Data Loss Prevention: cosa è bene sapere

Nel settore della sicurezza "enterprise" si rileva un aumento delle minacce e un incremento del pericolo di furto di identità o di informazioni rispettivamente a carico del singolo o delle aziende. Non si possono quindi dormire sonni tranquilli e accanto alle protezioni perimetrali classiche per impedire attacchi dall’esterno, costituite da Firewall, antivirus, antispam, anti-malware, sistemi di prevenzione delle intrusioni (IPS) e sistemi di controllo degli accessi di rete (NAC) è assolutamente necessario prevedere anche sistemi che impediscano alle informazioni di uscire dai sistemi aziendali: i cosiddetti sistemi di Data Loss Prevention (DLP).

L’errore più comune è l’implementazione della protezione ad una porzione limitata dei dati aziendali secondo la erronea considerazione che gli altri non siano critici. Purtroppo invece tutte le tipologie di dato aziendale possono essere causa di perdita di profitto e quindi fermo restando una classificazione interna fra i divulgabili e quelli confidenziali si deve pensare alla protezione di tutto il patrimonio informativo.

È necessario quindi effettuare un assessment iniziale, cioè una analisi che immediatamente permetta di analizzare e classificare il tipo di dato all’interno dell’azienda come:

1. Dato in movimento (Data in Motion): include tutte le informazioni transitanti dalla rete interna verso Internet, ad esempio via e-mail o conversazioni di instant messaging.
2. Dato stanziale ("a riposo") (Data at Rest): racchiude tutte le informazioni contenute in un file system, in un database o in qualsiasi altro strumento di memorizzazione aziendale.
3. Dato in uso (Data at the Endpoint): riguarda tutti i dati memorizzati sui dispositivi remoti (portatili, smartphone, pendrive, etc.).

Il secondo passo è la definizione delle politiche e policy di gestione per ogni categoria di dato: come trasferirlo verso l’esterno, come proteggerlo, come salvarne una copia, per quanto tempo mantenerla in azienda e così via. I sistemi software a supporto, ovvero i DLP, non dovranno fare altro che implementare queste regole.

Sistemi DLP

L’attenzione al traffico outbound è in genere implementata mediante server proxy che effettua web filtering in modo più o meno evoluto tipicamente limitando l’utilizzo di determinate porte o protocolli e, in relazione alle policy aziendali, impedisce l’accesso a siti ritenuti insicuri o non di interesse aziendale. Questo controllo del traffico in uscita è importante ma non sufficiente e quindi deve essere integrato con altre contromisure che contribuiscano a raggiungere il 100% di sicurezza.

I sistemi di DLP sono costituiti da tecnologie per l’analisi, l’identificazione, il monitoraggio e la protezione dei dati ritenuti critici.

L’obiettivo del DLP è l’identificazione di tutte le sorgenti delle informazioni giudicate critiche, il monitoraggio di tutte le movimentazioni e le eventuali trasformazioni (es. conversioni di formato, estrazione di una quota parte, etc.) per definire quali politiche applicare nelle diverse situazioni. A parte variazioni e terminologie diverse fra i vari competitor di mercato, le tre funzionalità principali di un sistema DLP sono :

1. Data Inventory per la identificazione e classificazione dei dati; vengono individuate le sorgenti informative da tenere sotto controllo mediante un primo scanning di tutte le basi di dati, file system, applicazioni in rete interna aziendale. Tutti i dati vengono rappresentati mediante un modulo aggiuntivo di " fingerprint del documento" che ne costituisce la rappresentazione matematica non reversibile, usata durante scansioni future per il confronto di eventuali modifiche del dato.
2. Policy Definition per la determinazione delle regole di gestione; le policy aziendali sono implementate attraverso opportune regole cablate nel software che prevedono azioni da intraprendere a seguito del rilevamento di uno specifico evento sui dati.
3. Content Monitoring, Filtering & Encryption che si occupa di monitorare e applicare le regole; una serie di sonde in forma di agent viene installata e configurata per ogni sorgente del perimetro aziendale. Le sonde si distinguono in due tipi: la prima analizza e traccia tutti gli accessi effettuati sulle fonti dati per identificare e valutare l’origine delle connessioni e determinare se rispettano le policy, mentre la seconda, installata a livello endpoint, controlla le operazioni effettuate a seguito dell’acquisizione del dato (stampa, modifica, conversione di formato, copia su CD/pendrive, invio via client).

DLP for download

Decidere il software migliore rispetto alle proprie esigenze è frutto di uno Scouting di mercato che spesso la singola azienda non è in grado di fare per mancanza di personale tecnico adeguato. In questi casi è bene farsi affiancare da un esperto, consulente esterno o da un partner. Ancora ideale sarebbe poter testare il prodotto scelto (proof of concept) per valutarne la semplicità, l’efficacia e la sicurezza. E anche in questo caso non è sempre possibile farsi dare un SW in test trial da parte dei vendor. Websense per facilitare le aziende nella scelta propone il proprio Data Security Suite per ambienti VMware, disponibile direttamente per il download via web. Il software in prova gratuita per 30 giorni si presta per essere installato e verificato, per valutarne le capacità, il grado di configurabilità e ovviamente l’efficacia. Il Download è di circa 600MB e il tempo di installazione valutato da Websense potrebbe aggirarsi intorno ai trenta minuti grazie a circa 1100 template già pronti, che dovrebbero facilitare la definizione di policy di set-up.

Approfondimenti

Per chi vuole approfondire il software di Websense si suggerisce di leggere l’opuscolo disponibile previa registrazione. Se invece l’interesse è per le normative che riguardano la perdita di dati allora si può consultare il documento Privacy e Dati Cliente e quello inerente alla Conformità sulla normativa e perdita dati, sempre distribuiti da Websense.