عنوان : جلوگیری از نشت اطلاعات (DLP)
تاریخ ارسال : یکشنبه, 15 تیر 1393 ساعت 00:14
منبع : هفته نامه عصر ارتباط شماره 653
تعداد بازدید ها : 628

طی چند سال اخیر جلوگیری از نشت اطلاعات ‌(DLP)، همچنین اتخاذ سیاست‌هایی به‌منظور حفظ اطلاعات حساس در کسب‌وکار و جلوگیری از سوءاستفاده احتمالی سودجویان از...

زینب بخشی، سرپرست فنی شرکت ارتباط امن

طی چند سال اخیر جلوگیری از نشت اطلاعات ‌(DLP)، همچنین اتخاذ سیاست‌هایی به‌منظور حفظ اطلاعات حساس در کسب‌وکار و جلوگیری از سوءاستفاده احتمالی سودجویان از این اطلاعات، بسیار مورد توجه مدیران و مسوولان سازمان‌ها قرار گرفته است. این موضوع ممکن است شما را نیز به فکر فرو برده باشد.

در این راستا علاوه بر محیط کسب‌و‌کار که به‌دنبال راهی برای جلوگیری از نشت اطلاعات است، سرویس‌دهندگان نیز در حال ارايه محصولات کاربرپسند به‌منظور جلوگیری از نشت اطلاعات هستند. اما مشکل قضیه اینجاست که وجود تهدیدات متنوع و همچنین محصولات مختلف با دیدگاه‌های متفاوت به این تهدیدات، به ایجاد سردرگمی منجر شده است.

به‌نظر می‌رسد پیاده‌سازی و به‌کارگیری هماهنگ ابزارهای DLPبه همراه فرایندهای صحیح، عاملی است که می‌تواند به جلوگیری از نشت اطلاعات کمک شایانی كند.

مفهوم واقعی جلوگیری از نشت اطلاعات

DLP، مجموعه‌ای از محصولات و فرایندها و راهکارهایی است که به حفاظت از اطلاعات حساس و مهم سازمانی کمک می‌کند.‌DLPتنها یک محصول مستقل مانند فایروال یا ایمیل سرور نیست بلکه مجموعه‌ای از تکنولوژی‌هایی است که چند جنبه مهم از امنیت اطلاعات را در کنار هم قرار می‌دهد تا بتوان به کمک آن امنیت داده‌ها را در مجموعه و سازمان برقرار کرد. سیستم DLPممکن است با شناسایی محتوا، ردیابی فعالیت‌ها و مسدود كردن انتقال اطلاعات حساس، به جلوگیری از نشت اطلاعات کمک كند.

گرچه سال‌های کمی از ظهور DLPمی‌گذرد، ولی بسیاری از تکنولوژی‌های زیرساختی و فرایندهای مورد استفاده در آن به‌صورت جدی مورد آزمایش قرار گرفته‌اند.

به‌طور کلی DLPشامل موارد ذیل است:

طبقه‌بندی داده‌ها

طبقه‌بندی داده‌ها جزو اصلی و جدانشدنی DLPاست. اگر سازمان قادر به شناسایی اطلاعات مهم و حساس خود نباشد، بدیهی است نخواهد توانست از تکنولوژی مناسب جهت جلوگیری از نشت اطلاعات استفاده كند. کلید اصلی، پیاده‌سازی یک سیستم کارآمد و اطمینان از امکان توسعه آن است. طبق اظهارات کارشناسان حوزه امنیت، طبقه‌بندی نادرست اطلاعات، کاهش چشمگیر کارآمدی این سیستم‌ها را به‌همراه خواهد داشت. پیشنهاد می‌شود اطلاعات به سه یا چهار دسته نظیر عمومی، فقط داخلی، محرمانه و ... طبقه‌بندی شده و تقسیم شوند.

رمزگذاری اطلاعات

توجه کنید که رمزنگاری، معادل با فرایند DLPنیست، بلکه رمزنگاری یکی از اجزاي مهم جهت حفاظت از داده‌های ذخیره‌شده، داده‌های در حال استفاده و داده‌های در حال انتقال سازمان است.

شایان ذکر است انطباق سیاست‌های در‌نظر گرفته‌شده، با اصول سازمان، امری حیاتی است. رمزنگاری اطلاعات می‌تواند به‌سادگی در یک سازمان اعمال شود، به‌طور مثال وقتی یک فایل اکسل، پیوست یک نامه است، باید آن را رمزنگاری کرد.

شناسایی و مسدود کردن داده‌های در حال خروج

به‌عنوان یک نکته تکنیکی، مانیتورینگ داده‌هایی که از درگاه‌های شبکه خارج می‌شوند و تعیین علت انتقال آنها امری ضروری است. کلید اصلی، داشتن سیستمی است که به‌صورت بلادرنگ (یا تقریبا بلادرنگ) داده‌ها را نظارت کرده و از نشت اطلاعات از طریق درگاه‌های شبکه داخلی، سرورها و ابزارهای ذخیره‌سازی و نقاطی که حضور انسان در شبکه مطرح می‌شود، جلوگیری كند یا گزارشی دقیق از داده‌های خروجی به ما ارایه دهد.

ایمیل

ایمیل ابزار خوبی برای سرقت اطلاعات به‌شمار می‌رود. با استفاده از آن می‌توان اطلاعات را از درون سازمان به بیرون انتقال داد یا اینکه یک نامه مخرب را ارسال كرده و در آن از یک پیوند آلوده یا بدافزار جهت آلوده كردن و ایجاد دسترسی غیرقانونی بهره جست.

تعامل ميان فروشندگان، مشاوران امنیتی و ارايه‌دهندگان سرویس ایمیل بخش مهمی از پازل DLPمحسوب می‌شود.

مدیریت تجهیزات و دستگاه‌ها

در نهایت استفاده کارکنان از تجهیزاتی که می‌توانند سبب انتقال اطلاعات سازمان شوند باید مدنظر قرار گیرد. این موضوع نیز از المان‌های اصلی DLPمحسوب می‌شود. چگونه می‌توان تجهیزات شخصی کارکنان سازمان نظیر رسانه‌های ذخیره‌سازی، تلفن‌های هوشمند، لپ‌تاپ و فلش‌مموری‌ها و ... را مدیریت کرد. به مسايل پیش رو می‌توان با دیدگاه دیگری نیز نگریست.

ابزارها و سرویس‌ها را می‌توان به سه دسته طبقه‌بندی کرد:

* ابزارهای مبتنی بر شبکه که به‌عنوان کنترل کننده لبه شبکه، ناظر جریان داده‌های داخل شبکه و در برخی موارد به‌عنوان فیلترینگ داده می‌توان از آن استفاده كرد.

* ابزارهای مبتنی بر میزبان که نیاز به یک عامل یا agentبراي نصب روی رایانه‌ها و سرور‌ها دارند تا روی این سیستم‌ها نظارت ایستا و در برخی موارد امکان مسدود کردن یا کنترل اقدامات کاربران را داشته باشند.

* تعدادی از سیستم‌های در حال توسعه که ترکیبی از هردوی این قابلیت‌ها را دارا باشند.

اشخاص

مدیریت اطلاعات فقط نصب چند تکنولوژی امنیتی در سازمان نیست. آگاهی کاربران، کلید اصلی حفاظت از اطلاعات حساس در برابر کلاهبرداران آنلاین است. DLPدر ابتدا یک فرایند است و تکنولوژی در حقیقت یک ابزار توانمند جهت کنترل و نظارت خودکار این فرایند به‌شمار می‌رود. فرایند مذکور باید شامل آموزش و آگاه‌سازی بوده و منابع انسانی، مدیریت مدارک و سوابق را منطبق با هم پوشش دهد. هدف آن، آموزش متداوم صاحبان و متولیان داده‌ها (کارکنان) به منظور کاهش عدم انطباق سیاست‌های سازمان است.

در ادامه به چند نکته که باید از انجام آن توسط کارکنان سازمان به‌صورت هدفمند یا اتفاقی جلوگیری كرد اشاره می‌شود:

ارسال ایمیل‌های حساس به خارج از سازمان

مسوول امنیت سازمان باید در شناسایی و مسدود كردن دریافت و ارسال ایمیل‌های مخرب توانمند باشد، زیرا کاربران ممکن است خواسته یا ناخواسته به ارسال اطلاعات حساسی همچون اطلاعات مشتریان یا طرح‌های آینده سازمان و ... بپردازند. برخی از اوقات منظور از ارسال ایمیل، ارسال آن به گیرندگان داخل سازمان است اما امكان دارد به‌صورت ناخواسته در قسمت گیرندگان، آدرس ایمیلی خارج از سازمان نیز درج شده باشد. لازم است سیاست‌های سازمان در خصوص ارسال كردن يا نكردن محتواي اطلاعات ارسالی توسط کارمندان روشن و واضح بیان شود و کارکنان بدانند حق ارسال داده‌هایی نظیر اطلاعات مرتبط با کارت‌های اعتباری مشتریان، مالکیت فکری سازمان و سوابق و مدارک پزشکی همکاران و ... را ندارند.

در دام حقه Phishingافتادن

فیلتر ایمیل‌ها نمی‌توانند از تمامی حملات phishingجلوگیری کنند. URL‌های سایت‌های آلوده و مخرب همچنان ارسال می‌شوند و در انتظار کلیک یک کاربر براي آلوده‌کردن سیستم به‌منظور دسترسی و سرقت اطلاعات هستند.

هکرها عموما از تیترهای جنجالی نظیر رخداد حوادث طبیعی، مرگ افراد مشهور و... براي جلب قربانیان استفاده می‌کنند. در این صورت با کلیک کاربر روی پیوند آلوده راهی برای نفوذ به سیستم قربانی و تزریق بدافزارها ایجاد می‌شود. یک برنامه آگاه‌سازی می‌تواند با آشکارسازی و هشدار مداوم از تکنیک‌ها و توطئه‌های مهندسی اجتماعی، ریسک تهدیدات بالقوه را کاهش دهد.

ارسال اطلاعات حساس با استفاده از ابزارهای ارسال پیام فوری

امروزه برنامه‌های مسنجر مانند‌yahoo messenger ،AOLو ... برنامه‌های مرسومی هستند که روی سیستم‌های کامپیوتری نصب می‌شوند. از این رو هکرها با استفاده از این ابزار و ایجاد اکانت‌های ساختگی مبادرت به‌سرقت اطلاعات می‌كنند. به این سبب آگاه‌سازی کارکنان و ایجاد و اعمال سیاست‌های امنیتی، نقش حیاتی را در امنیت اطلاعات سازمان ایفا می‌کند.

اشتراک اطلاعات حساس در شبکه‌های اجتماعی

هکرها به‌صورت فزاینده‌ای اهداف خود را روی سایت‌های شبکه‌های اجتماعی مانند LinkedIn،Facebook ،Twitterو ... متمرکز كرده‌اند. آنها می‌توانند تمام اعمال خرابکارانه خود در مسنجرها و ایمیل‌ها را از این طریق نیز اجرا كنند. هکرها در سایت فیس‌بوک می‌توانند با جعل عنوان دوستان شما یا با سوءاستفاده از پروفایل دوست شما به ارسال پیوندهای آلوده اقدام كنند. با کلیک روی پیوندهای مذکور، سیستم قربانی آلوده خواهد شد. برنامه آگاه‌سازی کارکنان بايد آنان را نسبت به این روش‌ها و اهداف مخرب مهاجمان آگاه سازد.

استفاده از رمزهای عبور نامطمئن

به‌دلیل درگیری ذهنی بالا و مشغله کاری زیاد، بسیاری از کارکنان تمایل دارند از رمزهای عبور مشابه برای شناسه‌های کاربری مختلف خود استفاده كنند.

یک سیاست کاربری مناسب، بايد کاربران را به استفاده از رمزهای متفاوت برای شناسه‌های کاربری مختلف ترغیب كند. همچنین لازم است این رمزها ترکیبی از حروف بزرگ، حروف کوچک و اعداد باشند.

تجسس در مکان‌هایی که نیاز به دسترسی نیست

کارکنان اغلب برای انجام کارهای خود نیاز به دسترسی به برنامه‌ها و سامانه‌ها اداری سازمان دارند. کارکنان معدودی نیز وجود دارند که با دسترسی به اطلاعات حساس می‌توانند سازمان را با مخاطراتی روبه‌رو كنند. بهترین راه مقابله این است که به متخصصان امنیتی سازمان تاکید شود که برای کارکنان فقط دسترسی‌هایی را که مورد نیازشان است فراهم كنند. در پایان دانستن اين نكته ضروري است كهDLPفقط نصب نرم‌افزارها و ابزارهای پیشنهادی نیست، مهم‌ترین موضوع در جلوگیری از نشت اطلاعات آگاهی به این موضوع و بررسی رفتار کارمندان و افراد در سازمان است.

 

 
نظر سنجی

با هفته نامه عصرارتباط چگونه آشنا شدید؟
 
پيوندها

 
آمار بازدید کنندگان
mod_vvisit_counterامروز23
mod_vvisit_counterدیروز35
mod_vvisit_counterاین هفته91
mod_vvisit_counterاین ماه1256
mod_vvisit_counterکل بازدیدها186877
 
دریافت
captcha

کلیه حقوق قانونی این سایت متعلق به هفته نامه عصرارتباط سرپرستی آذربایجان شرقی بوده و استفاده از مطالب آن با ذکر منبع بلا مانع است
تلفن :35554800-041     نمابر: 35554813-041
           شماره پیامک: 30008191000990


   صندوق پستی: 3667- 51385    E-mail: info@azarictnews.ir