Data Loss Prevention (dataverliespreventie) of kortweg DLP omvat het identificeren, bewaken en beschermen van data in uw bedrijf. Dat gaat over het gebruik van data (eindpuntactiviteiten), de transmissie (netwerkactiviteiten) en de opslag (data storage) ervan. Data kan op verschillende manieren verloren gaan. Het kan opzettelijk of per ongeluk gewist worden. Het kan bij iemand terechtkomen die daartoe niet geautoriseerd is. Bescherming tegen wissen doet u via goede back-up- en replicatieschema's. Daar houden de gebruikelijke DLP-oplossingen zich doorgaans niet mee bezig, al kan het natuurlijk wel. Dat data terecht komt bij een onbevoegd iemand, is tegenwoordig een veel belangrijker probleem. Dan ontstaat er een datalek. De gegevens gaan dan in feite niet verloren, maar worden al dan niet bewust naar onbevoegden gelekt. De meest voorkomende oorzaken van datalekken zijn verloren of gestolen opslagmedia of notebooks, of gestolen informatie via malware of phishing. Een bijna even belangrijke oorzaak van datalekken is menselijk falen: het doorsturen van vertrouwelijke informatie naar een onbevoegd iemand.
...

Data Loss Prevention (dataverliespreventie) of kortweg DLP omvat het identificeren, bewaken en beschermen van data in uw bedrijf. Dat gaat over het gebruik van data (eindpuntactiviteiten), de transmissie (netwerkactiviteiten) en de opslag (data storage) ervan. Data kan op verschillende manieren verloren gaan. Het kan opzettelijk of per ongeluk gewist worden. Het kan bij iemand terechtkomen die daartoe niet geautoriseerd is. Bescherming tegen wissen doet u via goede back-up- en replicatieschema's. Daar houden de gebruikelijke DLP-oplossingen zich doorgaans niet mee bezig, al kan het natuurlijk wel. Dat data terecht komt bij een onbevoegd iemand, is tegenwoordig een veel belangrijker probleem. Dan ontstaat er een datalek. De gegevens gaan dan in feite niet verloren, maar worden al dan niet bewust naar onbevoegden gelekt. De meest voorkomende oorzaken van datalekken zijn verloren of gestolen opslagmedia of notebooks, of gestolen informatie via malware of phishing. Een bijna even belangrijke oorzaak van datalekken is menselijk falen: het doorsturen van vertrouwelijke informatie naar een onbevoegd iemand. DLP is niet alleen gewenst in een bedrijf, het kan zelfs een wettelijke of contractuele vereiste zijn. Bepaalde aspecten van DLP doen heel erg denken aan inhoudsfiltering. Bij inhoudsfiltering blokkeert u echter bepaalde data zodat die uw bedrijf niet binnenkomt. DLP doet het omgekeerde en blokkeert indien nodig uitgaande data. Natuurlijk vereist DLP ook een diepgaande inhoudsscanning van data met analyse om te bepalen tot welke klasse de data behoort. Op basis van classificatie van data bepaalt u wat gevoelig is en wat niet, en wat het bedrijf mag verlaten en wat niet. U zult de gevoelige data kunnen specificeren via zoektermen, reguliere expressies en patroonherkenning. Als het goed is, kan het DLP-product zelf ook al veel standaardpatronen herkennen, zoals kredietkaartnummers en dergelijke. Weet dat DLP u niet beschermt tegen alle mogelijke vormen van dataverlies, zeker als er kwaad opzet in het spel is. Hoe goed uw software ook is, een echt doelbewust individu vindt altijd wel een manier eromheen. Al was het maar door een gsm met ingebouwde camera voor een computerscherm met vertrouwelijke informatie te houden en dat te fotograferen. Zoiets kan een DLP-pakket onmogelijk detecteren en blokkeren. Bijgevolg kan een DLP-oplossing u op het vlak van datadiefstal ook geen garanties bieden. U implementeert het dan ook meer om vergissingen en nalatigheden zoveel mogelijk te elimineren. Dit heet ook wel Host-DLP of hostgebaseerde dataverliespreventie. Het beveiligingssysteem houdt toezicht op de pc's en servers zelf. Het bepaalt aan de hand van regels wat er wel en niet mag. Dat gaat niet alleen om de toegang tot bepaalde data, maar ook wat een gebruiker ermee doet. Kopiëren op een usb-stick, of een ander opslagmedium. Afdrukken, eventueel via 'print screen'. E-mailen of na kopiëren en plakken via de chat naar buiten sturen. Noem maar op. Er zijn tientallen manieren om data te lekken. De geïnstalleerde DLP-beveiligingen controleren al die acties en de data die daarbij gebruikt wordt. Indien nodig blokkeert het systeem een actie of waarschuwt het een beheerder van de actie. Ook alle transacties in een journaal noteren is een optie. Bij netwerk-DLP plaatst men DLP-gateways tussen het bedrijfsnetwerk en de internetaansluitingen. Deze DLP-gateways analyseren dan alle uitgaande verkeer op zoek naar datalekken. Het voordeel van netwerk-DLP is dat het goedkoop is en gemakkelijk te installeren. Meestal betreft het een appliance. Het nadeel is dat het decoderen en analyseren van netwerkverkeer zeer complex is, zeker als het geen of nauwelijks impact mag hebben op de netwerksnelheid. Daarom werken netwerk-DLP's vaak samen met systemen die het netwerk doorzoeken naar opgeslagen data in de vorm van bestanden of databaserecords. Deze zoeksystemen classificeren deze data en identificeren ze met behulp van signaturen. Dan hoeft een netwerk-DLP alleen maar op deze signaturen te controleren. Zo stijgt de scansnelheid terwijl toch met grote nauwkeurigheid gewerkt wordt. Het opslaan van data op een mobiel opslagmedium creëert, als het toegestaan is, een specifiek probleem. Mobiele opslagmedia kunnen immers gestolen of verloren raken. Zo komen ze ook terecht bij onbevoegden en vormen dus per definitie een datalek. Ook daar moet u dus rekening mee houden. Het eenvoudigst is, een algemene regel in te stellen die eist dat alle data steeds versleuteld bewaard moet worden. Tegenwoordig is er een tendens naar deperimetrisatie (het afbouwen van veiligheidsperimeters rondom uw bedrijfsnetwerk), met de bedoeling dat elke netwerkverbinding - zij het lan of wan - per definitie veilig is. Dat kan alleen met een zeer granulaire beveiliging. Die bepaalt op dataniveau wie er toegang toe heeft en wat met die data wel of niet mag gebeuren. Zo'n doorgedreven gedeperimetriseerde granulaire beveiliging vereist continue encryptie van alle data en een geünificeerd bedrijfsbreed identiteits- en reglementbeheer. Dat valt echter buiten het bestek van de door ons besproken DLP-oplossingen. McAfee nam onlangs Reconnex over, dat zelf ook DLP-producten maakt. De bedoeling is om de technologie van Reconnex snel te integreren in McAfee DLP. Die integratie is echter nog niet af en dus stellen we u McAfee DLP voor zoals het nu is. McAfee ziet DLP als een beveiligingsproces dat actief moet zijn op alle desktops en servers waar data verwerkt wordt. DLP is bij McAfee bijgevolg geïntegreerd in hun allesomvattend beveiligingsbeheer: ePolicy Orchestrator of kortweg ePO. Het DLP-productaanbod verwacht dat u ePO versie 4 hebt draaien en dat u DLP als een module daaraan toevoegt. De basiscomponenten van deze beveiliging zijn dan de ePO-server en de DLP-server. McAfee raadt aan, dat u ePO op zijn eigen server installeert omdat dat performanter is en gemakkelijker configureerbaar. Op de ePO-server komen dan een DLP Monitor (bewaking) en een DLP Policy Manager (regelbeheer) terecht. Op elke client draait een agent die alles beheert. McAfee heeft dat helaas niet kunnen oplossen met één agent die alles doet. ePO heeft zijn eigen agent en daarnaast komt er op elk werkstation dan ook nog eens een DLP-agent bij. De DLP-server is in essentie een datavergaarbak. Alles draait rondom een SQL Server database met rapportagediensten. Die bevat alle DLP-relevante gebeurtenissen in het netwerk. Een DLP Event Collector vergaart die informatie met behulp van de DLP Agent op de clients. De DLP-server heeft een DLP Webinterface die communiceert met de database en met de DLP Monitor in de ePO-server. De DLP-reglementen die u aanmaakt komen via het DLP regelbeheer in de McAfee Agent terecht voor uitvoering. Daarmee kent u meteen de reden voor twee agenten in plaats van één. McAfee Agent legt de in ePO gedefinieerde reglementen op, inclusief die voor DLP. De DLP Agent dient voor informatievergaring en voedt de DLP-database. McAfee adviseert om ePO op een aparte Windows-server te installeren. Dat is dan meteen uw beheerserver. DLP voegt zich op meerdere niveaus in de menustructuur van ePO zodat het er gewoon deel van gaat uitmaken. U bedient ePO en DLP allebei via een webinterface. Als u DLP toevoegt, komen er extra rubrieken onder de hoofdrubrieken bij. Dat omvat DLP-reglementen onder Systemen en extra voorgedefinieerde DLP-specifieke rapporten. De hoofdrubriek Systemen biedt u een boomstructuur van alle beheerde computersystemen. Hier ziet u ook of er 'rogue' (vreemde niet toegelaten) systemen zijn. De reglementen en dus ook die voor DLP kunt u individueel of voor hele groepen tegelijk vastleggen. Een reglement bestaat uiteraard uit voorwaarden die vervuld moeten zijn, acties die wel of niet ondernomen moeten worden en waarschuwingen die verstuurd moeten worden als voorwaarden niet vervuld zijn of als acties fouten vertonen. Uitrol van agenten valt ook onder deze hoofdrubriek Systemen. Voor een meer uitgebreide beschrijving van ePO verwijzen we u graag naar het artikel over McAfee ePO en Policy Auditor in Data News nr.22 van 12 juni van dit jaar.De DLP-regels die u in ePO opneemt, kunnen zowel dienen om datatransacties te bewaken als om te blokkeren. Transacties bewaken is een goede manier om in het begin vertrouwd te raken met het soort data dat verwerkt wordt. Zo kunt u de bedrijfsdata classificeren. De volgende stap is op basis van die classificaties nieuwe regels uit te werken. Die regels kunt u dan gaan testen op steeds groter wordende groepen vooraleer ze los te laten op het hele bedrijf. Op elke pc, notebook of server waarop een McAfee- en DLP-agent draait, hebt u zo een methode om te bepalen wat er wel of niet met bepaalde klasses van data mag gebeuren. Het systeem werkt met twee soorten deelregels: identificatieregels ('tagging rules') en reactieregels. De eerste leggen vast wat gevoelige data is, de tweede voorkomen onbevoegde distributie van data. McAfee Host DLP biedt echter geen oplossing om data te beveiligen die wel met toestemming op externe media geschreven mag worden. Als u zo'n extern opslagmedium verliest door slordigheid of diefstal, is geen verdere bescherming aanwezig. Mc-Afee voorzag immers geen encryptie. McAfee biedt daarvoor wel een ander product: McAfee Encrypted USB. Een aantal bestandsformaten die ons inziens wel degelijk nuttig zijn, ondersteunt McAfee DLP eigenaardig genoeg niet: Microsoft Access, Outlook postbestanden (*.pst), RAR-archieven, XML en PDF. En zonder XML uiteraard ook geen bestandsformaten van Open- of StarOffice (ODF) en Microsoft Office 2007 (OOXML). De McAfee DLP is hostgebaseerd en er is geen encryptie in voorzien. U kunt datatransacties bij een gebruiker blokkeren (of bewaken), maar eenmaal dat een actie toegestaan is, verliest u elke controle. Er ontbreekt ook ondersteuning voor enkele toch populaire bestandsformaten die nochtans vertrouwelijke informatie zouden kunnen bevatten. We zijn benieuwd of de integratie van de technologie van Reconnex hier een antwoord op biedt. Qua gebruiksvriendelijkheid kan het beheer wat beter. Met name bij ePO zouden wij meer wizards willen zien en een duidelijker terminologie. EMC-dochter RSA Security kennen we vooral van het identiteitsbeheer met de door ons eerder geteste SecurID appliances en oplossingen. De DLP-aanpak van RSA dekt de drie grote categorieën: opslag, netwerk en eindpunten. U kunt zich beperken tot een onderdeel, maar voor de beste bescherming zou u ze alle drie moeten hebben. RSA heeft zelf geen Endpoint Security-product en biedt ook geen integratie met een bestaande oplossing van derden. De RSA DLP Suite bestaat uit drie deelmodules en een gezamenlijke beheercentrale. De laatste heet de RSA DLP Enterprise Manager. De drie deelmodules zijn RSA DLP Datacenter, RSA DLP Net-work en RSA DLP Endpoint. De module Datacenter helpt u vertrouwelijke informatie terug te vinden ongeacht waar zich die bevindt: in bestandssystemen, databases, e-mailsystemen en grote san- of nas-omgevingen. Deze DLP-opslagmodule bemoeit zich dus met data in rust. De tweede module, Network, bewaakt en blokkeert desgewenst data die uw netwerk verlaat. Het gaat dus om data in transmissie. Ten slotte is er de RSA DLP Endpoint: die ontdekt, bewaakt en controleert allerlei gevoelige data op eindpunten zoals desktop-pc's en notebooks. Overigens kunt u zo'n eindpuntagent ook op servers installeren die niet gedekt worden door de opslag- of netwerkmodules. Een van de nieuwere toevoegingen na versie 6 (we zitten nu aan versie 7) is de integratie van Datacenter en Endpoint ontdekkingsroutines met Microsoft Active Directory Rights Management Services (RMS). Daardoor kunt u nu RMS-policy's laten toepassen op gevoelige bestanden in rust. U kunt als een van de antwoorden op een DLP-inbreuk dus de toepassing van een RMS-policy kiezen. Als u geen RMS hebt draaien, kunt u nog steeds gebruik maken van de andere incidentreacties: in het logboek noteren, een melding tonen, een waarschuwing aan de gebruiker en zijn overste sturen, een verantwoording aan de gebruiker vragen en zo meer. Encryptie afdwingen voor uitgaande mails bijvoorbeeld is ook mogelijk, maar dat moet dan wel via een externe encryptiegateway. RSA identificeert gevoelige data op verschillende manieren, waaronder ook fingerprinting en reguliere expressies. Daarbij herkent hij op eindpunten meer dan 300 bestandsformaten, waaronder ook ODF en de bekendste archieftypes in meerdere niveau's. Nieuwere en steeds po-pulairdere archieftypes zoals 7Zip zullen er in de volgende versie nog aan toegevoegd worden. Dat geldt ook voor OCR-functionaliteit die vertrouwelijke informatie in afbeeldingen kan herkennen. De data-extractie-engine is KeyView van Autonomy, die ook door verschillende andere leveranciers gebruikt wordt. Een verzameling identificatieregels heet bij RSA een 'content blade' en omvat alles wat nodig is om een specifiek soort data met een zekere graad van betrouwbaarheid te kunnen identificeren. U beheert alles via een webinterface. Die is georganiseerd in een tabbladlay-out. Er zijn vijf tabs met hoofdrubrieken: Dashboards, Incidents, Reports, Policies en Admin. De eerste is ook de hoofdpagina na het inloggen. Ze toont een statistisch overzicht van allerlei DLP-rubrieken en geeft u dus een beeld van hoe veilig uw gegevens zijn en hoeveel regelinbreuken er vastgesteld werden. Nadat u uw reglementen gedefinieerd en ingesteld hebt, is Incidenten een van de belangrijkste hoofdrubrieken. U ziet een overzicht van alle vastgestelde incidenten, de meest recente eerst. Er is een kolom 'Severity' (ernst) die met een duidelijke kleur de graad van ernst van het incident aangeeft. Blauw voor laag, geel voor gemiddeld, oranje voor hoog en rood voor kritiek. Bovenaan ziet u in het incidentenscherm nog twee extra tabs: incidenten en gebeurtenissen. Dat stelt u in staat om snel de gewenste informatie over incidenten of gelogde gebeurtenissen op te zoeken. Daarbij kunt u kiezen of u de gebeurtenissen voor alle DLP-producten wil zien, of voor een van de modules Network, Endpoints of Datacenter afzonderlijk. De incidentenlijst toont volledige informatie over wie, wat en waar, maar ook over welke 'content blade' en welke policy het gaat en welke de genomen policy-actie was. In de gebeurtenissenlijst ziet u of die een onderdeel van een incident zijn. Gedetecteerde vertrouwelijke informatie kan onzichtbaar gemaakt worden voor incidentbeheerders. Dan zien ze alleen maar dat er iets gevonden werd, van welk type en wie de schuldige is. Maar niet de data zelf. De hoofdrubriek Rapporten is onderverdeeld in favoriete rapporten (de meest gegenereerde), reglementnalevingsrapporten voor het hogere kader, incident- en risicorapporten, incidentbeheerrapporten en rapporten voor elk van de drie DLP-modules. Onder Policies definieert u reglementen en 'content blades'. Een reglement gebruikt content blades om er regels mee te maken. U kunt werken met een 'content blade manager' die u een overzicht geeft van beschikbare content blades en of die actief zijn of niet. U kunt nieuwe content blades aanmaken van drie verschillende types: exact omschreven data, fingerprinted data en via reguliere expressies gevonden data. Er is ook een bibliotheekbeheer waarin u allerlei woord- en termenbibliotheken vindt die gebruikt kunnen worden bij het aanmaken van een content blade. Daarbij mag u denken aan woordenboeken over aandelen en beurzen, drugs en geneesmiddelen, ziekten en wonden, financiële termen, en te weren termen (zoals geweld- en wapenspecifiek). RSA heeft al een aantal veelvoorkomende content blades en policy's voorgedefinieerd. De hoofdrubriek Admin heeft te maken met systeembeheer, toont de systeemstatus en laat u toe om gebruikers, netwerken, eindpunten, datacenters, notificaties, instellingen en ondersteuning te beheren. RSA heeft kennelijk aan zowat alles gedacht. Hun DLP-oplossing omvat de drie niveau's, heeft een sterk uitgebouwd en functioneel zeer rijk beheer. Ook qua functionaliteit van de dataverliespreventie zelf zijn we zeer onder de indruk.Johan Zwiekhorst