O-STA

ObserveIT: Ali lahko DLP samostojno zagotavlja varnost vseh poslovnih podatkov?

25.9.2017
Observe IT, vodilni dobavitelj izdelkov za napredno spremljanje in snemanje uporabniške aktivnosti na ključnih strežniških sistemih, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,

predstavljata blog članku na spodaj zabeleženem naslovu, v katerem se Michael Gordover iz podjetja ObserveIT vprašuje, ali lahko DLP samostojno zagotavlja varnost poslovnih podatkov oz. ali je taka rešitev sama po sebi dovolj za preprečevanje uhajanja tajnih informacij.

DLP - Data Loss Prevention - rešitve identificirajo vaše poslovne podatke in nato spremljajo kaj se z njimi dogaja, v mirovanju, transportu ali v rabi. Primer. Poslovni partner, ki si je prislužil vaše neomejeno zaupanje, ima dostop do datotečnega sistema, s katerega lahko prenese za nekaj gigabajtov datotek na svoj prenosnik. Vam to ne povzroča skrbi, saj imate DLP, ki je identificiral katere datoteke na tem sistemu vsebujejo najbolj pomembne poslovne podatke, jih označil, nastavil pravilne pravice za branje in pisanje, lahko zazna njihovo odpiranje, obdelavo, kopiranje in prilepljanje podatkov, kakor tudi kopiranje med računalniki ali prenosnimi mediji, večino teh akcij pa lahko po potrebi - glede na podatek, uporabnika, akcijo - tudi prepreči. Če se premaknejo pomembni podatki, boste vedeli.

Zakaj so CISO-ti potem še vedno zaskrbljeni predvsem zaradi odtekanja poslovnih podatkov? V nedavni študiji med 1500 varnostnimi strokovnjaki jih je 43% kot največjo skrb navedlo uhajanje podatkov iz delovnih postaj in strežnikov.


CISO globalnega finančnega podjetja: "Nismo še imeli priložnost preizkusiti DLP orodje, katerega moja ekipa ne bi zmogla zaobiti v nekaj sekundah."

Kljub obsežnemu napredku v nekaj zadnjih letih ostaja še vedno eno veliko odprto vprašanje - raba in zloraba nestrukturiranih podatkov na končnih sistemih. To so podatki v datotekah shranjenih na delovnih postajah in strežnikih.

Prava DLP orodja so izredno zmogljiva, a z veliko moči lahko pride tudi veliko konfiguracij in prilagoditev. V veliko organizacijah tega niso uspeli stoodstotno urediti in obstajajo stvari, ki bi jih DLP lahko odkril, pa jih zaradi neprimernih nastavitev ne more. Tam, kjer je ustrezno prilagojen, pa se večkrat zgodi, da dobi kak varnostni analitik podatkovni alarm, potem pa porabi več ur za raziskovanje incidenta in korelacijo z drugimi dogodki v sistemu in šele potem je prepričan ali je šlo za nevarno odtekanje podatkov ali ne. Podobno velja za zgornji primer. Analitik ne bo vedel kdo je partnerju omogočil dostop, predvsem pa ne koliko je lahko škode zaradi prenesene množice drugih datotek, ki niso vsebovale identificiranih poslovnih podatkov, ali zaradi drugih namernih ali nenamernih partnerjevih akcij. V DLP-ju bo potreboval veliko časa za analizo incidenta, prišel pa bo le do polovice iskanih odgovorov.

ObserveIT File Activity Monitoring + DLP

V večini organizacij, ki uporabljajo ObserveIT rešitve, so že pred tem imeli nameščeno DLP rešitev, pa se je še vedno pokazala potreba po ObserveIT, saj rešitvi dopolnjujeta druga drugo. V vsaki taki namestitvi so ObserveIT strokovnjaki še vedno ugotovili veliko koristi od ObserveIT spremljanja aktivnosti z datotekami na končnih sistemih, kljub funkcionalnostim spremljanja dogajanja s poslovnimi podatki na istem mestu v DLP rešitvi. Prednost DLP-ja so analitične zmogljivosti identifikacije in odkrivanja poslovnih podatkov ter zaznavanja slednjih zunaj končnih sistemov, katere nadzira ObserveIT. Prednost ObserveIT rešitve pa je stoodstotno zaznavanje aktivnosti na vseh datotekah brez potrebe po kakšnih posebnih prilagoditvah. DLP rešitve se običajno šibijo pod množico podatkov, incidentov, forenzičnih informacij in alarmov, ObserveIT je precej transparentna rešitev, ki ne zahteva dosti časa varnostnih analitikov. V nekaterih primerih se ObserveIT preferira za zaščito pomembnih končnih sistemov, DLP pa za zaščito podatkov, ki se prenašajo po omrežju, ter protokolih elektronske pošte ali svetovnega spleta.

ObserveIT lahko odlično sodeluje z DLP rešitvami. Primer - DLP sproži alarm na določenem končnem sistemu, nakar lahko analitiki uporabijo ObserveIT za dostop do vseh podrobnosti o samem incidentu ter o uporabniški aktivnosti pred, med in po incidentu. Poglavitni prednosti ObserveIT sta podrobno beleženje vseh uporabniških aktivnosti na tako označenem sistemu, ne glede na to ali se nanašajo na v incident vpletene poslovne podatke ali ne, ter izredno enostaven dostop do vseh teh podatkov za hitro in dovolj široko analizo dogodka.

Avtor / prevod: Robert Lubej

Povezava do izvorne novice:

https://www.observeit.com/blog/dlp-prevent-data-exfiltration/?utm_source=Social&utm_medium=LI

### ### ###

O Observe IT

Observe IT je dobavitelj programskih rešitev za napredno spremljanje in beleženje tj. snemanje uporabniških aktivnosti na ključnih strežniških sistemih. Brez ovir se seveda lahko uporablja tudi za spremljanje dela na delovnih postajah, a primarni interes so strežniki, na katerih tudi ni težav o poseganju v zasebno sfero zaposlene osebe, saj se na strežnikih nikoli ne počnejo zasebne stvari. Podjetje je bilo ustanovljeno leta 2006, njegova vodilna motivacija je 'poenostavitev življenja' IT vodjem in varnostnim strokovnjakom. Naloge rešitve Observe IT so:

· snemanje uporabniške aktivnosti na strežniku;

· ustvarjanje tekstovnih dnevniških zapisov o aktivnosti vseh aplikacij znotraj uporabniške seje;

· identifikacija deljenih uporabniških računov ('admin', 'root') in zaznavanje kraje identitet;

· enostaven dostop do vseh shranjenih podatkov, dnevnikov in posnetkov, za podporo forenzičnim preiskavam;

· enostavna integracija s SIEM rešitvami;

· popolno pokritje - vsi uporabniki, aplikacije, protokoli in vsa delovna okolja, vse vrste uporabniških sej.

Več o podjetju, katerega sedež je v Izraelu, najdete na spletnih straneh: http://www.observeit-sys.com

Dodatne informacije:

Matic Knuplež, Product Manager

matic.knuplez@real-sec.com

REAL security d.o.o.

Žolgarjeva ulica 17

2000 Maribor

tel.: 02 234 74 74

http://www.real-sec.com

info@real-sec.com