Impedir que la información salga de la red corporativa

6

¿Cómo evita que la información confidencial salga de la red?

Hoy en día las instalaciones de almacenamiento en línea están en abundancia. p.ej. Google Drive, One Drive, etc. Cualquier empleado puede simplemente cargar información confidencial en estos sitios para su almacenamiento. Esto es sólo un ejemplo. Otros ejemplos tal vez para almacenar dicha información en USB y sacarla de la oficina.

Estoy pensando en implementar DLP para tales propósitos. ¿Qué tan fácil es hacer esto y cuáles son algunas consideraciones? ¿Es una solución cara? ¿Existen otras alternativas más baratas si las soluciones DLP son caras?

    
pregunta Pang Ser Lark 22.08.2015 - 09:01
fuente

2 respuestas

11

El punto clave aquí es que cualquier seguridad es tan fuerte como su enlace más débil.

Sea claro desde el principio si está protegiendo contra:

  • fugas inadvertidas por usuarios despistados u olvidados o
  • contra las filtraciones intencionales por parte de adversarios motivados

Los primeros son más fáciles de proteger contra. Pero para diseñar un eficaz y amp; La solución práctica contra este último es un trabajo muy desafiante. No te dejes engañar por los coloridos informes de los vendedores del vendedor.

Lo ilustraré utilizando ejemplos: he visto que las organizaciones gastan mucho en soluciones de filtrado y marcado basadas en la red solo para descubrir, después de un incidente, que la parte culpable utilizó el cifrado (lo que hace que incluso la inspección profunda de paquetes sea discutible). En otro caso, el cifrado fue bloqueado utilizando la protección de punto final que se ejecuta en las PC clientes solo para descubrir cómo esto dificulta el cifrado de datos que deberían haber sido legítimamente cifrados por los usuarios.

Una empresa decidió incorporar una compleja jerarquía de seguridad basada en roles, donde el acceso a muchos documentos confidenciales tenía que ser autorizado por una segunda persona que estaba más arriba en la jerarquía. En la práctica, esto causó tantas dificultades operativas que una gran cantidad de documentos confidenciales terminaron dando espacio a docenas de personas, evitando cualquier utilidad del sistema.

En un caso, todas las soluciones de red y punto final parecían estar en su lugar, pero los dispositivos móviles no estaban muy controlados, por lo que cualquier adversario motivado podría usarlos para filtrar datos confidenciales. Incluso si solo exige dispositivos móviles emitidos por la empresa, ¿ha deshabilitado los puertos USB y Bluetooth e incluso las cámaras en ellos?

En algunas fugas del tercer mundo, he visto informes en los que el modus operendi era bastante escaso e involucraba la impresión de listas de clientes y otros datos confidenciales y el robo de impresiones reales durante un período prolongado. Irónicamente, el sitio en realidad tenía cacheos de seguridad, pero lamentablemente estaban buscando llaves USB, teléfonos celulares, discos duros y demás. Las copias impresas en papel nunca fueron verificadas por los chicos de seguridad.

El punto es que muchas de estas lagunas pueden ser bloqueadas con cierto esfuerzo, pero uno tiene que darse cuenta de que la mayoría de las estrategias de protección efectivas implicarán el inconveniente de hacer que el uso legítimo sea más inconveniente.

Existe una conveniencia frente a la compensación de seguridad y cada organización debe decidir en qué punto de esta curva de compensación quiere vivir. Aún mejor, su solución elegida debe tener la granularidad para establecer la compensación adecuada en el sitio o incluso a nivel de departamento o persona y no una política general de la organización. Este último rara vez funciona bien en la práctica.

PS. Todos los proveedores mostrarán el caso de la magia de su propio producto, pero es importante tener una visión holística y la pregunta correcta a menudo es: ¿Puede el muy costoso este costoso software de seguridad? ¿Está dedicado a la protección ser completamente ignorado por un adversario? por ejemplo, La protección basada en la red es de poca utilidad si se permiten memorias USB

    
respondido por el curious_cat 22.08.2015 - 09:21
fuente
2

Como curioso_cat dijo que necesitas tomar una visión holística de esto, tienes muchos problemas separados pero conectados en juego aquí. A continuación se muestra un resumen general de cómo asumiría esta tarea.

Lo primero y más importante que debe ser es mirar la arquitectura de los datos, cómo, dónde y por qué se almacenan los datos donde están, idealmente los datos confidenciales deberían segmentarse y tener ACL controlados estrictamente.

El filtrado web, IDS / IPS y los firewalls le permitirán controlar granularmente el tráfico generado por el usuario (y la máquina) que entra y sale de la red.

Snort se puede configurar con reglas específicas para sus necesidades, incluida la prevención y localización de datos exfiltrarion desde una ubicación específica, aunque esto puede resultar limitado.

Del mismo modo, una solución DLP puede actuar como un servicio dedicado para esto. MyDLP es de código abierto, puede obtener un nivel gratuito o un nivel de pago.

Además, podría usar una solución SIEM con reglas especialmente diseñadas para detectar cualquier actividad anómala o no permitida. Por ejemplo, se puede desarrollar un caso de uso para atrapar usuarios o máquinas que insertan medios extraíbles y copian en ellos.

La mejor manera de hacer esto es mirar qué es lo que quieres hacer y qué (en todo caso) necesitas cumplir. Luego divídalo en objetivos discretos y enfréntelos uno por uno.

    
respondido por el TheJulyPlot 22.08.2015 - 10:17
fuente

Lea otras preguntas en las etiquetas