Tải bản đầy đủ (.docx) (49 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Cơ sở dữ liệu

Báo cáo DATA LOSS PREVENTION (DLP)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.45 MB, 49 trang )

Mục lục

Báo cáo MyDLP

Page 1


A. TÌM HIỂU LÝ THUYẾT
I. TỔNG QUAN VỀ DATA LOSS PREVENTION (DLP)
1. Khái niệm về DLP
Cùng với sự phát triển của doanh nghiệp là những đòi hỏi ngày càng cao của môi
trường kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thông tin của mình cho nhiều đối
tượng khác nhau qua Internet hay Intranet. Việc mất mát, rò rỉ thông tin có thể ảnh hưởng
nghiêm trọng đến tài chính, danh tiếng của công ty và quan hệ với các đối tác. Vì vậy vấn đề
thất thoát dữ liệu trong doanh nghiệp luôn được quan tâm kiểm soát và khắc phục bằng các
giải pháp chống thất thoát dữ liệu (Data Loss Prevention - DLP). Các hiểm họa đối với hệ
thống có thể gây thất thoát dữ liệu (Data Loss) được phân loại thành hiểm họa vô tình hay cố
ý, chủ động hay thụ động như sau: - Hiểm họa vô tình: khi người dùng khởi động lại hệ thống
ở chế độ đặc quyền, họ có thể tùy ý chỉnh sửa hệ thống. Nhưng sau khi hoàn thành công việc
họ không chuyển hệ thống sang chế độ thông thường, vô tình để kẻ xấu lợi dụng.
- Hiểm họa cố ý: như cố tình truy nhập hệ thống trái phép.
- Hiểm họa thụ động: là hiểm họa nhưng chưa hoặc không tác động trực tiếp lên hệ
thống, như nghe trộm các gói tin trên đường truyền.
- Hiểm họa chủ động: là việc sửa đổi thông tin, thay đổi tình trạng hoặc hoạt động của
hệ thống.
Giải pháp chống thất thoát dữ liệu (Data Loss Prevention - DLP): giúp kiểm soát và
giám sát việc truyền nhận những dữ liệu quan trọng dựa vào khả năng nhận biết nội dung,
quản lý các rủi ro thất thoát thông tin, dữ liệu quan trọng ra bên ngoài. Giải pháp được thiết kế
cho phép các tổ chức xây dựng những chính sách kiểm soát hoạt động của nhân viên trên các
ứng dụng email cá nhân và doanh nghiệp, giao tiếp trên web và các hoạt động khác.
2. Các con đường dẫn đến mất mát dữ liệu


Thất thoát dữ liệu có thể xảy ra ở các trạng thái của dữ liệu như sau:
- Data-in-Motion (dữ liệu vận chuyển): Các dữ liệu được truyền thông qua đường
Internet như gửi thư điện tử, tải các dữ liệu nội bộ lên các trang web, truyền tải dữ liệu nội bộ
qua các kết nối từ xa (remote connection) hay qua các kênh giao tiếp như Yahoo Messenger!,
AOL, Skype, … Ví dụ: Rủi ro dữ liệu nội bộ bị luồng ra bên ngoài bằng các kỹ thuật tấn công
của attacker, rò rỉ dữ liệu qua mạng xã hội, giao tiếp của nhân viên qua website, gửi nhận mail
cá nhân, gửi nhận dữ liệu từ bên ngoài, điểu khiển từ xa,…
- Data-at-Rest (dữ liệu lưu trữ): dữ liệu được lưu trữ trong thư mục chia sẽ hoặc ổ đĩa
của người dùng. Ví dụ: Thất thoát dữ liệu có thể xảy ra khi hệ thống lưu trữ bị tấn công, các
Báo cáo MyDLP

Page 2


chương trình ứng dụng bị đính kèm các phần mềm gián điệp, phần mềm độc hại, dữ liệu bị
đánh cấp bởi người có đặc quyền sử dụng, quản lý dữ liệu trong nội bộ,…
- Data-in-Use (dữ liệu đang sử dụng): các thao tác của người dùng cuối như copy data

hoặc in ấn.

Ví dụ: Các thao tác của nhân viên vô tình hay hữu ý cũng có thể làm dữ liệu bị rò rỉ ra
bên ngoài bởi sao chép dữ liệu qua usb, in ấn tài liệu, nhập liệu qua bàn phím, máy tính bị
giám sát bởi key logger,… Tương ứng ta có các giải pháp DLP phù hợp để ngăn chặn việc thất
thoát dữ liệu:
- DLP for Endpoint: kiểm soát, quản lý dữ liệu trong trạng thái đang sử dụng.
- DLP for Network: kiểm soát, quản lý dữ liệu trong trạng thái đang vận chuyển trên
mạng.
- DLP for Stored data discovery: kiểm soát, quản lý dữ liệu trong trạng thái đang được
lưu trữ, tài nguyên máy tính
3. Phòng chống DLP:

- Sử dụng phần mềm OpenDLP, MyDLP,..

Báo cáo MyDLP

Page 3


- MyDLP là một giải pháp ngăn ngừa mất dữ liệu hoàn chỉnh cho phép bạn khám phá,
giám sát và kiểm soát chuyển động của dữ liệu bí mật trong mạng của tổ chức bạn. Bạn có thể
sử dụng hành động chính sách để vượt qua, đăng nhập, lưu trữ và kiểm dịch dữ liệu di chuyển,
hạn chế sử dụng thiết bị lưu trữ di động, mã hóa các thiết bị di động và thậm chí xóa các tệp
được phát hiện trong kho.
- Hai thành phần chính của sản phẩm là MyDLP Network Server và MyDLP Endpoint
Agent. Hai thành phần này làm việc cùng nhau để bảo vệ thông tin nhạy cảm của bạn trong
tổ chức của bạn.
- OpenDLP có mã nguồn mở miễn phí. MyDLP thiết kế nhiều tính năng với bản miễn
phí, tính phí. Chủ yếu triển khai trên hệ thống Linux.
II. TÍNH NĂNG MYDLP
Server quản lý MyDLP cung cấp giao diện Web như sau:

Note: Khi mới cài đặt sẽ chưa có số liệu thống kê
1. Thẻ Dasboard

Báo cáo MyDLP

Page 4


- Chứa các số liệu thống kê và các loại Tiles, tạo thành tóm tắt tổng hợp bao gồm nhật
ký sự cố, số liệu thống kê về người dùng và các thiết bị đấu cuối từ đó số lượng lớn dữ liệu

chặn / phát hiện, các quy tắc được áp dụng trong ngày, giờ và giúp quản trị xem khi cần và lập
báo cáo định kỳ.
- Quản trị viên có thể tùy chỉnh trang tổng quan theo yêu cầu bằng cách thêm hoặc loại
bỏ Tiles
- Bảng Dasboard có thể hiển thị các loại sau đây:
+ Incidents by Actions (last hour)
+ Top 5 Addresses (last hour)
+ Top 5 Addresses (last day)
+ Top 5 Users (last hour)
+ Top 5 Users (last day)
+ Top 5 Rules (last hour)
+ Top 5 Rules (last day)
Quản trị viên có thể thêm hoặc xóa các biểu đồ theo nhu cầu của họ.
2. RULES
Báo cáo MyDLP

Page 5


a. Rule channels (các loại quy tắc kiểm tra dữ liệu)

- Web Rule: Các quy tắc Web được sử dụng để theo dõi và kiểm soát tất cả lưu lượng
truy cập đến và đi từ mạng của bạn qua HTTP và HTTPS. Điều này bao gồm dữ liệu trao đổi
với bất kỳ mạng bên ngoài như Internet.
Báo cáo MyDLP

Page 6


- Mail Rule:Quy tắc thư được sử dụng để theo dõi và kiểm soát dữ liệu được truyền qua

email và lưu lượng truy cập SMTP khác từ các nguồn được chỉ định.
- Removable Storage Rule:Quy tắc lưu trữ có thể tháo rời kiểm soát dữ liệu được
truyền đến các thiết bị bên ngoài như bộ nhớ USB, ổ cứng rời ổ đĩa và điện thoại thông minh
- Storage Inbound Rule Storage: Lưu trữ có thể lưu được Quy tắc gửi đến được sử
dụng để lưu trữ dữ liệu được sao chép từ các thiết bị nhớ có thể tháo rời vào máy vi tính
- Encryption Rule Rule: Quy tắc mã hoá lưu trữ di động cho phép bạn mã hóa thiết bị
di động được kết nối với điểm cuối trên mạng. Sau khi mã hóa, mọi dữ liệu trên ổ đĩa chỉ có
thể đọc được nếu nó được kết nối với mạng của bạn chứ không phải bởi bất kỳ mạng khác.
Nếu bạn bật quy tắc này cho tất cả các nguồn thì bất kỳ thiết bị mới nào sẽ được mã hóa ngay
ngay khi chúng được kết nối. Điều này sẽ ngăn chặn, ví dụ, bất kỳ khách hoặc thù địch từ cắm
vào một ổ đĩa USB, tải dữ liệu và lấy nó ra khỏi mạng của bạn.
- ScreenShot Rule: Quy tắc chụp màn hình ngăn chức năng màn hình in trong khi ứng
dụng nhạy cảm đang chạy. Xem phần Ảnh chụp màn hình để biết thêm chi tiết
- API Rule: Các quy tắc API là một tính năng độc đáo cho phép bạn tích hợp các ứng
dụng tùy chỉnh với MyDLP.
- USB Device Access Rule: Quy tắc truy cập thiết bị USB được sử dụng để theo dõi
hoặc chặn sử dụng thiết bị bộ nhớ USB trên các máy tính đã chọn được bảo vệ bởi đối tượng
nguồn được xác định trong quy tắc
- CD-DVD Rule: Các quy tắc CD-DVD được sử dụng để kiểm soát việc sử dụng đĩa
quang như đĩa CD và DVD trên một số máy tính được bảo vệ bởi nguồn đối tượng. Bạn có thể
chọn để theo dõi hoặc chặn việc sử dụng đĩa hoặc đặt chúng vào chế độ 'Chỉ đọc'
Floppy Rule: Các quy tắc mềm được sử dụng để kiểm soát việc sử dụng đĩa mềm trên các máy
tính đã được bảo vệ bởi đối tượng mã nguồn. Bạn có thể chọn để cho phép hoặc chặn việc sử
dụng đĩa hoặc đặt Đĩa mềm vào chế độ Đọc-Chỉ để cho phép đọc dữ liệu từ đĩa và chặn ghi dữ
liệu trên cho họ
- Endpoint Discovery Rule: Các quy tắc Discovery điểm cuối được sử dụng để kiểm tra
kho lưu trữ cục bộ và ổ đĩa cứng trong các điểm cuối đã chọn của tệp chứa dữ liệu nhạy cảm
của các loại (các) loại được chỉ định và kiểm soát chúng
- Storage Rule: Các quy tắc lưu trữ từ xa được sử dụng để phát hiện các tệp có chứa dữ
liệu nhạy cảm của (các) loại được chỉ định từ máy chủ từ xa và hệ thống tập tin mạng

- Clipboard rules: được sử dụng để kiểm soát chức năng sao chép và dán trên các máy
tính được Source Object đề cập đến.
b. Rule action
Khi cài đặt 1 Rules sẽ bao gồm hành động tương ứng khi Rules đó được match, bao
gồm:

Báo cáo MyDLP

Page 7


- PASS: Cho phép thông tin đi qua kênh dữ liệu một cách tự do mà không cần tạo file
log. Có trong tất cả rules.
- LOG: Tạo một mục nhật ký khi dữ liệu đi qua kênh dữ liệu. Hành động này không có
sẵn cho screenshot rule and Floppy rule.
- ARCHIVE: Cho phép thông tin truyền qua kênh dữ liệu, tạo bản ghi sự kiện và lưu
trữ một bản sao của thông tin.
- BLOCK: Ngăn chặn thông tin truyền qua kênh dữ liệu và tạo bản ghi sự kiện. Hành
động này không có sẵn cho removable storage inbound rules.
- QUARANTINE: Ngăn chặn thông tin đi qua, tạo bản ghi sự kiện và lưu trữ một bản
sao của thông tin. Hành động này là không khả dụng đối với quy tắc removable storage
inbound rule, screenshot rule, USB Device Access rule, CD-DVD rule và Floppy rules.
Note: Các action như Quarantine,… chỉ có ở bản enterprise.
c. User Defined Objects

- Mỗi Rule gồm 5 đối tượng chính Channel hoặc Name của Rules, Source, Destination,
Information type và Action.
- MyDLP cũng cung cấp tính năng tự định nghĩa (thêm, xóa, sửa ) một số kiểu đồi tượng
được xác định trước để phục vụ khi tạo Rules.


Báo cáo MyDLP

Page 8


3. Thẻ Setting:

Báo cáo MyDLP

Page 9


Cho phép quản trị cấu hình thông tin cơ bản như:
a. Protocols: Cho phép quản trị viên xem và định cấu hình giao thức kết nối được sử dụng
bởi máy chủ DLP tới thiết bị đầu cuối và máy chủ proxy web.
b.Users: Cho phép quản trị viên thêm, xóa và quản lý người dùng quản trị ngang hàng.
c. Endpoint: Cho phép quản trị viên cấu hình các tham số kết nối cho máy chủ MyDLP để
kết nối với thiết bị đầu cuối.
d. Advanced: Thiết lập nâng cao trong MyDLP
e. Enterprise: Cho phép quản trị viên cấu hình các thiết lập linh tinh theo chính sách doanh
nghiệp và nhận thông báo qua email.
f. IRM: Cho phép quản trị viên cấu hình thông số Quản lý Quyền của Thông tin (IRM)
4. Thẻ Logs:

Báo cáo MyDLP

Page 10


Giao diện 'Logs' hiển thị danh sách các bản ghi sự kiện mất dữ liệu với các chi tiết về

nguồn của các tệp, quy tắc dựa trên đó các tệp tin bị chặn, hành động MyDLP. Nó cũng cho
phép quản trị viên tải về một bản sao của các tập tin lưu trữ đã bị chặn dựa trên các quy tắc
khác nhau và gửi lại các thư hợp lệ đã bị chặn bởi mail rule. Giao diện nhật ký tự động được
cập nhật ở khoảng thời gian cài đặt trong giao diện “Setting”-> Advanced
Quản trị viên có thể tải xuống bất kỳ tệp nào bằng cách nhấp vào biểu tượng tải xuống.
5. Thẻ Endpoint:

Comodo MyDLP theo dõi và kiểm soát việc truyền dữ liệu đến và đi từ các điểm cuối và
thực hiện quét trên Endpoint dựa trên Data Transfer Policy rules and Endpoint Discovery rules
mà chúng được chỉ định làm SOURCE. Theo thứ tự cho máy chủ MyDLP để theo dõi lưu
lượng truy cập và quét các thiết bị đầu cuối, MyDLP Endpoint Agent cần phải được cài đặt
trong mỗi thiết bị đầu cuối. Sau khi cài đặt, agent sẽ thăm dò máy chủ MyDLP theo định kỳ và
nhận các lệnh từ máy chủ MyDLP và tạo thành một kênh truyền thông an toàn giữa Endpoint
và máy chủ.
Báo cáo MyDLP

Page 11


Endpoint agent cuối có thể được cài đặt trên các máy tính mạng bằng nhiều cách khác
nhau. Để biết thêm chi tiết về cài đặtendpoint agent, hãy tham khảo Hướng dẫn Cài đặt Đại lý
MyDLP Endpoint có sẵn từ />Endpoint Tab hiển thị một danh sách các máy tính đầu cuối mà trên đó Agent được cài
đặt và giao tiếp với máy chủ
6. The Revisions

Comodo MyDLP lưu các chính sách với các Rules, mỗi khi một chính sách mới được áp
dụng cho mạng. Giao diện Revisions hiển thị một danh sách các chính sách MyDLP đã được
áp dụng bất cứ khi nào một quản trị viên tạo ra / sửa các quy tắc theo thứ tự thời gian gọi món.
Quản trị viên có thể
- Đánh dấu các chính sách bằng cách chỉ định tên mô tả ngắn gọn về thay đổi được thực

hiện.
- Làm cho MyDLP quay lui một điểm thời gian trước đó và áp dụng các chính sách với
mạng với các quy tắc đã được hành động tại đó thời điểm đó bằng cách chọn Policy revision
và Restoring
7. Thẻ Lience

Báo cáo MyDLP

Page 12


Thẻ Lience phép cho phép bạn xem thông tin giấy phép hiện tại, bao gồm ID đăng ký
và ngày hết hạn, và để kích hoạt mới giấy phép, phiên bản ….của MyDLP đang sử dụng.

B. DEMO
I. CÀI ĐẶT
1. Network Server installation
Sau khi tải CD images từ ta tiến hành cài đặt như sau:
1. Ghi đĩa (burn) CD của bạn vào đĩa CD hoặc USB để tạo CD của riêng MyDLP
Appliance Auto-Install..
2. Lắp CD Thiết bị MyDLP vào CD-ROM của máy tính mục tiêu và khởi động từ CDROM.
3. Bắt đầu cài đặt bằng đĩa CD cài đặt.
4. Chọn Ngôn ngữ cài đặt Tiếng Anh.
5. Chọn Install CDDP Appliance.
Báo cáo MyDLP

Page 13


6. Chọn Ngôn ngữ Anh.

7. Chọn quốc gia của bạn.
8. Bỏ qua việc phát hiện bàn phím bằng cách chọn No.
9. Chọn nguồn gốc bàn phím(keyboard origin) USA.
10. Chọn bố trí bàn phím(keyboard layout) USA.
11. Kiểm tra và hiệu chỉnh múi giờ .
12. Chờ các bước cài đặt tự động.
13*. Nhập tên người dùng hệ điều hành.
14*. Nhập mật khẩu người dùng hệ điều hành
15. Không chọn "Mã hóa thư mục chính"( Encrypt home directory).
16. Chờ cho các bước cài đặt tự động kết thúc.
17. Tên người dùng và mật khẩu mặc định như sau:
• SSH - Terminal sẽ dùng tên người dùng và mật khẩu như bạn đã xác định ở bước 13 và
14.
• Quản lý giao diện điều khiển
Bạn có thể kết nối với bảng điều khiển quản lý tại URL sau: https: // ip-server

Báo cáo MyDLP

Page 14


Mặc định Tên đăng nhập: mydlp, Default Password: mydlp

Báo cáo MyDLP

Page 15


Ta vào link comodo license system ở trên ( />
Chọn create new account


Báo cáo MyDLP

Page 16


Chọn MyDLP service.

Báo cáo MyDLP

Page 17


Chọn bản Enterprise đăng ký thông tin cần thiết.

Chọn place order

Lấy được lincese key

2. Endpoint deployment
Cài đặt thủ công yêu cầu bạn cài đặt gói CDDP Endpoint trên mỗi máy:
Báo cáo MyDLP

Page 18


Vào down MyDLP Endpoint Agent
Lưu ý nên cài .NET framework 4 trước để có thể cài đặt gói này.
Sau khi tải về ta cài đặt gói CDI Endpoint MSI bằng cách kích đúp vào nó


Ip ở đây sẽ là ip từ mydlp network server như hình trên sẽ là 192.168.111.133
Chờ cài đạt hoàn tất.

Thêm Endpoint vào danh sách SOURCE để áp dụng các Rules trong demo:
Policy  Source  Endpoint  Add

Báo cáo MyDLP

Page 19


II. THIẾT LẬP RULES VÀ KIỂM TRA
1. Clipboard Rules:
a. Mô tả: Chính sách này giúp ngăn chặn người dùng ở các máy Endpoint copy
cácthông tin nhạy cảm, bí mật như tài khoản , mật khẩu, thẻ tín dụng,.. các tài liệu..v.v
b. Cài đặt Rule:

Tạo file matkhau.txt, file nonmatkhau.txt
Báo cáo MyDLP

Page 20


Thiết lập cụm từ không được phép lưu vào clipboard đặt tên là “ mat khau cong ty”

Next  chọn kiểu file tùy theo tình huống, ở đây demo ở dạng file text , chọn
“TEXT File”
Báo cáo MyDLP

Page 21



Đoạn không cho phép lưu vào clipboard là “mat-khau-cong-ty-a”

Tạo Clipbord Rules : Policy  Add

Next  chọn Source

Báo cáo MyDLP

Page 22


Add  Next  thêm thông tin là định nghĩa lúc trước

Next  chọn hành động sẽ thi hành khi có thiết bị khớp với Rules và Save lại
Báo cáo MyDLP

Page 23


Cài Rules vào để thi hành chọn “Install Polices” ở thẻ Policy của giao diện
MyDLP.
c. Kiểm tra:
Mở file text, thử lưu vào trong Clipboard : Bôi đen “mat-khau-cong-ty-a” bằng
Ctrl +C hoặc click phải  Copy

Copy không thành công , chọn dán không cho kết quả “mat-khau-cong-ty-a”.
Báo cáo MyDLP


Page 24


2. Screenshot Rules
a. Mô tả: Một số trường hợp mặc dù bị cấm copy dữ liệu nhạy cảm nhưng vẫn có thể
chụp màn hình được dẫn đến dữ liệu vẫn có thể bị rò rỉ ra ngoài. Screenshot Rules cấm người
dùng không chụp màn hình được.
b. Cài đặt Rules:
Tạo file txt và chụp màn hình bằng print screen -> chụp được bình thường

Báo cáo MyDLP

Page 25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×