web-dev-qa-db-ja.com

使用するデータ損失防止技術を選択するためにどのような要素を使用していますか?

[〜#〜] isaca [〜#〜] スコットランドの周り データ損失防止 と今夜、素晴らしい議論をしました。 CheckpointMacAfeeCiscoSymantec などの技術的なツールがありますが、すべてコストへの影響、スケールの制限、実装の問題。

DLPソリューションを使用している場合、またはDLPソリューションを使用する予定がある場合、ビジネスケースを作成するためにどのような要素を検討しましたか?

dlpdata-leakage
10
Rory Alsop

この talk がConfidence'09で説明しているように、特定のDLPソリューションの展開にはいくつかの議論があります(私はこれが論争の的であることを理解していますが、これらの懸念は少なくとも評価する必要があります)。

本質的に、これらのソリューションの多くは、実際には正当なルートキットにすぎません。リンクされた話の背後にある調査により、調査されたDLPソリューションの1つは実際にはrootkit.comにある有名なルートキットの修正版であることがわかりました!これは、いくつかの理由で問題と見なされる可能性があります。その1つは、調査で説明されているように、ルートキット検出ソリューションのいずれもDLPソリューションのいずれも正常に検出できなかった場合、AVベンダーが(意図的に)自社(または他のベンダー)を検出できない可能性がない(そうでしょうか?)ルートキット検出キットを備えたDLPソリューション?したがって、これらの許可された/正当なDLPルートキットを変更して、検出の機会がほとんどない非常に秘密のルートキットを生成することは可能でしょうか?

これらのソリューションの全体的なセキュリティについても懸念の余地があるかもしれません。機密情報の可能性がある一連の情報を収集して配布し、企業環境のすべてのエンドユーザーシステムを管理サーバーにリング0(システム)で制御できるようにすることで、DLPソリューション自体のセキュリティに大きな信頼を置きます。 。攻撃者はDLPソリューションに直接向かわないのですか?それは完全な失敗の重大な単一点です!

それは私が知っている主観的なポイントですが、この程度にユーザーをスパイすることのより広い意味についてはどうですか?これらの行動をとっている会社に真剣に憤慨する多くの人を知っています。個人と会社の信頼関係を解消しませんか?私は実際には実用主義者なので、これらのソリューションの利点を確認します(実際に、企業の利益を保護しようとするCISOに共感できます)が、プライバシーの促進にそのようなエネルギーを投資する業界にとって、何かが単に間違っていると感じることはありません職場の個人にとってこれを完全に破壊するエンジニアリングソリューションについて?

12
TobyS

グループからのいくつかの回答:

  • データ分類
  • 境界を理解する
  • 一部を保護することは単なるコストであるため、データ損失のすべての手段を保護する必要があります。
  • チューニング要件について
  • ビジネスドライバー

提起された非常に重要なポイント-人々の側面。どのような技術的管理が行われようとも、それを破るのは人間です(女王陛下の歳入と税関、ほとんどすべての銀行、ウィキリークスなどのデータ損失の記事を参照してください)。

  • スタッフの審査
  • すべてのデータ移動の監査ログ
  • 懲戒処分を含む利用ポリシー

更新:

私は 2010年10月のこの論文 で、DLPの理解と選択に関するSecurosisのRich Mogullから指摘されました。見るべきエリアの優れたセット!

4
Rory Alsop

Roryの回答が示すように、ほとんどすべての問題と同様に、ビジネスプロセスと技術的な側面の両方を扱う必要があります。

DLPを(製品として)調査する際の技術的な観点から、3つの主要な側面に焦点を当てました。

  1. 邪魔にならない
  2. カスタム署名
  3. 使いやすさ

これはかなり標準的なリストのように見えますが、合理性が重要な考慮事項であるかのように感じます。企業環境の外、および場合によっては、セキュリティプロジェクトのためにエンドユーザーが介入することは非常に厄介です。 この質問 で言及されているように、セキュリティの専門家は、私の人生を必要以上に難しくするために無視されるべきであるか、または「彼らは出かけた私を得るために」。そのため、一般的な文化に対処し、エンドユーザーに、自分たちの余分な作業は実際に価値があると納得させることは、多くの場合セキュリティオフィスにかかっています。

これらの考慮事項を念頭に置いて、デスクトップエージェントのようなものは、たとえそれが非常に効果的であっても、すぐに非常に論争の的になる項目になります。では、問題はどの程度の干渉を回避できるかということになりますか?システムを厳しく制御する強力な「企業スタイル」環境、機密データを管理する強力なポリシー、またはエンドユーザーの管理チェーンからの強力な賛同を得ている場合は、おそらく回避できます。たくさん。スペクトルの反対側では、厳密にネットワークベースのソリューションが最善の策となる場合があります。 IDSのように機能し、データ送信を検出するだけで、それを防ぐために機能しないもの。

ほとんどのDLPソリューションには、SSN、運転免許証、機密データを示す透かしなどの一般的な項目の事前に作成された署名がありますが、最も重要な情報は、環境に固有の情報である場合があります。私の意見では、購入する価値のあるDLPソリューションは拡張可能でなければなりません。私は、自分の大学のPID(Person IDentification)番号、またはHRの内部従業員IDと一致する正規表現を追加できる必要があります。また、特定の部署が重要だと思う項目も探したいです。つまり、美術学部長が特定の研究論文が重要であると判断した場合、それを監視する方法を認めるべきです(のれん対前のポイントに関連するバイイングラフを参照)。

最後に、使いやすさ。ほとんどではないにしても、多くの場合、組織の労働者リソースは貴重です。システム自体は、保守と実行が比較的簡単でなければなりません。アラートが発生したときはいつでも、対処するのは比較的簡単です。詳細は、内部手順、およびセキュリティの監視/応答に使用するその他システムに完全に依存します。

4
Scott Pack