Test rozwiązań DLP

Test rozwiązań DLP
Największe zagrożenia dla bezpieczeństwa danych
przedsiębiorstwa pochodzą z wewnątrz sieci. Można zabezpieczać jej granice, kontrolując urządzenia końcowe
i poszukując wrażliwych informacji opuszczających sieć,
ale nie będzie pewności, że pracownicy nie nadużywają
dostępu do wrażliwych danych. Narzędzia DLP (Data Loss
Prevention), które mogą być instalowane na desktopach,
laptopach lub serwerach, służą do minimalizowania niepożądanych działań użytkowników, jeżeli nie można im
ograniczyć dostępu do danych.
P
racownik działu kadr potrzebuje dostępu
np. do numerów PESEL pracowników, ale
czy musi wysyłać je pocztą elektroniczną na
zewnątrz organizacji? Celem stosowania DLP jest dopuszczenie takich działań użytkowników, które są niezbędne do wykonywania ich pracy, bez udostępniania
im jednocześnie czegokolwiek, co może stworzyć ryzyko wycieku danych.
W testach wzięły udział trzy produkty do zapobiegania wyciekom danych w punktach końcowych sieci:
Data Endpoint firmy Websense, LeakProof z Trend
Micro i Identity Finder Enterprise Edition firmy Identity Finder. Do testów zaproszono również m.in. Cisco,
McAfee, CA, RSA, Symantec, Proofpoint, ale ci producenci nie zdecydowali się wziąć w nich udziału.
Podstawowym celem testów było sprawdzenie mechanizmów identyfikowania różnych typów wrażliwych
danych i możliwości powstrzymywania ich wycieków
różnymi kanałami: skopiowanie na pamięć USB lub
płytkę CD/DVD, wydrukowanie, wysłanie pocztą elektroniczną lub komunikatorem. Ogółem przeprowadzono
588 różnych testów. Pomimo tak wysoko postawionej
poprzeczki, testowane produkty wykazały się dużym
stopniem wyrafinowania, oferują bogaty zestaw mechanizmów i łatwość użycia.
Zwycięzcą został LeakProof firmy Trend Micro, jako
najlepsze narzędzie „endpoint DLP” ogólnego użytku.
Jego konfigurowanie nie nastręczało żadnych trudności,
wydajność okazała się najlepsza. Narzędzie to było najmniej obciążające dla systemu i wymuszało politykę
w całym systemie. Ponadto, opcje instalacyjne fizycznego urządzenia zapewniają dużą elastyczność wdrożenia.
Websense Data Endpoint również bogato wyposażono w różne mechanizmy zapewniające administratorowi korzystanie z dużych sekcji gotowych szablonów
polityki, opisów specjalistycznych akcji po wykryciu
naruszenia polityki, dostosowania tych akcji do aplikacji i planowania wykonywania skrótów danych (fingerprinting) na plikach we współdzielonej sieci. Data Endpoint, element Websense Data Security Suite, oferuje
więcej mechanizmów niż Trend Micro LeakProof i jest
dużo tańszy. Ma też jednak kilka niedociągnięć.
Oba produkty są przeznaczone do pilnowania, aby
wrażliwe dane nie opuściły punktu końcowego sieci
– niezależnie czy jest to działanie zamierzone czy przypadkowe. W praktyce zablokowanie incydentalnych
wycieków jest łatwiejsze, ponieważ zdeterminowany
użytkownik zawsze może znaleźć sposób obejścia schematów blokowania.
Przedruk z Networld nr 2/2010, 15 luty 2010
TREND MICRO
www.trendmico.pl
Identity Finder nie próbuje powstrzymywać użytkowników od niewłaściwych działań związanych z danymi wrażliwymi, natomiast próbuje im pomóc chronić
takie dane. Jest to podejście całkiem odmienne, zakładające uczciwe postępowanie użytkownika, a nie podejmowanie przez niego niegodziwych czy wręcz przestępczych działań. Narzędzie wynajduje wrażliwe pozycje
danych, skupiając się przede wszystkim na informacjach związanych z tożsamością, takich jak: nazwiska,
adresy, numery identyfikacyjne, numery kart kredytowych i inne dane osobowe.
została zmieniona. Na potrzeby testu zmieniano jednak
zawartość w niewielkim zakresie, dlatego funkcjonalność ta nie została w pełni sprawdzona.
Rozpoznawanie wrażliwych danych
Tradycyjną metodą rozpoznawania krytycznych danych
jest przeglądanie każdego udostępnianego pliku, w którym można się ich spodziewać. W taki sposób dane mogą
rozpoznawać Data Endpoint i LeakProof – pod warunkiem, że w systemie potrzebne jest tylko rozpoznawanie
lub instalowanie agenta punktu końcowego nie jest wykonalne albo niepożądane. Jeżeli jednak włączenie udostępniania pliku na każdym urządzeniu w sieci może
mieć pewne niezamierzone efekty uboczne, narzędzia te
mogą przeprowadzać rozpoznawanie na punktach końcowych za pośrednictwem agenta, bez konieczności włączania funkcji współdzielenia plików.
Indentity Finder skanowanie przeprowadza w całości
na systemie lokalnym i każdy plik zidentyfikowany jako
wrażliwy jest raportowany na konsoli zarządzania.
Ukryty tryb działania agenta Data Endpoint sprawia,
że takie skanowanie staje się prawie niewykrywalne dla
zwykłych użytkowników. Data Endpoint zapewnia dodatkowe korzyści: rozpoznawanie sieci nie wprowadza
nadmiernych zakłóceń w pracy sieci lub urządzeń, ponieważ produkt ma możliwość regulowania przepustowości dostępnej dla procesów rozpoznawania.
„Odciski linii papilarnych” danych
W produktach DLP inicjowanie procesu tworzenia skrótów danych (fingerprinting) jest zazwyczaj zastrzeżone
dla wybranych użytkowników. W Data Endpoint i LeakProof zrezygnowano z takich poziomów uprawnień i pozwolono zwyczajnym użytkownikom na określenie,
która informacja powinna być chroniona przez uruchomienie planowanego wykonywania skrótów danych dla
plików udostępnianych w sieci. Oczywiście, administrator nadal może ręcznie zdejmować „odciski palców” plików, a także konfigurować planowane wykonanie skrótów danych na plikach w wydzielonej części sieci.
Jeżeli np. księgowy utworzył arkusz kalkulacyjny,
który nie powinien opuszczać sieci, to wszystko, co musi
zrobić, to wrzucić go do takiej części sieci. Przy kolejnym obiegu wytwarzania skrótów danych (według harmonogramu przygotowanego przez administratora), dla
tego nowego pliku będzie automatycznie utworzony
skrót danych i włączony do zasad polityki DLP.
Trend Micro wykorzystuje unikatową technikę wytwarzania skrótów danych, inspirowaną techniką linii
papilarnych człowieka, która pozwala na zidentyfikowanie dokumentu nawet wtedy, gdy jego znaczna część
www.networld.pl | luty 2010
Identity Finder: przeszukiwanie wiadomości poczty elektronicznej.
Reakcja na naruszanie reguł gry
Gdy zostanie stwierdzone naruszenie obowiązujących
reguł, narzędzie musi zareagować. Data Endpoint i LeakProof dają następujące możliwości: zablokowanie kwestionowanego działania, odpytanie użytkownika czy
potwierdza lub uzasadnia takie działanie, wysyłanie powiadomienia do administratora i rejestrowanie naruszenia reguł. Każde oferuje coś, czego nie ma konkurent.
Data Endpoint zapewnia możliwość uruchamiania
specjalistycznego skryptu, np. przemieszczającego zagrożony plik do bezpiecznego miejsca lub szyfrującego
plik. Jedynym ograniczeniem jest tu stopień biegłości
administratora w sztuce pisania skryptów.
LeakProof ma natomiast możliwość uzyskiwania
szerszej informacji od użytkownika. Oferuje przykładowo opcję żądania uzasadnienia dla takiej akcji,
Trend Micro LeakProof: kreator polityk.
2
testy i porównania
zamiast prostego „tak” lub „nie”, jak w Data Endpoint.
Opcje te są dostępne jedynie wtedy, gdy wybrane zostanie potwierdzanie działań zamiast blokowania. Zarówno Data Endpoint, jak i LeakProof mogą blokować niepożądane działania w trybie ukrytym – użytkownik
może nawet nie wiedzieć, że taki agent działa w jego
systemie.
Identity Finder: przeszukiwanie baz danych.
Identity Finder pozwala użytkownikowi na dokonanie wyboru, co robić z wykrytym wrażliwym plikiem.
Użytkownik może: przenieść go do repozytorium plików zaszyfrowanych, wielokrotnie poszatkować plik,
poddać kwarantannie w bezpiecznej lokalizacji lub – jeżeli jest to plik tekstowy (Word, PDF) – usunąć zagrożone fragmenty z pliku.
Mechanizmem, który może budzić pewne wątpliwości jest ukierunkowane na aplikacje konfigurowanie
zasad polityki w Data Endpoint. Chociaż narzędzie to
zapewnia administratorowi bardzo szczegółowy poziom
kontroli, to stawia go przed problemem stałego monitorowania strumienia nowych aplikacji, które muszą być
wykrywane i dodawane do zbioru reguł polityki. W środowiskach, gdzie użytkownicy nie są dopuszczani do
instalowania oprogramowania, może to być mniejszy
problem.
Instalacja
Instalacja testowanych produktów nie była szczególnie
trudna, chociaż wszystkie wykazują pewne niedostatki.
Websense wymaga zainstalowania w systemie Oracle
i MS SQL, jak również .Net 3.5. Pozycje te były dołączone do plików instalacyjnych. Pliki instalacyjne Oracle
i MS SQL ręcznie wyciągnięto z pakietu i następnie poinstruowano instalator, gdzie je można znaleźć. Zważywszy, że elementy te są połączone, proces ten powinien być zautomatyzowany. Po instalacji z konsoli
zarządzania zostały wprowadzone informacje licencyjne wymagane przez Websense.
Data Endpoint zawiera narzędzie do tworzenia pakietów instalacyjnych dla punktów końcowych. Posłu-
3
testy i porównania
gując się nim, administrator specyfikuje adres IP serwera zarządzania i kilka innych parametrów. Na podstawie
tych informacji Data Endpoint tworzy dostosowany pakiet instalatora, który może być użyty do rozprowadzania agenta na urządzenia klienckie. W testach pliki te
były kopiowane na klienty i ręcznie instalowane.
Instalacja Trend Micro LeakProof była ułatwiona
dzięki użyciu fizycznego urządzenia, aczkolwiek dokumentacja instalacji miała pewne braki. Przewodnik „szybkiego startu” dostarczany z produktem zawierał schemat portów niepasujący do konfiguracji
portów na PowerEdge 1950. Nie działały też nazwa
użytkownika i hasło. Ponieważ system jest zbudowany na CentOS (bezpłatny klon Red Hat), dobrze znany testującym, konfigurację sieciową wykonano ostatecznie ręcznie.
Od tego punktu proces instalacji LeakProof jest już
bezproblemowy. Instalator agenta punktu końcowego
sterowany wierszami komend wymaga określenia adresu IP serwera zarządzania. Wdrożenie przez Active Directory lub System Center Configuration Manager także jest możliwe, ale nie było testowane.
Poziom łatwości procesu instalacyjnego Identity
Finder można określić jako średni. Nie stwierdzono
większych problemów, ale konieczne było ręczne instalowanie .Net 3.5, Microsoft Report Viewer 2008 i IIS 6.0.
Ponieważ pierwsze dwa produkty są bezpłatne, a trzeci
jest komponentem Windows, proces ten docelowo powinien być zautomatyzowany. Po instalacji konieczne było
ręczne skopiowanie licencji do katalogu zawierającego
pliki wykonywalne konsoli zarządzania.
Instalator Identity Finder tworzy także plik rejestru, który wraz z plikami instalatora i licencji musi być
Identity Finder
Enterprise Edition
Producent: Identity Finder
(www.identityfinder.com)
Zalety:
Dostarcza użytkownikowi wielu informacji
o wrażliwych danych; bardzo dobra funkcjonalność naprawcza; interfejs przyjazny dla
użytkownika.
Wady:
Nie blokuje, a jedynie identyfikuje dane,
które powinny być zabezpieczone; wymaga
dodatkowego oprogramowania do zarządzania klientem; skomplikowane konfigurowanie
centralnej polityki; wykrywa jedynie informacje związane z tożsamością; proces instalowania wymaga dopracowania; fałszywe rozpoznawanie plików programowych i bibliotek
Windows DLL.
Cena:
5000 USD + 29,95 USD za użytkownika
(dla 1000 użytkowników)
luty 2010 | www.networld.pl
skopiowany na klienta. Plik rejestru powinien być „odpalony” ręcznie, aby dodać informacje o serwerze zarządzania do rejestru, a następnie instalator może zostać
uruchomiony komendą.
LeakProof ma łatwy w użyciu interfejs przeglądarkowy. Uwzględnia on schemat konfigurowania, pokazujący wszystkie niezbędne kroki. Podobnie jak Data
Endpoint, LeakProof może wymuszać zasady polityki
Konfiguracja
Konfigurowanie serwera zarządzania LeakProof
i Identity Finder jest w całości wykonywane z konsoli
przeglądarkowej. Data Endpoint ma również konsolę
przeglądarkową do zarządzania polityką i profilami,
ale także oddzielną wtyczkę MMC do zarządzania
samym serwerem. Websense pracuje nad ujednoliceniem tych wszystkich funkcji w jednej konsoli przeglądarkowej.
Konfigurowanie w Data Endpoint jest najłatwiejsze
(wyłączając podział na dwa interfejsy). Wstępne konfigurowanie polityki jest ułatwione dzięki zastosowaniu
Policy Wizard, który pozwala m.in. na wykorzystanie
długiej listy dostępnych szablonów. Na potrzeby testu
wykorzystano jedynie szablony HIPPA i PCI.
Websense Data Endpoint: szczegóły incydentów naruszenia
danych.
Metody
wyprowadzania danych
• kopiowanie na dysk USB;
• zapis na CD;
• wydruk na drukarkę;
• wysłanie wiadomości komunikatorem;
• przesłanie wiadomości pocztą elektroniczną
(za pośrednictwem klienta www; klienta
open source i Outlook Express);
• udostępnianie za pomocą klienta P2P;
• kopiowanie do sieci udostępniania plików;
• wklejenie zawartości pliku do edytora tekstu.
Po wstępnej konfiguracji profili polityki, administrator przechodzi do konfigurowania szczegółowego.
W testach używano jedynie profili domyślnych ale
można dostosowywać profile do różnych komputerów
lub użytkowników. Każdy profil składa się z kanałów
przesyłu danych i aplikacji. Administrator wybiera,
który kanał ma być chroniony, a następnie konfiguruje akcje blokujące dla wybranych grup czy też indywidualnych aplikacji.
Istnieje opcja blokowania „globalnego” lub potwierdzania akcji, ale nie jest zalecana, ponieważ może wpływać na działanie Windows. Produkt nie ma możliwości
blokowania plików na podstawie ich nazwy, ponieważ według firmy nie ma to większego znaczenia praktycznego.
We wszystkich trzech produktach zmiany w konfiguracji muszą być podesłane do punktów końcowych.
W LeakProof i Data Endpoint politykom nadaje się numery wersji, co znacznie ułatwia kontrolę aktualności
skonfigurowania. W Data Endpoint częstotliwość kontrolowania uaktualnień reguł polityki i profili jest konfigurowana przez administratora (z dokładnością do
minuty).
www.networld.pl | luty 2010
globalnie lub na bardziej szczegółowym poziomie
– użytkownika lub grupy użytkowników. Dodatkowym
mechanizmem jest możliwość tworzenia reguł warunkowych typu „if-then”.
Interfejs konfiguracyjny Identity Finder pod względem łatwości użytkowania pozostaje nieco w tyle za
dwoma pozostałymi testowanymi narzędziami. Drzewo
opcji w konfigurowaniu reguł polityki opisano „żargonowo”, jednak po ustaleniu różnic pomiędzy „Anyfind”
i „Onlyfind”, wyjaśnienia w samym interfejsie były dostateczne do skonfigurowania systemu zgodnie z wymaganiami testu.
Administrator Identity Finder może skontrolować,
jakich środków zapobiegawczych może użyć użytkownik końcowy i jakie operacje konfigurowania będą dla
Data Endpoint
Producent: Websense (www.websense.com)
Zalety:
Łatwy w instalacji, wdrożeniu i zarządzaniu;
minimalny wpływ na wydajność systemu na
platformie Windows XP, Windows 2003 i Server 2008; bogaty zestaw mechanizmów.
Wady:
Ukierunkowanie na aplikacje oznacza, że administrator musi zmagać się z użytkownikami
wynajdującymi nowe aplikacje do otwierania
danych, które mogą naruszać przyjęte reguły
polityki; niespójna reakcja na naruszanie zasad polityki.
Cena:
17,50 USD rocznie za użytkownika
(1000 użytkowników)
4
testy i porównania
testy i porównania
niego dostępne. Punkt końcowy można łatwiej konfigurować z jego lokalnej konsoli niż z konsoli centralnej.
Trend Micro LeakProof: raport sumaryczny.
Wydajność
Po skompletowaniu konfiguracji testowano kombinacje
chronionych plików, metod wyprowadzania danych
i systemów operacyjnych (w sumie 588 testów).
Podstawowe kategorie ochranianych plików obejmują: dane związane z HIPAA, dane związane z PCI,
kody programów w różnych językach, dokumenty formalnie sklasyfikowane jako chronione (poufne, tajne),
dokumenty prawne, pliki multimedialne oraz pliki puste do sprawdzania blokowania wg nazw plików, a także
standardowe dokumenty.
Nie wszystkie testy były możliwe w każdej konfiguracji. Identity Finder nie ma możliwości blokowania, dlatego nie został uwzględniony w testach wydajności. Najlepsze wyniki uzyskał LeakProof, osiągając
ogólny współczynnik wykrycia na poziomie 76%, Data
Point – 68%. LeakProof wykazał się dużą skutecznością: 100-proc. w wykrywaniu danych HIPAA i PCI,
również 100-proc. w wykrywaniu różnych kodów programów i 96-proc. w blokowaniu dostępów do różnych
nośników (flash USB, CD). Natomiast jego osiągi
w blokowaniu dokumentów prawnych i plików według
nazw wyniosły odpowiednio 29% i 18%.
vv O
cena
LeakProof ma jednak problem z blokowaniem
mniejszych fragmentów dokumentów. Data Endpoint
potrafi przechwytywać strony, ale akapity czy fragmenty liczące kilka zdań – już nie. Może to stwarzać kłopoty
w dokumentach, gdzie jedynie kilka akapitów zawiera
rzeczywiście wrażliwe informacje. Problem można
obejść, stosując inne mechanizmy – porównywanie
i blokowanie według wzorców i słów kluczowych.
Data Endpoint uzyskał wyższą punktację w blokowaniu różnych sposobów wyprowadzania informacji.
I tak np. 85% skuteczności w blokowaniu wycieków za
pośrednictwem pamięci USB, CD czy poczty internetowej (LeakProof – 75%). Testowana wersja Data Endpoint
nie blokuje przemieszczania przez użytkowników danych do współdzielonych dysków sieciowych bez zablokowania dostępu na poziomie Windows, co skutkowało
przyznaniem zero punktów w tej kategorii. Websense
planuje usunięcie tych niedostatków w wersji 7.5.
Chociaż żaden z produktów nie miał jednoznacznej
funkcji wykrywania plików przez porównanie nazw, to
możliwości stosowania słów kluczowych w Data Endpoint mogą być zastosowane również do tych celów.
Identity Finder sprawował się dobrze w zakresie
celów, do jakich został zaprojektowany. Jedynymi da-
LeakProof
Producent: Trend Micro (www.trendmicro.com)
vv T
abele
V Benjamin Blakely, Mark Rabe, Justin Duffy,
Józef Muszyński
osiągów
Procenty odzwierciedlają poziom skuteczności w blokowaniu wrażliwych danych przed wyciekiem
z punktów końcowych sieci.*
Data Endpoint
LeakProof
Punktacja ogólna w procentach (wszystkie 588 testów)
68
76
Windows XP
72
78
Windows Vista
63
74
Windows Server 2003
72
76
Windows Server 2008
61
76
Z uwzględnieniem systemów operacyjnych (%)
Wady:
Z uwzględnieniem chronionych typów plików (%)
Wstępne ustawianie urządzenia niezgodne
z przewodnikiem szybkiego startu; brak możliwości blokowania poszczególnych aplikacji
poza tymi już zdefiniowanymi w konsoli zarządzania; brak możliwości przechwytywania
mniejszych fragmentów danych, dla których
utworzono skrót.
HIPAA
86
100
PCI
86
100
Kody programów
75
100
Poufne/tajne
72
91
Prawne
45
29
Media
81
96
Cena:
Nazwy plików
50
18
Pliki standardowe
72
86
Data Endpoint
LeakProof
Wydajność (60%)
2,0
3,5
4,0
Zarządzanie (20%)
3,0
4,0
4,0
Mechanizmy (10%)
4,0
4,0
4,0
Dokumentacja (10%)
3,0
4,0
3,0
Średnia ważona
2,5
3,75
3,9
Skala ocen od 1 do 5. Kategorie ważone procentowo. Punktacja: 5 – doskonałe, 4 – bardzo dobre, 3 – średnie, 2 – poniżej średniej, 1 – nie do przyjęcia
5
LeakProof okazał się najlepszym narzędziem DLP ogólnego użytku dla punktów końcowych sieci: bezproblemowe konfigurowanie, najlepsze osiągi, najmniejszy
wpływ na pracę systemu i możliwość wymuszania zasad polityki w ramach całego systemu.
Data Endpoint daje administratorowi zdecydowanie
najwięcej możliwości: w pełni „pakietową” instalację,
wybór reguł polityki z obszernego zbioru szablonów, dostosowywanie za pomocą skryptów akcji po wykryciu
Dobre możliwości blokowania, forma prekonfigurowanego urządzenia znacznie upraszcza
instalację; możliwość tworzenia warunkowych łańcuchów reguł wyzwalających akcje
po zaistnieniu kombinacji zdarzeń.
65,95 USD za użytkownika
(1000 użytkowników)
Identity Finder
wycieków, dopasowywanie akcji do aplikacji oraz planowe zdejmowanie „odcisków palców” z plików udostępnianych w sieci. Jednakże ukierunkowanie na aplikacje
wymaga od administratora stałego utrzymywania nadzoru nad aplikacjami instalowanymi w sieci oraz stałego uaktualniania profili punktów końcowych.
Identity Finder jest przystosowany dla mniejszych organizacji, gdzie odpowiedzialność za ochronę danych
może być delegowana na użytkowników. Konfigurowanie
na poziomie przedsiębiorstwa nie jest porównywalne
z tym, co zapewniają Data Endpoint i LeakProof, a brak
funkcji blokowania wyklucza produkt z kręgu pełnych
rozwiązań DLP. Z drugiej jednak strony, wrażenie robią
możliwości naprawcze, jakie zapewnia użytkownikom:
przyjazny i łatwy do opanowania interfejs oraz bardzo dobre możliwości wykrywania danych skojarzonych z tożsamością. Jest to też jedyny produkt obsługujący Mac OS.
Podsumowanie
Zalety:
rozwiązań DLP
Kategoria
nymi związanymi z HIPSS i PCI, których nie zidentyfikował, były numery kart American Express. Nie
było natomiast problemów z numerami kart płatniczych Mastercard czy Visa, nazwiskami, adresami,
numerami telefonów czy identyfikatorami osobistymi.
Aczkolwiek stwierdzono dużą liczbę fałszywych rozpoznań w systemie bibliotek DLL i innych plików programowych Windows, które zostały uznane za informacje wrażliwe.
luty 2010 | www.networld.pl
Z uwzględnieniem metod wyprowadzania danych (%)
Dyski USB
85
75
CD
85
74
Dyski sieciowe
0
75
Drukarki sieciowe
71
75
Webmail
85
75
Open Source Mail
83
75
Microsoft Mail
78
75
P2P
79
80
Komunikatory
73
73
Wklejanie
73
81
*Brak w zestawieniu Identity Finder, ponieważ jego działanie polega wyłącznie na wykrywaniu i zabezpieczaniu magazynów wrażliwych danych, a nie na aktywnym
blokowaniu.
www.networld.pl | luty 2010
6