, rò rỉ thông tin thực cần thiết Do đó, học viên lựa chọn nghiên cứu đề tài: “Nghiên cứu ứng dụng hệ thống chống thất thoát liệu” Tổng quan vấn đề nghiên cứu Hiện nay, nhiều doanh nghiệp Việt Nam cung cấp triển khai gói giải pháp ngăn ngừa thất thoát, rò rỉ liệu dựa số sản phẩm thương mại hóa nước giải pháp chống thất thoát, rò rỉ thông tin/dữ liệu DLP Check Point, giải pháp Symantec Data Loss Prevention McAfee Data Loss Prevention Endpoint Mục đích nghiên cứu - Nghiên cứu hệ thống chống thất thoát liệu Data Loss Prevention (DLP) - Triển khai thử nghiệm hệ thống DLP ngăn ngừa mát rò rỉ thông tin đánh giá khả hệ thống Đối tượng nghiên cứu - Các thuật toán phân loại liệu - Hệ thống ngăn ngừa mát rò rỉ thông tin DLP Phạm vi nghiên cứu - Nghiên cứu nguy rò rỉ thông tin giải pháp phòng chống - Triển khai thử nghiệm hệ thống thất thoát liệu DLP môi trường giả lập môi trường thực Phương pháp nghiên cứu Phương pháp nghiên cứu lý thuyết - Đọc tài liệu nghiên cứu giải pháp chống mát liệu - DLP (Data lost prevention) từ hãng giới cách thức hoạt động chúng Phương pháp thực nghiệm - Xây dựng hệ thống McAfee Data Loss Prevention Endpoint đồng thời thử nghiệm, đánh giá kết Cấu trúc luận văn Nội dung luận văn gồm phần sau Phần mở đầu Phần nội dung: bao gồm ba chương Chương 1: Tổng quan an toàn bảo mật thông tin Chương 2: Hệ thống chống thất thoát liệu DLP Chương 3: Triển khai hệ thống thử nghiệm Mỗi chương có phần kết luận riêng chương 3 Chương : TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN 1.1 Nội dung an toàn bảo mật thông tin An toàn thông tin bao gồm nội dung sau: - Tính bí mật: tính kín đáo riêng tư thông tin - Tính xác thực thông tin, bao gồm xác thực đối tác (bài toán nhận danh), xác thực thông tin trao đổi - Tính trách nhiệm: đảm bảo người gửi thông tin thoái thác trách nhiệm thông tin mà gửi Trước đây, nói đến an toàn thông tin người ta thường nghĩ đến phương thức bảo mật thông tin truyền thống tường lửa hay phân quyền truy cập tập tin hay thư mục ACL Tuy nhiên điều ngăn ngừa rò rỉ, thất thoát liệu laptop hay USB bị truyền qua đường thư điện tử hay thư thoại.Theo báo cáo an ninh toàn cầu Microsoft vấn đề thất thoát thông tin doanh nghiệp phủ ngày phổ biến với mức độ thiệt hại không thua so với virus hay mã độc Rò rỉ, thất thoát liệu mối lo ngại hàng đầu quan tổ chức Nó thể phá hỏng quy trình kinh doanh vi phạm sách bảo mật công ty hay tổ chức 1.2 Các nguy thất thoát, rò rỉ liệu Để cung cấp nhìn tổng quan an toàn bảo mật thông tin, học viên phân loại loại liệu sau: liệu tình cờ, công nội công từ bên 1.2.1 Mất liệu tình cờ: Một nguyên nhân điển hình cho mát liệu tình cờ nhân viên không quen thuộc với sách công ty Nói cách khác, họ không nhận nhạy cảm tài liệu mà họ làm việc với họ đánh giá cao kiến thức bảo mật máy tính Một số ví dụ phổ biến: - Nhân viên tiết lộ thông tin nội bên trình sử dụng : skype, yahoo, điện thoại… - Chia sẻ file ngang hàng P2P: Nhân viên dễ dàng sử dụng giao thức P2P để gửi file - Có thể vô ý nhân viên: Nhân viên đính kèm nhầm file, nhân viên chọn sai người, nhân viên bị lừa để gửi thông tin Hoặc thông qua dịch vụ cloud storage miễn phí: Nhân viên upload liệu nhạy cảm lên hệ thống lưu trữ đám mây miễn phí dropbox hay Skydriver Nhân viên upload liệu lên FTP server internet để gửi thông tin - In tài liệu, photocopy tự không quản lý tập trung Đem tài liệu in, copy bên - Dùng điện thoại, camera chụp lại tài liệu công ty - Nhân viên không log off tài khoản hay tắt máy tính để nhân viên khác chép liệu đem bên - Thiết bị USB chứa liệu quan trọng bị hay để quên nơi làm việc 1.2.2 Mất liệu công nội Định nghĩa : Tấn công nội công độc hại hệ thống công ty mạng mà kẻ xâm nhập người giao phó với truy cập phép vào mạng, có kiến thức kiến trúc mạng Nói cách khác, hacker không tìm cách để công vào tổ chức, lựa chọn tốt để xâm nhập thuê nhân viên, tìm kiếm nhân viên bất mãn, để làm nội gián, cung cấp thông tin cần thiết Đó Insider Attack – công nội Insider Attack có mạnh lớn, gián điệp phép truy cập vật lý vào hệ thống công ty, di chuyển vào tự công ty Một kiểu khác công nội bộ, bất mãn nhân viên Những nhân viên làm việc với mức lương thấp kém, muốn có mức lương cao Bằng cách xâm nhập vào CSDL nhân công ty, thay đổi mức lương Hoặc trường hợp khác, nhân viên muốn có nhiều tiền 1.2.3 Mất liệu công bên Các công bên công đánh cắp liệu thực từ xa Về bản, có quyền truy cập vào hệ thống thông qua kết nối từ xa, chẳng hạn internet, sử dụng truy cập để ăn cắp liệu, tạo botnet gây gián đoạn Động đằng sau công chủ yếu chất tài Hiện có nhiều hình thức công ăn cắp liệu : - Tấn công trực tiếp - Kỹ thuật đánh lừa (Social Engineering) - Kỹ thuật công vào vùng ẩn - Tấn công vào lỗ hổng bảo mật - Khai thác tình trạng tràn đệm - Nghe trộm - Kỹ thuật giả mạo địa - Kỹ thuật chèn mã lệnh - Tấn công vào hệ thống có cấu hình không an toàn - Tấn công dùng Cookies - Thay đổi liệu - Password-base Attact - Identity Spoofing 1.3 Các giải pháp an toàn bảo mật thông tin truyền thống 1.3.1 Các chiến lược an toàn hệ thống : - Giới hạn quyền hạn tối thiểu (Last Privilege) - Bảo vệ theo chiều sâu (Defence In Depth) - Nút thắt (Choke Point) - Điểm nối yếu (Weakest Link) - Tính toàn cục - Tính đa dạng bảo vệ 1.3.2 Các mức bảo vệ mạng Vì có giải pháp an toàn tuyệt đối nên người ta thường phải sử dụng đồng thời nhiều mức bảo vệ khác tạo thành nhiều hàng rào chắn hoạt động xâm phạm Thông thường bao gồm mức bảo vệ sau: Quyền truy nhập Đăng ký tên /mật Mã hoá liệu Bảo vệ vật lý Tường lửa Quản trị mạng 1.3.3 An toàn thông tin mật mã Để bảo vệ thông tin đường truyền người ta thường biến đổi từ dạng nhận thức sang dạng không nhận thức trước truyền mạng, trình gọi mã hoá thông tin (encryption), trạm nhận phải thực trình ngược lại, tức biến đổi thông tin từ dạng không nhận thức (dữ liệu mã hoá) dạng nhận thức (dạng gốc), trình gọi giải mã 1.4 Giải pháp ngăn ngừa mát/rò rỉ thông tin theo hướng DLP Hiện nay, có ba phương pháp giúp giảm nguy thất thoát thông tin, nhiên cần phải hiểu rõ phương pháp trước đưa định làm để có hiệu nhất, đỡ tốn dễ triển khai, đảm bảo yêu cầu tính bảo mật Ba phương pháp là: 1.4.1 Data-in-Motion: Khái niệm: phương pháp phát kiểm soát thông tin lưu chuyển mạng qua mail, web, phương pháp gọi ngăn ngừa mức mạng (Networkbased DLP) 1.4.2 Data-in-Use: Khái niệm: phương pháp phát kiểm soát liệu máy trạm, máy chủ copy USB, ghi CD/DVD, in giấy, Phương pháp gọi ngăn ngừa điểm đầu cuối (Endpoint DLP) 1.4.3 Data-at-Rest: Khái niệm: phương pháp phát tồn liệu nhạy cảm nằm máy trạm, máy chủ, ổ đĩa cứng, thiết bị đầu cuối, việc thực thi sách ngăn ngừa mát liệu kết trực tiếp Data- at- Rest DLP Các thông tin thu thập qua Data- at- Rest DLP sử dụng để đưa kế hoạch hành động nhằm làm giảm nguy liệu 1.5 Kết luận: Hiện nay, máy tính đòi hỏi phương pháp tự động để bảo vệ tệp thông tin lưu trữ Nhu cầu bảo mật lớn đa dạng, có mặt khắp nơi, lúc Do không đề qui trình tự động hỗ trợ bảo đảm an toàn thông tin Data Loss Prevention hệ thống đáp ứng nhu cầu hỗ trợ đảm bảo an toàn thông tin 8 Chương 2: HỆ THỐNG CHỐNG THẤT THOÁT DỮ LIỆU Trong chương học viên trình bày nguy giải pháp liên quan đến phòng chống thất thoát, rò rỉ liệu Tại chương này, học viên xin trình bày mô hình hệ thống chống thất thoát, rò rỉ liệu DLP 2.1 Sự xuất DLP DLP- Data Loss Prevention công cụ ngăn ngừa phòng chống rò rỉ, thất thoát liệu gọi nhiều tên khác nhau: - Data Loss Prevention/Protection - Data Leak Prevention/Protection - Information Loss Prevention/Protection - Information Leak Prevention/Protection - Extrusion Prevention - Content Monitoring and Filtering - Content Monitoring and Protection DLP loại công nghệ bảo mật theo hướng bảo vệ liệu nhạy cảm tự động không xâm phạm Thông qua sách hệ thống DLP tự động đảm bảo liệu nhạy cảm lưu trữ, gửi truy cập, cho phép người dùng sử dụng công cụ dịch vụ mà họ lựa chọn cần phải hoàn thành nhiệm vụ họ 2.2 Mô hình, tính hệ thống Đặc điểm giải pháp DLP : - Đảm bảo nội dung nhạy cảm khu vực “rest” trước nguy rủi ro - Bảo vệ liệu khỏi rủi ro biết đến trình truyền - Thu thập luồng thông tin mạng để xây dựng rule xây dựng phòng chống trước nguy rủi ro phát sinh - Thi hành hành động khắc phục hậu tự động mã hóa trình quét liệu hành động mà người dùng thực 2.2.1 Quét nội dung Trước có giải pháp DLP, tổ chức thường xuyên phải đối mặt với tình mà liệu kỹ thuật số họ lan truyền nhiều địa điểm quyền kiểm soát liệu nhạy cảm DLP áp dụng sách quét phát nội dung để khám phá nơi đặt tập tin nhạy cảm Đây sở liệu, tập tin chia sẻ, lưu trữ nội máy tính xách tay máy trạm Công việc thực giống máy quét chống virus, thay tìm kiếm virus malware, tìm tài liệu nhạy cảm ghi lại vị trí chúng Từ đó, nhà quản trị quản lý kết định làm tập tin Mặc dù phát nội dung thường sử dụng ban đầu triển khai DLP, chạy quét thường xuyên Tuy nhiên việc chiếm tài nguyên hệ thống cần có thời gian để hoàn thành, không nên chạy làm việc [3] 2.2.2 Endpoint Protection DLP bảo vệ thiết bị đầu cuối cài đặt máy trạm thiết bị khác hình thức đại lý Các đại lý thực sách cách giám sát tất hoạt động liệu quét tất tập tin lưu trữ Thông thường đại lý kiểm tra cho phép đầu vào vật lý kết nối Điều có nghĩa quản trị viên trung ương vô hiệu hóa USB, FireWire kiểm soát giao diện khác cách dễ dàng Ngoài ra, hành động ghi đĩa CD DVD ngăn chặn Thiết bị đầu cuối DLP tính khác bảo vệ phân loại sau: - Hệ thống bảo vệ tập tin: Theo dõi tất hoạt động tập tin để bảo vệ thời gian thực tương tự phần mềm chống virus Điều để đảm bảo file không chép đến địa điểm không phép mã hóa áp dụng DLP lưu liệu để biết địa điểm Quét thực liệu lưu trữ để phát hành vi vi phạm sách - Bảo vệ mạng: Theo dõi liệu truyền qua mạng thiết bị đầu cuối từ mạng công ty Nếu không, DLP mạng chịu trách nhiệm cho chức - Bảo vệ ứng dụng: DLP tích hợp hệ điều hành ứng dụng để ngăn chặn hành động việc chép vào clipboard, chụp ảnh chụp hình gõ liệu nhạy cảm vào chương trình chat 10 2.2.3 Giám sát mạng Các DLP mạng hoạt động hai chế độ khác nhau: thụ động chủ động Chế độ thụ động DLP kiểm tra lưu lượng mạng ghi có vi phạm sách nào, chế độ chủ động DLP chặn gói liệu liên quan đến việc vi phạm sách Sử dụng chế độ phụ thuộc vào yêu cầu tổ chức Các vị trí DLP thường vị trí mạng mà chặn liệu mạng cục Đây nơi liệu đến mạng an toàn khác công ty, trang web từ xa kết nối với VPN, internet Các kênh kiểm tra DLP mạng khác hãng HTTP, FTP e-mail dịch vụ phổ biến Ngoài ra, giao thức nhắn tin nhanh, HTTPS nhiều dịch vụ chia sẻ file thường theo dõi sản phẩm 2.2.4 Quản lý trung ương Một số chức máy chủ quản lý DLP bao gồm: - Endpoint triển khai đại lý quản lý đại lý nhiệm vụ bao gồm việc triển khai sách, phần mềm vá đăng nhập sưu tập - Cập nhật phần mềm, định nghĩa thông thường thông tin cấp phép từ máy chủ nhà cung cấp - Thu thập ghi từ dịch vụ khác, chẳng hạn thu thập tập tin DLPS mạng, giữ cho dịch vụ cập nhật với sách vá lỗi phần mềm - Chuyển tiếp cảnh báo quan trọng quản trị viên hệ thống - Tạo báo cáo dựa liệu thu thập - Cung cấp công cụ để tạo quản lý sách DLP Nhiều điểm số điểm nêu thường truy cập quản lý thông qua giao diện quản trị Đây thường ứng dụng web truy cập từ trình duyệt, giao diện dòng lệnh tồn 11 2.3 Công nghệ cốt lõi hệ thống 2.3.1 Policies Trung tâm DLP Policy Nếu Policy phân biệt liệu công cộng nhạy cảm Policy tạo dựa vào tổ chức sở hữu thông số kỹ thuật, yêu cầu bên Tạo Policy số công việc triển khai DLP có liên quan đến toàn công ty không phận CNTT Ở giai đoạn này, điều quan trọng nhìn vào sách Policy hành thảo luận với người xử lý liệu công ty làm để phân loại đúng, xác định bảo vệ liệu Những sách sau chuyển đổi thành quy tắc mà DLP thực thi hoạt động Tập đoàn RSA, tập đoàn chuyên cung cấp cấp chiến lược, giải pháp bảo mật đề nghị để tạo nên sách tốt cần trả lời câu hỏi sau [6]: - Ai đối tượng sách áp dụng làm ảnh hưởng đến họ? - Những loại thông tin bạn cố gắng để bảo vệ? - Tại bạn bảo vệ nó? - Trường hợp bạn nên bảo vệ nó? Là liệu chuyển động trung tâm liệu? Là sử dụng điểm cuối? - Khi bạn nên kích hoạt vi phạm? - Làm bạn nên bảo vệ liệu? Kiểm toán, mã hóa, ngăn chặn, Lựa chọn nên thực tùy thuộc vào loại thông tin 2.3.2 Phân loại liệu Phương pháp để phân tích khám phá liệu nhạy cảm tồn Các phương pháp phổ biến sử dụng kết hợp từ khoá, biểu thức thông dụng, so sánh dấu vân tay liệu sử dụng hàm băm sử dụng thuật toán học máy 2.3.2.1 Phương pháp kết hợp từ khóa Kết hợp từ khoá (Keyword Matching) tất phương pháp phân tích nội dung Dựa danh sách từ khóa, máy quét qua hệ thống tập tin tìm kiếm chuỗi văn thô phù hợp với từ khóa xác định trước Việc sử dụng kết hợp từ khoá nên dùng cho văn đơn giản có chứa từ khóa tĩnh phổ biến 12 2.3.2.2 Phương pháp sử dụng biểu thức thông dụng Việc sử dụng phương pháp kết hợp từ khoá loại bỏ liệu số thẻ tín dụng số an sinh xã hội Một cách hiệu để làm điều với biểu thức thông dụng Như ví du, loại số thẻ có quy định khác cách thức viết, số kí tự, Biểu thức thông dụng phương pháp thích hợp cho việc phát biến, liệu có cấu trúc Điều bao gồm mã nguồn thẻ nhận dạng Điều quan trọng cho công ty để thêm biểu thức theo nhu cầu họ 2.3.2.3 Phương pháp so sánh dấu vân tay liệu sử dụng hàm băm Một phương pháp để phát tài liệu nhạy cảm cách so sánh với nhóm tập tin nhạy cảm Đến kiểm tra xem hai tập tin giống hệt nhau, so sánh chúng bít một, cách hiệu để làm điều sử dụng hàm băm để tính toán giá trị băm tương ứng tập tin sau so sánh bít giá trị băm Bởi tất liệu lưu trữ dạng word, hình ảnh, âm video nhạy cảm, định dạng khó để áp dụng phương pháp khác với dấu vân tay Các tập tin phân tích chia thành nhiều phần nhỏ cho đoạn giá trị băm tính toán Điều có nghĩa số phận tập tin thay đổi, coi nhạy cảm phận khác giữ nguyên phù hợp với giá trị băm lưu trữ [1] 2.3.2.4 Các thuật toán học máy Đối với nhiều tổ chức, tập đoàn lớn, thực tế có hàng Gigabyte liệu nhạy cảm tạo tháng Trong tình thêm từ khóa, biểu thức thông dụng trở nên tốn thời gian phản tác dụng việc quản lý CNTT Tuy nhiên, hệ thống sử dụng thuật toán học máy làm việc với tài liệu văn bản, có tỷ lệ lỗi cao không huấn luyện cách Và vấn đề quan trọng phải xác định ngôn ngữ tài liệu nhạy cảm viết tạo hệ thống tập tin huấn luyện cho phù hợp Một số thuật toán học máy phân loại tài liệu sau: 13 - Thuật toán định (Decision tree): Đây phương pháp học xấp xỉ hàm mục tiêu có giá trị rời rạc Mặt khác định chuyển sang dạng biểu diễn tương đương dạng sở tri thức luật Nếu – Thì - Thuật toán K-Nearest Neighbor (KNN): Ý tưởng thuật toán K-láng giềng gần (K-NN) so sánh độ phù hợp văn d với nhóm chủ đề, dựa k văn mẫu tập huấn luyện mà có độ tương tự với văn d lớn - Thuật toán Naive Bayes (NB): Ý tưởng cách tiếp cận Naive Bayes sử dụng xác suất có điều kiện từ chủ đề để dự đoán xác suất chủ đề văn cần phân loại Điểm quan trọng phương pháp chỗ giả định xuất tất từ văn độc lập với Với giả định NB không sử dụng phụ thuộc nhiều từ vào chủ đề, không sử dụng việc kết hợp từ để đưa phán đoán chủ đề việc tính toán NB chạy nhanh phương pháp khác - Support Vector Machine (SVM): Ý tưởng ánh xạ (tuyến tính phi tuyến) liệu vào không gian vector đặc trưng (space of feature vectors) mà siêu phẳng tối ưu tìm để tách liệu thuộc hai lớp khác - Support Vector Machines Nearest Neighbor (SVM-NN): Support Vector Machines Nearest Neighbor (SVM-NN) (Blanzieri & Melgani 2006) thuật toán phân lớp cải tiến gần phương pháp phân lớp SVM SVM-NN kỹ thuật phân loại văn máy học sử dụng kết hợp cách tiếp cận K-láng giềng gần (K-NN) với luật định dựa SVM (SVM-based decision rule) 2.4 Giải pháp Mcafee Từ bắt đầu chương 2, học viên trình bày vấn đề hệ thống chống rò rỉ, thất thoát liệu DLP Phần học viên xin giới thiệu hệ thống DLP hãng Mcafee ví dụ giải pháp thương mại Đặc điểm - Đảm bảo nội dung nhạy cảm khu vực “rest” trước nguy rủi ro - Bảo vệ liệu khỏi rủi ro biết đến trình truyền - Thu thập luồng thông tin mạng để xây dựng rule xây dựng phòng chống trước nguy rủi ro phát sinh - Thi hành hành động khắc phục hậu tự động mã hóa trình quét liệu hành động mà người dùng thực 14 Các thành phần: McAfee ePolicy Orchestrator (EPO) - giao diện điều khiển quản lý tập trung cho giải pháp DLP McAfee tất công nghệ bảo mật thiết bị đầu cuối McAfee McAfee DLP Manager Appliances: kiện quản lý tập trung, khả quản lý cố, quản lý NDLP McAfee Host DLP Solution: bao gồm Host DLP endpoint McAfee Network DLP Monitor: Phân tích tất thông tin liên lạc mạng phát mối đe dọa cho liệu bạn Thiết bị nắm bắt tất lưu lượng truy cập mạng bạn để lại, số để điều tra tương lai đánh giá so với quy định thời gian thực McAfee Network DLP Discover: Đánh giá trung tâm liệu bạn tất nguồn liệu khác mạng bạn để phát phân loại liệu bạn đặt tảng cho việc bảo vệ tự động McAfee Network DLP Prevent: Block/Encrypt chiều inbound outbound dựa sách định nghĩa 2.5 Kết luận: Ở chương này, học viên trình bày mô hình hệ thống chống rò rỉ, thất thoát liệu DLP Cùng với đó, học viên giới thiệu giải pháp thương mại Mcafee cung cấp Mục đích cuối hệ thống DLP việc phân loại bảo vệ liệu nhạy cảm sách quan, tổ chức sử dụng tự tạo 15 CHƯƠNG 3: TRIỂN KHAI HỆ THỐNG THỬ NGHIỆM Mục tiêu chương triển khai thử nghiệm hệ thống chống rò rỉ, thất thoát liệu dựa giải pháp Mcafee 3.1 Hệ thống thông tin thử nghiệm yêu cầu đặt Yêu cầu triển khai: - Cài đặt triển khai hệ thống chống thất thoát liệu DLP - Kiểm soát thiết bị ngoại vi Chỉ kết nối với thiết bị ngoại vi đăng kí - Block việc upload liệu - Triển khai hệ thống giám sát mạng sách theo dõi, ghi log kiện toàn hệ thống - Phân loại liệu nhạy cảm tạo khu vực bảo vệ liệu nhạy cảm - Việc triển khai không ảnh hưởng người dùng cuối 3.2 Triển khai hệ thống - Triển khai McAfee ePolicy Orchestrator (EPO) máy chủ x3850 M2 - Triển khai McAfee EPS xuống tất máy trạm cách tự động thông qua Agent nhất, McAfee Agent Thực phân hoạch, gộp nhóm tài nguyên (máy chủ, máy trạm) để dễ dàng xây dựng sách bảo mật quản lý máy trạm, máy chủ 3.2.1 Cấu hình yêu cầu Bảng cấu hình yêu cầu cho việc cài đặt, triên khai hệ thống chống rò rỉ, thất thoát liệu DLP 3.2.2 Cấu hình tính Block USB CD-Rom Đây tính ngăn chặn kết nối thiết bị ngoại vi, nhiên linh hoạt tùy chỉnh cho phép kết nối thiết bị cụ thể 3.2.3 Tạo Tag cho File Server cần bảo vệ liệu 3.2.4 Cấu hình tính Block Upload 16 3.2.5 Thiết lập sách 3.2.5.1 Phân loại thông tin - Thông tin bình thường: thông tin công việc, không liên quan đến công ty, trao đổi hàng ngày nhân viên công ty với (chuyện gia đình, tình cảm, đời sống ngày) - Thông tin nhạy cảm: thông tin liên quan đến công việc nội công ty nhân viên với nhân viên nhân viên với khách hàng (doanh thu, lợi nhuận, tiền lương, PR, chăm sóc khách hàng) - Thông tin mật: thông tin quan trọng công ty, người có quyền hạn thuộc công ty biết (thông tin cá nhân nhân viên, khách hàng, username, password, hợp đồng, thông tin đối tác) - Thông tin tuyệt mật: thông tin mang tính chiến lược kinh doanh, định hướng công ty (bản thiết kế, kế hoạch) 3.2.5.2 Chính sách quản lý thông tin Đối với thông tin bình thường: nhân viên tùy ý sử dụng, trao đổi làm việc Đối với thông tin nhạy cảm: - Các nhân viên phải đảm bảo tất thông tin nhạy cảm dạng cứng tài liệu điện tử phải an toàn khu vực làm việc - Máy tính nhân viên phải khóa lại không làm việc tắt hoàn toàn hết làm việc - Những tài liệu lưu hành nội không để bàn làm việc mà phải cất ngăn kéo khóa cẩn thận nhân viên hết làm việc - Nhân viên không viết mật cá nhân lên giấy dán, notebook, hay vị trí dễ tiếp cận khác - Các nhân viên không phép tiết lộ mật tài khoản cho người khác cho phép người khác sử dụng tài khoản minh, bao gồm gia đình thực công việc nhà 17 - Nhân viên không tự ý tiết lộ thông tin liên quan đến công ty trang blog, mạng xã hội Facebook, Twitter, Google Plus,… Đối với thông tin mật: - Bao gồm tất sách - Thông tin cá nhân, username, password lưu trữ server phải đặt phòng đặc biệt, khóa chắn giám sát liên tục qua camara, có nhân viên IT phụ trách phép tiếp cận - Các văn bản, giấy tờ quan trọng phải lấy khỏi máy in sau in xong - Tất liệu mật lưu trữ thiết bị ngoại vi CD-ROM, DVD hay USB phải mã hóa đặt password Đối với thông tin tuyệt mật: - Bao gồm tất sách - Tất tài liệu, giấy tờ sau không sử dụng phải băm nhỏ máy cắt giấy thùng xử lý liệu bí mật phải khoá cẩn thận - Bảng trắng sử dụng hội họp cần phải xóa sau họp kết thúc - Tất máy in máy fax phải xóa hết liệu, giấy tờ sau chúng in - Tất thông tin tuyệt mật công ty lưu trữ phân tán hai file server, phân quyền, gán nhãn tự động Windows Server 2012 Dynamic Access Control kết hợp Right Management Services (cho phép người gửi phân quyền tương tác với nội dung cho người nhận như: cấm in tài liệu, cấm chuyển email cho người khác, thiết lập thời gian hết hạn tài liệu) tự động mã hóa Không có nhân viên phép truy xuất thông tin trừ ban lãnh đạo công ty 3.2.5.3 Quản lý truy cập - Các nhân viên truy cập, sử dụng chia sẻ thông tin độc quyền phạm vi ủy quyền thực cần thiết để thực nhiệm vụ công việc giao 18 - Bộ phận IT có trách nhiệm tạo hướng dẫn liên quan đến sử dụng cá nhân hệ thống mạng Internet/Intranet/Extranet Trong trường hợp sách vậy, nhân viên phải hướng dẫn việc sử dụng có vấn đề gì, nhân viên cần tham khảo ý kiến trưởng phòng phòng ban mà họ làm việc - Mọi hoạt động người dùng hệ thống ghi log lại - Tất thiết bị di động máy tính có kết nối với mạng nội phải tuân thủ sách quyền truy cập tối thiểu - Tất thông tin bí mật công ty lưu trữ phân tán hai file server, phân quyền gán nhãn tự động Windows Server 2012 Dynamic Access Control kết hợp windows Right Management Services tự động mã hóa.Không có nhân viên phép truy xuất thông tin trừ ban lãnh đạo công ty - Mức độ sử dụng mật phải tuân thủ sách mật - Tất nhân viên phải cẩn trọng mở file đính kèm email nhận từ người gửi không rõ, chứa phần mềm độc hại - Cấm chép trái phép tài liệu có cứng - Các nhân viên không phép tiết lộ mật tài khoản cho người khác cho phép người khác sử dụng tài khoản minh, bao gồm gia đình thực công việc nhà - Cấm hành vi vi phạm an ninh hay làm gián đoạn truyền thông mạng bao gồm: cài đặt malicious code, công từ chối dịch vụ, giả mạo hay ăn cắp thông tin nhân viên khác 3.3 Đánh giá hệ thống thử nghiệm: 3.3.1 Kết đạt Hệ thống DLP thực tốt việc block thiết bị ngoại vi hoạt động upload file Việc bảo vệ liệu nhạy cảm thực tốt Đặc biệt,với đặc thù quan nhà nước, việc liệu nhạy cảm hầu hết văn biểu mẫu nên hệ thống DLP hoạt động tốt, việc quét phát file nhạy cảm bao gồm toàn số liệu 19 nhạy cảm việc phân biệt liệu nhạy cảm với biểu mẫu không quan trọng chưa hoàn toàn Việc triển khai hệ thống DLP ngăn chặn rò rỉ cách tình cờ việc sử dụng thiết bị ngoại vi hay việc upload file Đồng thời, hệ thống DLP giúp người dùng xử lý liệu nhạy cảm cách xác sách thiết lập DLP đảm bảo người dùng không xử lý liệu nhạy cảm cách vô trách nhiệm gửi kèm lên email hay tải lên trang tin công cộng Hệ thống DLp ghi nhận tập trung toàn hoạt động hệ thống mạng Có thể tra cứu cách rõ ràng hoạt động toàn hệ thống 3.3.2 Hạn chế hệ thống Hệ thống DLP ghi nhận toàn hoạt động hệ thống mạng, điều tạo sở pháp lý cho hành động phá hoại đánh cắp thông tin nội quan Tuy nhiên, DLP không ngăn chặn việc người dùng xem file chứa liệu nhạy cảm, người dùng chụp ảnh hình, ghi nhớ thông tin ăn cắp ổ đĩa cứng Để ngăn chặn điều này, cần có biện pháp theo dõi, bảo vệ riêng Mặt khác, với nhân viên IT có kiến thức kỹ thuật vô hiệu hóa hệ thống này, hành động công, đánh cắp không ghi lại Tuy nhiên, có hệ thống DLP tốt nhiều, nhiều người có khả Và việc ngăn chặn công nội không cần DLP, cần đề phòng chính sách công ty, tổ chức Đối với công từ bên ngoài, hiệu việc công phụ thuộc vào cách thức công Nếu việc cài đặt malware truy cập tập tin theo dõi, hệ thống DLP đưa cảnh báo bị phát Các hoạt động mạng ghi nhận lại toàn hệ thống DLP Nhưng có chứng đó, bạn khó có khả giải việc 3.3.3 Các biện pháp khắc phục hạn chế Như trình bày phần 1.2.2.2, điều sau giải phần lớn công nội bộ: - Các sách rõ ràng: Nêu rõ sách công ty cách súc tích dễ hiểu làm tăng khả nhân viên thực đọc áp dụng làm việc Các sách cần hướng dẫn nhân viên hành vi, hoạt động xác định làm, bị cấm 20 - Đào tạo tốt: Đào tạo nhân viên nhận thức sách an ninh giải thích ý nghĩa đằng sau sách khác công ty làm tăng hiểu biết nhân viên toàn trình làm việc, làm họ giúp cải thiện - Kiểm tra lý lịch: Thực kiểm tra tảng nhân viên hỗ trợ việc ngăn chặn cá nhân không đáng tin cậy giai đoạn đầu - Bảo mật vật lý: Hãy chắn sở hạ tầng công nghệ thông tin quan trọng lưu trữ thông tin nhạy cảm bảo vệ Trộm cắp xảy có hội tiếp cận sở hạ tầng nơi lưu trữ thông tin nhạy cảm, hạn chế hội chặng đường dài việc bảo vệ tài sản kinh doanh - Xây dựng niềm tin: Đối xử lao động công tin tưởng công cụ đơn giản việc chống lại tinh thần thấp chặng đường dài việc xây dựng lực lượng lao động trung thành Làm bạn tin tưởng người mà không tin tưởng bạn? Đối với việc phát ngăn chặn công từ xa, việc bổ sung DLP có số tác dụng Tuy nhiên, việc hệ thống có tường lửa, IDS, phần mềm chống virus, tiến hành đào tạo nâng cao nhận thức an ninh nhân viên an toàn nhiều việc phòng chống mối đe dọa này, cài đặt hệ thống DLP 3.4 Kết luận DLP công nghệ bảo mật thông tin, thay cho công nghệ khác Hệ thống DLP vượt trội việc ngăn chặn rò rỉ ngẫu nhiên công từ người thiếu hiểu biết công nghệ hệ thống Vì vậy, việc triển khai DLP với công nghệ bảo mật khác đáng giá 21 DANH MỤC TÀI LIỆU THAM KHẢO [1] Hart, Michael, Manadhata, Pratyusa and Johnson, Rob Text Classification For Data Loss Prevention s.l : Springer Berlin / Heidelberg, 2011 [2] Michael Sonntag (JKU),Vladimir A Oleshchuk (UiA) Data Loss Prevention Systems and Their Weaknesses [3] Mogull, Rich Best Practices for Endpoint Data Loss Prevention s.l : Securosis, L.L.C., 2009 [4] Mogull, Rich Implementing DLP: Deploying Network DLP Securosis [Online] February 13, 2012 [Cited: May 9, 2012.] [5] Park, Y., et al s.l : System for automatic estimation of data sensitivity with applications to access control and other applications, 2011 [6] Quellet, Eric s.l : Data Loss Prevention, 2009 [7] Verizon 2015 Data Breach Investigations Report [...]... của hệ thống chống rò rỉ, thất thoát dữ liệu DLP Cùng với đó, học viên cũng đã giới thiệu một giải pháp thương mại do Mcafee cung cấp Mục đích cuối cùng của hệ thống DLP là việc phân loại và bảo vệ dữ liệu nhạy cảm bằng các chính sách do cơ quan, tổ chức sử dụng tự tạo ra 15 CHƯƠNG 3: TRIỂN KHAI HỆ THỐNG THỬ NGHIỆM Mục tiêu của chương này là triển khai thử nghiệm hệ thống chống rò rỉ, thất thoát dữ liệu. .. 3.1 Hệ thống thông tin thử nghiệm và các yêu cầu đặt ra Yêu cầu triển khai: - Cài đặt và triển khai hệ thống chống thất thoát dữ liệu DLP - Kiểm soát thiết bị ngoại vi Chỉ kết nối với thiết bị ngoại vi đã được đăng kí - Block việc upload dữ liệu - Triển khai hệ thống giám sát mạng cũng như chính sách theo dõi, ghi log sự kiện toàn bộ hệ thống - Phân loại dữ liệu nhạy cảm và tạo khu vực bảo vệ dữ liệu. .. vệ các dữ liệu? Kiểm toán, mã hóa, ngăn chặn, Lựa chọn nên được thực hiện tùy thuộc vào loại thông tin 2.3.2 Phân loại dữ liệu Phương pháp để phân tích và khám phá dữ liệu nhạy cảm tồn tại Các phương pháp phổ biến nhất là sử dụng kết hợp từ khoá, biểu thức thông dụng, so sánh dấu vân tay dữ liệu sử dụng hàm băm và sử dụng các thuật toán học máy 2.3.2.1 Phương pháp kết hợp từ khóa Kết hợp từ khoá (Keyword... Đánh giá hệ thống thử nghiệm: 3.3.1 Kết quả đạt được Hệ thống DLP thực hiện rất tốt việc block thiết bị ngoại vi và các hoạt động upload file Việc bảo vệ dữ liệu nhạy cảm cũng được thực hiện tốt Đặc biệt,với đặc thù là cơ quan nhà nước, việc các dữ liệu nhạy cảm hầu hết là các văn bản biểu mẫu nên hệ thống DLP hoạt động rất tốt, việc quét phát hiện file nhạy cảm đã bao gồm được toàn bộ số dữ liệu 19... nhạy cảm một cách vô trách nhiệm như gửi kèm nó lên email hay tải lên các trang tin công cộng Hệ thống DLp ghi nhận tập trung toàn bộ hoạt động của hệ thống mạng Có thể tra cứu một cách rõ ràng từng hoạt động trong toàn hệ thống 3.3.2 Hạn chế của hệ thống Hệ thống DLP sẽ ghi nhận toàn bộ hoạt động của hệ thống mạng, điều này sẽ tạo cơ sở pháp lý cho những hành động phá hoại cũng như đánh cắp thông... vi phạm chính sách - Bảo vệ mạng: Theo dõi dữ liệu được truyền qua mạng khi các thiết bị đầu cuối là đi từ các mạng công ty Nếu không, DLP mạng chịu trách nhiệm cho các chức năng này - Bảo vệ ứng dụng: DLP tích hợp trong hệ điều hành và các ứng dụng để ngăn chặn các hành động như việc sao chép vào clipboard, chụp ảnh chụp màn hình hoặc gõ dữ liệu nhạy cảm vào các chương trình chat 10 2.2.3 Giám sát... tế là có thể có hàng Gigabyte dữ liệu nhạy cảm được tạo ra mỗi tháng Trong tình huống như vậy thêm từ khóa, biểu thức thông dụng có thể trở nên tốn thời gian và phản tác dụng đối với việc quản lý CNTT Tuy nhiên, một hệ thống sử dụng các thuật toán học máy như thế này chỉ làm việc với các tài liệu văn bản, và có thể có một tỷ lệ lỗi cao nếu không được huấn luyện đúng cách Và một vấn đề quan trọng nữa... lại, chỉ số này để điều tra trong tương lai và cũng có thể đánh giá nó so với quy định thời gian thực McAfee Network DLP Discover: Đánh giá trung tâm dữ liệu của bạn và tất cả các nguồn dữ liệu khác trên mạng của bạn để phát hiện và phân loại dữ liệu của bạn và đặt nền tảng cho việc bảo vệ tự động McAfee Network DLP Prevent: Block/Encrypt cả chiều inbound và outbound dựa trên chính sách được định nghĩa... việc phân biệt dữ liệu nhạy cảm với những biểu mẫu không quan trọng là chưa hoàn toàn đúng Việc triển khai hệ thống DLP đã ngăn chặn sự rò rỉ một cách tình cờ do việc sử dụng các thiết bị ngoại vi hay việc upload file Đồng thời, hệ thống DLP giúp người dùng xử lý dữ liệu nhạy cảm một cách chính xác bằng các chính sách đã được thiết lập DLP đảm bảo rằng người dùng sẽ không xử lý các dữ liệu nhạy cảm...9 quyền kiểm soát dữ liệu nhạy cảm DLP áp dụng chính sách quét và phát hiện nội dung được để khám phá nơi đặt tập tin nhạy cảm Đây có thể là cơ sở dữ liệu, trên các tập tin chia sẻ, lưu trữ nội bộ trên máy tính xách tay và máy trạm Công việc này được thực hiện giống như một máy quét chống virus, nhưng thay vì tìm kiếm virus và malware, nó sẽ tìm các tài liệu nhạy cảm và ghi lại vị trí của chúng