Symantec Data Loss Prevention

Ook Symantec heeft de afgelopen jaren niet bepaald stilgezeten. Na verschillende overnames heeft het bedrijf een erg breed aanbod van beveiligingsproducten. Om dat allemaal te kunnen beheren, ontbrak nog een centraal beheer. Door de overname van Altiris heeft Symantec dat nu ook in huis. Het DLP-product kwam tot stand met de overname van Vontu. Symantec DLP gebruikt een agent op de eindpunten. Het centraal beheersysteem met databaseserver heet het Enforce Platform. In feite omvat de DLP-oplossing van Symantec opslag, netwerk en eindpunten.
...

Ook Symantec heeft de afgelopen jaren niet bepaald stilgezeten. Na verschillende overnames heeft het bedrijf een erg breed aanbod van beveiligingsproducten. Om dat allemaal te kunnen beheren, ontbrak nog een centraal beheer. Door de overname van Altiris heeft Symantec dat nu ook in huis. Het DLP-product kwam tot stand met de overname van Vontu. Symantec DLP gebruikt een agent op de eindpunten. Het centraal beheersysteem met databaseserver heet het Enforce Platform. In feite omvat de DLP-oplossing van Symantec opslag, netwerk en eindpunten. Het is de bedoeling dat u begint met de DLP-beveiliging van opslagsystemen. Daarmee bepaalt u dan wat gevoelige informatie is en waar die opgeslagen is. Het fingerprinten voor snelle identificatie hoort hier ook bij. De volgende stap is netwerk-DLP, zodat inbreuken inzake transmissies en transacties van informatie gedetecteerd en geblokkeerd kunnen worden. De laatste stap is de eindpuntenbeveiliging. Hierbij raadt Symantec aan Symantec Endpoint Security te combineren met de eindpunt-DLP. Het is niet onwaarschijnlijk dat Symantec in de toekomst eindpunt-DLP zal combineren met Endpoint Security, zodat er dus op elke pc maar één agent hoeft te draaien die alles doet in verband met beveiliging. Symantec Endpoint Security heeft voorzieningen om bepaalde bestanden te beveiligen en het werken met usb-opslag uit te sluiten. De eindpunt-DLP heeft die functionaliteit dus niet aan boord. Het Enforce Platform draait naar wens onder Windows of Linux. Symantec kan u dit op een appliance aanleveren, of u kunt het op eigen hardware draaien of ook virtueel onder een hypervisor. Dan levert Symantec u meteen de benodigde virtuele machine (voor zover wij begrepen hebben alleen VMWare). De geïntegreerde database is van Oracle. Die wordt gebruikt om fingerprintsignaturen in te bewaren. Symantec koos voor Oracle om ook zeer grote omgevingen aan te kunnen, met ettelijke tienduizenden clients. U betaalt overigens alleen voor het aantal eindgebruikers dat u beveiligt. De functionaliteit van het Enforce Platform mag u over zoveel servers splitsen als u maar wil zonder bijbetalen. De DLP-beveiliging volgens Symantec vertrekt van data. U kunt niet weten wat u moet beveiligen als u geen idee hebt van uw data. Definitie en scannen van data zorgt voor fingerprints. Die dienen dan voor de vlugge identificatie van vertrouwelijke informatie. Symantec maakt hierbij gebruik van inhoudsfilters die 'vingerafdrukken' nemen van informatieblokken en niet van hele bestanden tegelijk. Zo kunt u ook bij de datadefinities onderscheid maken tussen uittreksels uit teksten of rekenbladen en omvangrijke kopieën. De software kan de DLP-finger-print herkennen in eender welk bestand, er zijn dus vrijwel geen beperkingen inzake ondersteunde bestandsformaten. Alleen als informatie versleuteld of gecomprimeerd is, kan de fingerprint mogelijk niet meer herkend worden. Dan moet de DLP-agent natuurlijk in staat zijn de informatie te decrypteren of decomprimeren. Als u gebruikers niet wil toestaan vreemde archief-, document- of encryptiesoftware te gebruiken en zo onopzettelijk of met opzet uw DLP-beveiliging te omzeilen, raadt Symantec u aan met behulp van Endpoint Security regels op te stellen voor softwaregebruik. Dan kunt u een witte lijst maken van alle toegestane software en alles blokkeren wat daar niet op staat. De DLP-policy's die u aanmaakt kunnen voor alle vormen van DLP-bescherming gelden: dus zowel opslag, als netwerk, als eindpunten. De policy's definiëren regels waarin u vastlegt wat er moet gebeuren als het gebruik, de transactie of de opslag van welbepaalde data met fingerprint vastgesteld wordt door een agent. U kunt kiezen of de reactie automatisch toegepast wordt en met welk niveau van interactie naar de gebruiker toe. Symantec maakt zich sterk, dat er heel veel aandacht besteed is aan het uitwerken van incidentopvolging. U begint natuurlijk met het opstellen van policy's en regels, maar eenmaal dat die opgesteld en achteraf nog fijngeregeld zijn, zal uw dagelijkse aandacht vooral uitgaan naar de incidentopvolging. Die stelt u in staat om DLP-pijnpunten in het bedrijf te zien en dan maatregelen te nemen om die te voorkomen of te elimineren. Symantec DLP biedt verschillende gebruikersrollen. Daarbij is gedacht aan extra beveiligingsmaatregelen, zoals voorkomen dat vertrouwelijke informatie herhaald wordt in incidentwaarschuwingen of -rapporten. U beheert het product volledig via een webinterface. Die toont uiterst links drie openklapbare hoofdrubrieken: Reports (rapporten), Policy (reglement) en Administration (beheer). De rapportagerubriek staat bovenaan omdat u die normaal het vaakst zult gebruiken. Ze is onderverdeeld in bewaarde rapporten, netwerk-, eindpunt- en 'data op rust'-rapporten. Elk daarvan is nog verder onderverdeeld in allerlei soorten rapporten, maar u kunt er zelf ook nog samenstellen en laten uitvoeren. De hoofdpagina start trouwens met Reports/Saved Reports/Main Dashboard en toont dus een overzicht met statusgrafieken. Onder Policy staan alle gedefinieerde DLP-reglementen. In deze hoofdrubriek treft u verder de responseregels aan. Daarmee definieert u wat er moet gebeuren bij een vastgesteld incident. 'Discover targets' definieert alle te doorzoeken doelwitten. Hier kunt u ook onmiddellijke scans of audits laten uitvoeren. Doelwitten kunnen van alles zijn: verschillende soorten servers, opslag- en dienstleveringssystemen. Er is onder Policy nog een sectie 'Protected content' (beschermde inhoud) en die omvat exacte gespecificeerde data en geïndexeerde documenten. De laatste hoofdrubriek 'Administration' omvat alle systeem-, server-, agent- en gebruikersinstellingen. De DLP-oplossing van Symantec is een van de meest uitgebreide met een indrukwekkende functionaliteit. Om een zo goed mogelijke beveiliging te krijgen, zou deze DLP gecombineerd moeten worden met Symantec Endpoint Security. Trend Micro noemde zijn DLP-product 'Leak Proof' (ondertussen aan versie 5). Het gaat om een hostgebaseerde oplossing die bescherming biedt via bewaking en preventieve acties. Onder een preventieve actie mag u een verbod verstaan. Het product dekt e-mail, webmail, IM, usb-opslag en bewaren op cd of dvd. Leak Proof gebruikt reglementen om te bepalen wat mag en wat niet. Om gevoelige inhoud te bepalen, maakt Leak Proof gebruikt van 'fingerprinting' (signatuurbepaling) om de inhoudsanalyse van bestanden en mails vlugger te doen verlopen. Op de hosts draait een agent, de Leak Proof Client. Die communiceert met een Leak Proof Server. Trend Micro levert die naar wens als een appliance of als een virtuele appliance voor VMWare-omgevingen. De Leak Proof Server draait onder CentOS Linux (een Red Hat derivaat). Trend Micro koos voor Linux om een zeer hoge betrouwbaarheid en uitstekende prestaties te verzekeren. De agent is alleen beschikbaar voor Windows 2000, XP, Vista en de Windows Servers 2000 en 2003. Er zijn nochtans ook bedrijven (denk maar aan de grafische sector en uitgeverijen en redacties van tijdschriften) die met Mac OS of zelfs - weliswaar in mindere mate - met Linux werken. De basis van elke bescherming tegen datalekken is natuurlijk de inhoudsanalyse van documenten en e-mails. De inhoudsfilter van Leak Proof gebruikt signaturen, metadatavergelijking, sleutelwoordzoeken en reguliere expressies om gevoelige informatie op te sporen. Hij doet dat bij data in rust (opgeslagen in een bestand), in gebruik (mails, IM, web met http en https, en webmail met en zonder encrypitie) en in beweging (transmissie van data). Trend Micro zet vrijwel alles op het genereren en vergelijken van signaturen om gevoelige informatie op te sporen. Dat betekent meteen ook, dat de bescherming maar zo goed is als het signatuuralgoritme. Op de eindpunten kan het reglement afgedwongen worden door acties te blokkeren, maar er zijn nog andere acties mogelijk. Zo moet de gebruiker zich verantwoorden (intikken van een reden vooraleer iets doorgestuurd mag worden), moet hij een korte cursus met veiligheidstips doorlopen, of moet hij encryptie toepassen. U kunt bepaalde gebruikers ook verbieden encryptie toe te passen: anders zou een slimmerik gestolen data simpel kunnen versleutelen en die dan ongemerkt het bedrijf uit krijgen. Uiteraard kan de software van alles een logboek bijhouden, ook voor forensische analysedoeleinden met datacaptering. Ten slotte kan het systeem waarschuwingen uitsturen naar gebruikers of naar verantwoordelijken. Aan de serverkant kunt u laten zoeken naar gevoelige bedrijfsinformatie en dat opnemen in datalekreglementen. Daarbij hoort naast deze ontdekking ook de classificatie van gegevens. Het systeem biedt mogelijkheden tot bewaken van het gebruik, het scannen van eindpunten en het onderwijzen van gebruikers. Dat laatste slaat op het presenteren van informatiedialogen en de gebruiker inlichten over juiste werkprocessen en hun volgorde. Leak Proof kan gevoelige informatie opsporen op alle systemen waarop een agent geïnstalleerd is: notebooks, pc's en servers. Ofschoon de Leak Proof Server onder Linux draait, merkt u daar helemaal niks van (tenzij bij de eerste ingebruikneming, als er een installatiescript in Linux gestart moet worden). Het hele beheer loopt via een webinterface. Die biedt beheerworkflows (zeg maar wizards) waarmee u data kunt laten opsporen, classificeren, policy's definiëren en rapporten genereren. Dit uit zich al meteen in de beheerinterface zelf. Die bestaat uit een hoofdmenu van rubrieken bovenaan. Een rubriek aanklikken verandert het hele dialoogvenster onder dat menu. De hoofdpagina biedt een dashboard waarbij u met één oogopslag kunt zien hoe veilig uw gegevens zijn. Vervolgens zijn de hoofdrubrieken Gevoelige informatie, Beveiligingsreglement, Veiligheidsonderzoek (scan), Veiligheidsschendingen, Rapportage, Administratie en Beheer. Deze lijken ons zelfverklarend. U begint met het opsporen, definiëren en classificeren van gevoelige informatie. Dan maakt u een reglement op waarin u opgeeft wat mag en wat niet. Vervolgens kunt u scans in uw netwerk laten uitvoeren die zullen bepalen of er inbreuken zijn op uw reglementen. Dat werkt met risicoscores. U bepaalt vanaf welke score er sprake is van lage of hoge risico's. Indien er inbreuken vastgesteld werden, dan kunt u die raadplegen in de hoofdrubriek Veiligheidsschendingen. Dat is bedoeld voor real-timeinformatie en om snel specifieke statussen te hebben. Voor een bredere blik genereert u rapporten. Trend Micro heeft met Leak Proof een hostbeveiliging die vrij volledig lijkt te zijn maar alleen eindpunten dekt. Positief is de ondersteuning voor encryptie en de erg goed uitgewerkte zoekfuncties. Helaas beperkt men zich tot Windows, zodat het niet bruikbaar is voor afdelingen of bedrijven die met Macs of Linux werken. Van de vier voorgestelde oplos-singen zijn er twee die qua functies boven de rest uitsteken: RSA en Symantec. Die dekken alle DLP-categoriëen en bieden een goed uitgewerkt en heel gebruiksvriendelijk beheer. Symantec biedt wel een integratie met het eigen pakket voor Endpoint Security, terwijl RSA zo'n pakket niet heeft. Johan Zwiekhorst