راهکار حفاظت از اطلاعات در شبکه های سازمانی و محیط های ابری

مقدمه ای بر حفاظت از اطلاعات در شبکه های سازمانی

حفاطت از اطلاعات و اجرای سیاست های مربوط به آن در محیط های سازمانی هرگز آسان نبوده است. اما امروزه با چالشهای جدیدی در این زمینه روبرو هستیم.اطلاعات حساس از طریق محیط‌های ابری و دستگاه‌های قابل حمل مانند تلفن‌های همراه و تبلت‌ها از محدوده ایمن شبکه خارج می‌شوند.تعداد حملات هدفمند سایبری رو به افزایش است و مجرمان سایبری از روش های جدید و موثرتری برای عبور از لایه های امنیتی سنتی و سرفت اطلاعات سازمان ها استفاده می کنند. تمامی این عوامل باعث می شوند محافظت از اطلاعات سازمانی در برابر نشت و یا سرقت اطلاعات بیش از پیش مشکل باشد.

پس چگونه میتوان اطلاعات سازمانی را در این محیط پر چالش مدیریت و محافظت نمود؟ و یک استراتژی موفق و کامل برای حفاظت از اطلاعات در برابر مسائلی چون تخریب محدوده های امنیتی، افزایش روزافزون حملات و تعامل با رفتار و انتظارات کاربران چگونه باید باشد؟

Symantec Data Loss Prevention یا همان DLP با رویکردی همه‌جانبه به مسئله حفاظت از اطلاعات، با توجه به واقعیت‌های مرتبط با محیط‌های ابری و موبایلی که در حال حاضر در سازمان‌ها مورد استفاده قرار می‌گیرند، راه‌حلی برای این چالش‌ها ارائه می‌دهد. با DLP شما می توانید:

• به تمامی مکان هایی که اطلاعات شما در آن ذخیره شده اند نظیر محیط های ابری، موبایل، شبکه، ایستگاه های کاری و ذخیره سازها پی ببرید.
• چگونگی استفاده از اطلاعات و اینکه آیا کاربران اطلاعات داخل یا خارج از شبکه هستند مانیتور کنید.
• اطلاعات خود را صرف نظر از نحوه استفاده و یا محیط ذخیره شده از نشت و یا سرقت محافظت نمایید.

رویکرد و تکنولوژی پیشتاز Symantec در محصول DLP قابلیت سازمان ها در حفاظت از اطلاعات را به محدوده فضای ابری و دستگاه های همراه گسترش می دهد. این به شما این امکان را می دهد تا سیاستهای امنیتی و انطباق با استاندارد های امنیت اطلاعات را فراتر از محدوده شبکه خود گسترش دهید. همچنین با استفاده از امکاناتی همچون روش های نصب مطمئن، ابزارهای مدیریت سیاست و وقایع بصری و پوشش همه جانبه تمامی مجراهای اطلاعاتی پر خطر، هزینه تمام شده پیاده سازی کمتری را برای سازمان ایجاد میکند.

پی بری بیشتر اطلاعات سازمانی با تشخیص محتوا محور

Symantec DLP دارای مجموعه ای از فناوری های پیشرفته می باشد که می تواند بصورت دقیق تمامی اطلاعات محرمانه در سازمان را تشخیص دهد، چه این اطلاعات بدون استفاده ، چه در حال انتقال و یا استفاده باشد. فناوری های تشخیص در Symantec DLP شامل موارد زیر است:

• تطابق دقیق داده (Exact Data Matching) محتوا را بر اساس انگشت نگاری منابع اطلاعاتی ساخت یافته، شامل بانک های اطلاعاتی، سرورهای دایرکتوری و سایر فایل های دارای داده ساخت یافته، تشخیص می دهد.
• تطابق سندهای فهرست شده (Indexed Document Matching) از روش های انگشت نگاری اطلاعات جهت تشخیص اطلاعات محرمانه ذخیره شده در منابع اطلاعاتی غیر ساخت یافته مانند سندهای نرم افزار Microsoft Office، فایل های PDF، فایل های باینری مانند تصاویر، سندهای CAD و سایر فایل های چند رسانه ای استفاده می کند. IDM همچنین محتواهای مشتق شده از اطلاعات محرمانه (به عنوان مثال متنی که یه از یک سند کپی شده است) را نیز تشخیص می دهد.
• فراگیری ماشینی برداری (Vector Machine Learning) از اطلاعاتی که دارای مشخصات ظریف و نامحسوسی بوده و توصیف آن دشوار می باشد مانند گزارشات مالی و یا کد های منبع نرم افزارها محافظت می کند. اینگونه محتوا با تحلیل آماری بر روی داده های غیر ساخت یافته و مقایسه آن با محتوا و یا سندهای مشابه تشخیص داده می شوند. بر خلاف دیگر فناوری های تشخیص اطلاعات، VML نیاز به جا نمایی، توصیف و یا تولید اثر انگشت اطلاعات برای محافظت از آن ها ندارد.
• تطابق محتوای توصیف شده (Described Content Matching) محتوا را با جستجو برای مطابقت کلمات کلیدی، عبارات با قاعده یا الگو ها و مشخصات فایل تشخیص می دهد. Symantec DLP به صورت پیش فرض بیش از 30 شناسایی کننده اطلاعات در خود دارد که الگوریتم های از پیش تعریف شده ای شامل مطابقت الگو و هوش مصنوعی می باشد و باعث جلوگیری از تشخیص های اشتباه می گردند. برای مثال شماره کارت های بانکی با یک الگوی 16 رقمی تشخیص داده شده و سپس با استفاده از الگوریم Luhn اعتبار سنجی میگردد.
• تشخیص نوع فایل (File Type Detection) بیش از 330 نوع فایل مختلف مانند ایمیل، گرافیک و قالب های encapsulated را شناسایی کرده و تشخیص می دهد. شما می توانید Symantec DLP را برای شناسایی هر نوع فایل دیگری بصورت مجازی پیکربندی نمایید و همچنین می توانید محتوای موجود در قالب های مورد نظر (حتی قالب های رمزنگاری شده) را با استفاده از Content Extraction API استخراج نمایید.

این فناوری های تشخیص اطلاعات در کنار یکدیگر باعث کاهش تشخیص های اشتباه، به حداقل رساندن تاثیر فعالیت DLP بر فعالیت کاربران و یافتن اطلاعات محرمانه ذخیره شده با هر قالب و در هر مکانی می گردد.

تعریف و اعمال پیوسته Policy ها به صورت سراسری

همچنان که محل نگهداری اطلاعات سازمان در محدوده وسیعی از تجهیزات و محیط های ذخیره سازی گسترش می یابد، قابلیت تعریف و اعمل پیوسته و سرتاسری Policy های حفاظت از اطلاعات بیشتر از پیش امری مهم و کلیدی می گردد. Symantec DLP با ویژگی کنسول مدیریت یکپارچه خود
(DLP Enforce Platform) و ابزار گزارشگیری هوش تجاری (IT Analytics for DLP) این امکان را ایجاد می کند که Policy های مورد نظر یکبار ایجاد و سپس به صورت سراسری اعمال گردد و میزان کاهش خطرات مرتبط با اطلاعات حفاظت شده قابل اندازه گیری و گزارش دهی باشد.

با DLP Enforce و IT Analytics شما می توانید:

• از یک کنسول تحت وب جهت ایجاد Policy ها، مرور و رسیدگی به رخداد ها و مدیریت سراسری سرور ها و ایستگاه های کاری، تجهیزات همراه و سرویس های تحت وب و همچنین تجهیزات شبکه و ذخیره سازی استفاده نمایید.
• از مزایای بیش از 60 قالب Policy پیش ساخته و یک ابزار ایجاد Policy برای راه اندازی و استفاده سریع راهکار DLP خود استفاده نمایید
• اهرمی قوی برای ایجاد گردش کاری به همراه قابلیت های اصلاح جهت خودکار و ساده سازی فرآیندهای پاسخ به رخداد ها در اخیار خواهید داشت.
• با یک ابزار تحلیل سطح بالا که به شما گزارشات پیشرفته و قابلیت های تحلیل منحصر به فردی ارائه می دهد می توانید هوش تجاری را به راهکار حفاظت از اطلاعات سازمان خود بیفزایید. این شامل قابلیت استخراج و جمع بندی اطلاعات سیستم بصورت چند بعدی و سپس ایجاد گزارشات، داشبوردهای اطلاعاتی و ابزارهای ارزیابی جهت استفاده کنندگان مختلف در سازمان می باشد.

راهکار Symantec DLP آماده است تا به شما کمک کند تا اطلاعات با ارزش خود را در تمامی محیط ها یافته و تحت نظر داشته باشید. همچنین در کنار آن با Enforce Platform می توانید Policy های مورد نظر خود را به صورت یکپارچه و سرتاسری اعمال کنید و یا سایر موارد جهت حفظ اطلاعات و رسیدگی به رخداد ها را انجام دهید.

حفاظت از اطلاعات در ایستگاه های کاری

با وجود آنکه استفاده از تجهیزات موبایل و سرویس های ابری گسترش چشمگیری داشته است، ایستگاه های کاری همچنان نقش اصلی را به عنوان محل نگهداری و استفاده از اطلاعات سازمان ها ایفا میکنند. Symantec DLP Endpoint Discover  و  Endpoint Prevent با ارائه قابلیت شناسایی، مانیتور و حفاظت از اطلاعات محرمانه بر روی ایستگاه های کاری فیزیکی و مجازی، چه در هنگام اتصال به شبکه و چه در هنگامی که خارج از شبکه سازمانی هستند، این امکان را به شما می دهند که تمامی اطلاعات سازمان خود را محافظت نمایید.

در Symantec DLP یک Agent فوق العاده منعطف، هر دو ماژول Endpoint Discover و Endpoint Prevent را فعال میسازد. این دو ماژول در کنار یکدیگر به شما اجازه می دهد:

• بر روی ایستگاه های کاری اسکن، شناسایی و مانیتور بلا درنگ اطلاعات و مجموعه وسیعی از رویداد ها انجام دهید. این امکانات بر روی windows های 7 به بعد و همچنین سیستم عامل Mac OS X موجود می باشد.
• اطلاعات محرمانه ای که از طریق ایستگاه های کاری بارگذاری، کپی و یا ارسال میگردند مانیتور نمایید. این امکان شامل موارد زیر میباشد:
  • نرم افزارها مانند Outlook
  • فضاهای ذخیره سازی ابری مانند Dropbox, Google Drive, Microsoft OneDrive
  • نرم افزارهای پست الکترونیک: Outlook, Lotus Notes
  • پروتکل های شبکه: HTTP/HTTPS, FTP
  • ذخیره سازهای قابل حمل: USB, MTP, CF and SD cards, eSATA, FireWire
  • دسکتاپ های مجازی: Citrix, Microsoft Hyper-V, VMware
• اطلاع رسانی به کاربران از طریق یک پنجره pop-up و یا مسدود سازی عملیات های که Policy های تعریف شده را نقض می کنند.
• هارد دیسک ایستگاه های کاری و رایانه های همراه را جهت بررسی وجود اطلاعات محرمانه اسکن نمایید و در صورت وجود اطلاعات آنها را ایمن نموده و یا منتقل کنید.
• از قابلیت اسکن چند گانه Idle scanning, differential scanning)) استفاده نمایید. این قابلیت به شما اجازه می دهد تا هزاران ایستگاه های کاری را به صورت همزمان و با کمترین تاثیر بر روی بازدهی و سرعت آنها اسکن نمایید.
• امکان استقرار یک معماری چند لایه و بسیار منعطف را به شما می دهد که می تواند تا چند صد هزار کاربر را محافظت نماید.

یافتن و محافظت از اطلاعات غیر ساخت یافته و نا متمرکز

اطلاعات غیر ساخت یافته و نا متمرکز  در سازمان ها هر سال بیش از 70 درصد رشد می کنند. بنا براین جای تعجب نیست که بسیاری از سازمان ها و شرکت ها در تقلا جهت مدیریت  و محافظت موثر اینگونه اطلاعات می باشند. ماژول های Symantec DLP Network Discover, Network Protect, Data Insight  و Data Insight Self-Service Portal در کنار یکدیگر به شما این امکان را می دهند که کنترل اطلاعات نا متمرکز خود را به دست بگیرید تا هیچگاه توسط کاربران نا آگاه و یا مهاجمان سایبری مورد آسیب قرار نگیرند.

در ابتدا Symantec DLP Network Discover اطلاعات محرمانه را توسط اسکن محل های اشتراک گذاری در شبکه، بانک های اطلاعاتی و دیگر منابع اطلاعات موجود در سازمان جستجو و آشکار می سازد. این منابع شامل فایل های محلی موجود در سرورهای ویندوز، لینوکس، AIX و سولاریس، بانک های اطلاعاتی SQL و Lotus Notes و سرورهایMicrosoft Exchange  و SharePoint می باشد. DLP Network Discover می تواند بیش از 330 نوع فایل را (که شامل انواع سفارشی می باشد) بر اساس امضاء دودویی فایل شناسایی نماید.این ماژول همچنین قابلیت اسکن پر سرعت را برای محیط های بزرگ و توزیع شده را دارا می باشد. این اسکن از بازدهی بهینه شده ای به دلیل اسکن فایلهای جدید و تغیر یافته در هر مرحله برخوردار است. Network Discover در داخل شبکه LAN سازمان استقرار می یابد و اطلاعات Policy ها و رویداد ها را مستقیما با Enforce Server رد و بدل می کند.

در مرحل بعد  Symantec DLP Network Protect قابلیت های محافظ از اطلاعات قدرتمندی را به قابلیت های Network Discover اضافه می کند. Network Protect به صورت خودکار اطلاعاتی که توسط Network Discover کشف شده اند ایمن سازی می نماید. این ماژول مجموعه گسترده ای از امکانات بهسازی امنیت اطلاعت کشف شده را ارائه می دهند. این امکانات شامل قرنطینه و یا جابجایی فایل ها، اعمال رمز نگاری و یا دسترسی های تعریف شده توسط Policy ها می باشد. Network Protect همچنین به کاربران آگاهی های لازم در خصوص نقض سیاست های امنیت اطلاعت را ارائه می دهد، به عنوان مثال در صورت قرنطینه اطلاعات یادداشتی شامل این که به چه دلیل اطلاعات مذکور از دسترس خارج شده است و راهنمای ارتباط به مسئول مربوطه را در محل فایل قرار می دهد.

Symantec DLP همچنین دارای یک FlexResponse API Platform می باشد که به شما اجازه ساختن عملیات های به سازی امنیت اطلاعات به صورت سفارشی را می دهد. FlexResponse قابلیتی آسان جهت ارتباط Symantec DLP با سایر راهکارهای مدیریت امینت فایل ها مانند Symantec File Share Encryption، Microsoft Rights Management Services، Liquid Machines، GigaTrust و Adobe LiveCycle می باشد.

سرانجام، Symantec Data Insight رویدادهای مروبوط به کاربران را از ذخیره سازهای شبکه (NAS)، سرورهای ویندوز و SharePoint جمع آوری و تحلیل می کند. این راهکار کنترل اطلاعات که اختصاصا برای اطلاعات غیر ساخت یافته طراحی شده است اطلاعت کامل و قابل بازخوردی از مالکیت فایل ها و میزان و نحوه استفاده از آنها و همچنین کنترل دسترسی فایل ها را ارائه می دهد. Data Insight همچنین با Network Discover یکپارچه گردیده تا فایل های حاوی اطلاعت محرمانه را کشف کند، مالک اطلاعات را شناسایی نماید و دسترسی های موجود و تاریخ چه دسترسی به فایل ها بررسی و فعالیت های غیر معمول بر روی فایل را اعلام نماید. با Symantec Data Insight شما سر انجام می توانید دقیقا مشخص کنید چه اطلاعتی در محیط شبکه شما وجود دارد و این اطلاات چگونه و توسط چه کاربرانی استفاده می شود و دسترسی های موجود این اطلاعات چگونه است.

Symantec Data Insight همچنین دارای یک قابلیت Self-Service Portal می باشد که قابلیت ایجاد گردش کاری جهت بهبود امنیت اطلاعات را به مالک اطلاعات می دهد. توسط این ویژگی در صورت نقض سیاست های امنیتی، مالک اطلاعات  به صورت خودکار توسط ایمیل اطلاعات رویداد را دریافت می کند و سپس می تواند از طریق یک درگاه وب نسبت به اصلاح دسترسی های مورد نیاز اقدام کند. تیم امنیت اطلاعات نیز این اطلاعات را دریافت نموده و میتوانند اطلاعات رخداد و فعالیت های انجام شده را از طریق کنسول مدیریتی Enforce Server مشاهده کنند.

در کنار یکدیگر این چهار ماژول Symantec DLP به شما امکان می دهد تا تمامی اطلاعات غیر متمرکز و با ارزش سازمان خود را در تمامی محیط های مجازی، فیزیکی و ابری و بر روی تجهیزات ذخیره سازی  رصد، محافظت و مدیریت نمایید.

مانیتور و محافظت از اطلاعات در حال جابجایی

مطالعات نشان می دهد نیمی از کارکنان سازمان ها معمولا فایل های کاری خود را به ایمیل های شخصی خود ارسال می کنند، بنابر این تعجبی ندارد که ایمیل و وب دو محیط اصلی نشت اطلاعات سازمانی می باشند. DLP Network Monitor، Network Prevent for Email و Network Prevent for Web می توانند با ارائه قابلیت مانیتور گستره وسیعی از پرتکل های ترافیک شبکه به شما کمک کننند تا بر این مشکل غلبه نمایید و از انتقال نامناسب اطلاعات سازمان خود توسط کاربران و یا حمله کنندگان سایبری جلوگیری کنید.

ابتدا Network Monitor اطلاعات محرمانه در حال انتقال بر روی شبکه را  تشخیص می دهد. این ماژول یک بازرسی عمیق محتوایی بر روی ارتباطات شبکه را بدون تاثیر گذاری بر بازدهی انتقال اطلاعات انجام می دهد. Network Monitor در نقاط خروجی شبکه نصب می گردد و از طریق یک کارت شبکه پر سرعت یا Packet Capture Card   به Network TAP و یا پورت SPAN سوئیچ شبکه متصل می گردد.

ماژول بعدی Symantec DLP Network Prevent for Email می باشد که بررسی ترافیک ایمیل سازمانی را بر عهده داشته و میتواند اطلاعات موجود در متن و پیوست ایمیل را از نظر تطابق با سیاست های حفاظت از اطلاعات مورد بازرسی قرار دهد. این ماژول در صورت نیاز می تواند از ارسال ایمیل جلوگیری نموده و یا آن را برای رمزنگاری به encryption gateway  ارسال نماید و همچنین اطلاع رسانی مناسب به کاربر و مسئول مربوطه را نیز از طریق ایمیل انجام دهد. Network Prevent جهت انجام این موارد با MTA موجود در شبکه با قابلیت SMPT یکپارچه می گردد.

در انتها ماژول Symantec DLP Network Prevent for Web ترافیک خروجی بر روی پرتکل های HTTP و HTTPS را بازرسی می کند و در صورت نقض سیاست های امنیت اطلاعات می تواند به کاربر اطلاع رسانی کرده، اطلاعات مورد نظر را از ترافیک حذف و یا ترافیک را مسدود نماید. همانند دو ماژول دیگر Network Prevent for Web در خروجی شبکه نصب میگردد و با Web Proxy موجود در شبکه با قابلیت ICAP یکپارچه می گرددد.

نیازمندی سیستم

Symantec DLP متشکل از یک سرور مدیریت مرکزی بنام Enforce Server و سرورهای بررسی محتوا (Detection Servers) و یک Agent کم حجم بر روی ایستگاه های کاری می باشد. این معماری به Symantec DLP اجازه می دهد بر خلاف دیگر راهکارهای موجود در محیط های پراکنده و با تعداد بالای ایستگاه های کاری (تا چند صد هزار) به خوبی از اطلاعات شما محافظت نماید.

DLP Servers

DLP Endpoint Agents