Tải bản đầy đủ (.docx) (61 trang)
  1. Trang chủ
    2. >>
  2. Kỹ Thuật - Công Nghệ
    3. >>
  3. Kĩ thuật Viễn thông

Đồ án tốt nghiệp_Data Loss_Leak Prevention

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.49 MB, 61 trang )

BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

ĐỒ ÁN TỐT NGHIỆP

TÌM HIỂU VỀ CHỐNG THẤT THỐT, RỊ RỈ DỮ LIỆU
(DATA LOSS/LEAK PREVENTION)

Ngành: Công nghệ thông tin
Chuyên ngành: An tồn thơng
tin
Mã số: 7.48.02.02


Hà Nội, 2018

BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

ĐỒ ÁN TỐT NGHIỆP

TÌM HIỂU VỀ CHỐNG THẤT THỐT, RÒ RỈ DỮ LIỆU
(DATA LOSS/LEAK PREVENTION)


Ngành: Cơng nghệ thơng tin
Chun ngành: An tồn thơng tin
Mã số: 7.48.02.02
Sinh viên thực hiện:


Dương Nhật Quân
Lớp: AT11B
Khoa An toàn thông tin – Học viện Kỹ thuật mật mã

Hà Nội, 2018


MỤC LỤC

DANH MỤC VIẾT TẮT............................................................................................5
DANH MỤC HÌNH ẢNH...........................................................................................6
LỜI MỞ ĐẦU............................................................................................................7
CHƯƠNG 1: TỔNG QUAN VỀ CHỐNG THẤT THỐT,RỊ RỈ DỮ LIỆU.......9
1.1. Khái niệm chống thất thoát dữ liệu...................................................9
1.2. Hiện trạng thất thoát dữ liệu hiện nay trong doanh nghi ệp. ....9
1.3. Các nguy cơ dẫn đến thất thốt, rị rỉ dữ liệu...............................17
1.3.1. Mất dữ liệu do khách quan...........................................................18
1.3.2. Mất dữ liệu từ nội bộ (tấn công nội bộ).................................19
1.3.3. Mất dữ liệu do tấn cơng bên ngồi............................................21
1.4. Kết luận chương 1.................................................................................22
CHƯƠNG 2: CƠNG NGHỆ CHỐNG THẤT THỐT, RỊ RỈ DỮ LIỆU...........23
2.1. Mơ hình của hệ thống chống thất thốt, rị rỉ dữ liệu...............23
2.2. Chính sách chống thất thốt, rị rỉ dữ liệu.....................................23
2.3. Các kỹ thuật chống thất thốt, rị rỉ dữ liệu..................................25
2.3.1. Quét nội dung....................................................................................27
2.3.2. Chống thất thoát dữ liệu trên các máy trạm (endpoint DLP).
28
2.3.3. Chống thất thoát dữ liệu trên hệ thống mạng (network
DLP). 30
2.3.4. Máy chủ quản lý tập trung............................................................30

2.4. Phân loại dữ liệu....................................................................................31
2.4.1. Phân loại theo từ khóa...................................................................31
2.4.2. Biểu thức chính quy.........................................................................32
2.4.3. Fingerprinting...................................................................................32
2.4.4. Thuật tốn Machine Learning......................................................34
2.4.5. Danh mục............................................................................................34
4


2.5. Bảo vệ dữ liệu.........................................................................................35
2.5.1. Quét và phát hiện dữ liệu trên máy trạm................................35
2.5.2. Tích hợp với hệ điều hành máy trạm.......................................36
2.5.2.1. Ngăn chặn sao chép dữ liệu...................................................36
2.5.2.2. Ngăn chặn các thiết bị ngoại vi.............................................37
2.5.2.3. Ngăn chặn truyền dữ liệu qua ứng dụng..........................37
2.5.2.4. Ngăn chặn truyền dữ liệu qua email..................................38
2.5.2.5. Tự động thực hiện chính sách..............................................39
2.5.2.6. Xử lý mã hóa................................................................................40
2.6. Kết luận chương 2.................................................................................41
CHƯƠNG 3: TRIỂN KHAI HỆ THỐNG THỬ NGHIỆM.................................42
3.1. Hiện trạng thực tế của công ty MI MI (MI2)..................................42
3.2. Hệ thống thông tin thử nghiệm và các yêu cầu............................42
3.3. Triển khai hệ thống..............................................................................42
3.3.1. Cấu hình yêu cầu..............................................................................42
3.3.2. Block USB và CD-Rom......................................................................42
3.3.3. Thiết lập chính sách........................................................................42
3.3.4. Kết quả đạt được............................................................................42
3.4. Hạn chế của hệ thống và các biện pháp khắc phục. ..................42
3.5. Kết luận chương 3.................................................................................42
KẾT LUẬN...............................................................................................................43

TÀI LIỆU THAM KHẢO.........................................................................................44
PHỤ LỤC..................................................................................................................45

5


DANH MỤC VIẾT TẮT
Viết tắt
DLP
MTA
IRM

Tiếng Anh
Data Loss/Leak Prevention
Mail Transfer Agent
Information
RightsManagement

6

Tiếng Việt
Thất thốt/rị rỉ dữ liệu
Quản lý thơng tin


DANH MỤC HÌNH ẢNH
Hình 1. Thống kê dữ liệu thất thốt 6 tháng đầu năm từ 2006-2017. ................9
Hình 2. Biểu đồ phân bố thất thốt dữ liệu theo tác nhân....................................10
Hình 3. Biểu đồ phân hối rò rỉ theo loại vi phạm giữa đầu năm 2016 và
2017................................................................................................................................................. 11

Hình 4. Biểu đồ phân bố sự rò rỉ theo loại dữ liệu 6 tháng đầu năm 2016 và
2017................................................................................................................................................. 12
Hình 5. Biểu đồ phân bố rị rỉ theo mục đích đầu năm 2016 và 2017. ..............13
Hình 6. Biểu đồ phân bố rị rỉ theo kênh đầu năm 2016 và 2017........................13
Hình 7. Biểu đồ phân bố rị rỉ theo kênh đầu năm 2017.........................................14
Hình 8. Rị rỉ thơng tin thanh tốn theo kênh................................................................14
Hình 9. Biểu đồ phân bố rò rỉ theo tổ chức nửa đầu năm 2016 và 2017. .......15
Hình 10. Biểu đồ phân bố rị rỉ và tỷ lệ khối lượng dữ liệu cá nhân b ị xâm
nhập nửa đầu năm 2017...................................................................................................... 15
Hình 11. Tỷ lệ rị rỉ có chủ ý thơng tin cá nhân và thanh tốn theo ngành n ửa
đầu năm 2017............................................................................................................................. 16
Hình 12. Biểu đồ tổng quan phân phối rò rỉ theo ngành đầu năm 2017. ........16
Hình 13. Biểu đồ phân phối rị rỉ theo kích thước tổ chức nửa đầu năm 2017.
............................................................................................................................................................ 17
Hình 14. Mơ hình hoạt động cơ bản của hệ thống DLP..........................................23
Hình 15. Mơ hình tổng quan khi chính sách được áp dụng....................................24
Hình 16. Dữ liệu nghỉ (data at rest)..................................................................................25
Hình 17. Dữ liệu chuyển động (data in motion).........................................................26
Hình 18. Dữ liệu đang sử dụng (data in use)................................................................27
Hình 19. Các vị trị lưu dữ liệu nhạy cảm ở endpoint................................................28
Hình 20. Ví dụ về biểu thức chính quy.............................................................................32
Hình 21. DLP ngăn chặn sao chép từ nhạy cảm..........................................................36
Hình 22. Cấu hình thiết bị USB trên hệ thống DLP....................................................37
Hình 23. DLP chặn Skype tải tệp nhạy cảm..................................................................38
7


Hình 24. Quá trình gửi email................................................................................................ 39

LỜI MỞ ĐẦU

Các tổ chức, doanh nghiệp có rất nhiều loại hình thơng tin cần được bảo
vệ chặt chẽ như thông tin khách hàng, bí mật cơng nghệ, chiến lược phát triển
kinh doanh, hay các tin tức nhạy cảm khác,…Những thông tin này nếu để lộ ra
ngồi có thể gây các hậu quả nghiêm trọng đến tài chính, danh tiếng của cơng ty
và quan hệ với các đối tác của tổ chức, doanh nghiệp.
Nhiều người cho rằng tổ chức, doanh nghiệp của mình đã trang bị nhiều
giải pháp an ninh bảo mật như tường lửa, chống virus, chống xâm nhập,…nên
có thể ngăn ngừa thất thốt thơng tin. Các giải pháp an ninh truyền thống như
firewall, IPS, Anti-virus,…giúp nhận diện và ngăn ngừa các tấn công, mã độc
hại,…nhưng các giải pháp này không phân biệt được dữ liệu nào là nhạy cảm,
dữ liệu nào cần bảo vệ. Vì thế cần xây dựng một giải pháp chống thất thốt, rị rỉ
dữ liệu cho doanh nghiệp- DLP (Data Loss/Leak Prevention) giúp ngăn ngừa tối
đa các nguy cơ thất thốt thơng tin khi thiết lập chính xác các chính sách đối với
các loại thơng tin và người được quyền sử dụng thông tin.
Bài báo cáo này sẽ giới thiệu giải pháp chống thất thốt, rị rỉ dữ liệu cho
doanh nghiệp – DLP là một giải pháp ngăn ngừa hiệu quả mất mát, rị rỉ thơng
tin nhạy cảm, bí mật của các doanh nghiệp, tổ chức.
Nội dung đồ án bao gồm ba chương:
Chương 1: Tổng quan về chống thất thốt, rị rỉ dữ liệu: Mơ tả hiện
trạng thực tế, nguy cơ và các khái niệm cơ bản liên quan đến thất thốt, rị rỉ dữ
liệu.
Chương 2: Các cơng nghệ trong hệ thống chống thất thốt, rị rỉ dữ
liệu: Trình bày các công nghệ cốt lõi sử dụng trong hệ thống chống thất thốt,
rị rỉ dữ liệu.
8


Chương 3: Triển khai hệ thống thử nghiệm: Chương này đề cập đến
các vấn đề thực trạng ở công ty cổ phần tin học Mi Mi (M2) và đề xuất hệ thống
chống thất thốt, rị rỉ dữ liệu.

Em xin gửi lời cảm ơn chân thành nhất đến Thầy Lương Thế Dũng và Cơ
Đồng Thị Thùy Linh đã tận tình giúp đỡ, hướng dẫn để em hoàn thành đồ án
tốt nghiệp của mình. Em cũng xin gửi lời cảm ơn tới các thầy cô Học viện Kỹ
thuật Mật Mã đã cung cấp, giúp đỡ em trong 5 năm học vừa qua.
Trong quá trình thực hiện đồ án, do hạn chế về kiến thức và kinh nghiệm
thực tiễn nên đồ án của em cịn nhiều thiếu sót, em rất mong nhận được sự nhận
xét, đánh giá của thầy cô và các bạn.
Em xin chân thành cảm ơn!
Hà Nội, tháng 5 năm 2018
Sinh viên
Đặng Thị Chanh

9


CHƯƠNG 1: TỔNG QUAN VỀ CHỐNG THẤT THỐT,RỊ RỈ DỮ LIỆU
1.1.

Khái niệm chống thất thốt dữ liệu
Phịng chống thất thốt dữ liệu (Data Loss/Leak Prevention) là tập hợp

các giải pháp giúp tổ chức phát hiện và ngăn chặn việcmất mát, rị rỉ dữ liệu
nhạy cảm ra bên ngồi. Dữ liệu thất thốt hay cịn được hiểu là các dữ liệu bị
mất mát trong hệ thống. Và các dữ liệu bị truyền ra bên ngồi được hiểu là rị rỉ.
Những dữ liệu có thể là danh sách khách hàng, bí mật kinh doanh, tài liệu
kế tốn tài chính cơng ty, thơng tin hợp đồng, tài liệu kỹ thuật công nghệ, thông
tin sở hữu trí tuệ, thơng tin sang chế độc quyền,…được lưu và phân tán trên hệ
thống máy chủ, máy trạm, PC, laptop,…một khi bị phát tán ra ngồi thì dữ liệu
này đứng trước nguy cơ bị lạm dụng rất lớn, gây thiệt hại đến hoạt động kinh
doanh của danh nghiệp.

1.2.

Hiện trạng thất thoát dữ liệu hiện nay trong doanh nghiệp
Theo báo cáo thất thoát dữ liệu 6 tháng đầu năm 2017- “Global Data

Leakage Report, H1 2017” của InfoWatch Analytical Center *InfoWatch là một
dự án của Kaspersky Lad hoạt động trên 10 năm với mục đích bảo vệ an tồn
thơng tin của doanh nghiệp.*

10


Hình 1. Thống kê dữ liệu thất thốt 6 tháng đầu năm từ 2006-2017.
Tổng số dữ liệu bị xâm nhập đạt tới 7,78 tỷ trường hợp (bao gồm thông
tin về số bảo hiểm y tế, dữ liệu thẻ tín dụng và các thông tin quan trọng khác).
Trong cùng kỳ của năm 2016 có 1,06 tỷ trường hợp bị xâm phạm.
Thơng tin bị rò rỉ bắt nguồn từ nội bộ trong các tổ chức đạt tới 520 (58%),
rò rỉ do các tấn cơng bên ngồi là 384 (42%).

Hình 2. Biểu đồ phân bố thất thoát dữ liệu theo tác nhân.
So với nửa đầu năm 2016, tỷ lệ rò rỉ do các cuộc tấn cơng bên ngồi tăng
12%. Các báo cáo về vi phạm dữ liệu quy mô lớn (trên 1 triệu trường hợp) cũng
khơng giúp các chun gia xác định chính xác được rị rỉ là cố ý hay tình cờ, bắt
nguồn từ nội bộ hay từ tấn cơng bên ngồi hoặc do vi phạm chính sách của
người dùng.
Thơng tin thất thốt do nội bộ (internal) trước đó đã khơng cịn được quan
tâm trong một thời gian dài do sự xuất hiện cộng hưởng (khối lượng dữ liệu bị
xâm nhập) những lỗ hổng bên ngoài (external). Nhưng báo cáo thống kê vào nửa
đầu năm 2017 đã chứng minh rằng vẫn còn quá sớm để loại bỏ chúng. Đã có
5,23 tỷ trường hợp rị rỉ dữ liệu cá nhân và tài chính do tấn cơng bên ngồi

(trung bình khoảng 13,6 triệu trường hợp mỗi lần rò rỉ), trong khi rò rỉ nội bộ lên
tới 2.32 tỉ trường hợp (khoảng 4.5 triệu trường hợp mỗi lần rỏ rỉ).
Nguy cơ rò rỉ nội bộ có thể là do lỗi của nhân viên, cấu hình cơ sở dữ liệu
sai, vơ tình cơng bố thơng tin nhạy cảm trên các tài ngun cơng khai sẵn có dẫn
đến việc dữ liệu của tổ chức bị thất thoát.
11


Hình 3. Biểu đồ phân hối rị rỉ theo loại vi phạm giữa đầu năm 2016 và 2017.
Trong 53% trường hợp thì ngun nhân rị rỉ dữ liệu xuất phát từ nhân
viên hiện tại và cựu nhân viên (nhân viên không được phân quyền) chiếm tỷ lệ
lần lượt là 50% và 3%. Trong khi đó số trường hợp rị rỉ do người quản lý của tổ
chức (quản lý cấp cao, trưởng phòng) chiếm chưa tới 2%. Tỷ lệ rò rỉ xảy ra ở
phía các nhà thầu có nhân viên được cấp quyền truy cập hợp pháp tới thông tin
được bảo vệ ít hơn 1% (Hình 3).
Thơng tin bị rị rỉ từ bên ngoài chiếm tỷ lệ lớn (44%), đây là nguyên nhân
chính làm gia tăng khối lượng dữ liệu bị xâm nhập. So với năm 2016 thì tỷ lệ
này đã tăng lên 14%.

Hình 4. Biểu đồ phân bố sự rị rỉ theo loại dữ liệu 6 tháng đầu năm 2016 – 2017
12


Tỷ lệ dữ liệu cá nhân và thông tin thanh tốn bị rị rỉ đạt 94% trong tổng
số trường hợp. Trong đó dữ liệu cá nhân chiếm 66%. So với nửa đầu năm 2016
thì tỷ lệ rị rỉ dữ liệu liên quan đến bí mất nhà nước tăng khơng đáng kể (2%) và
rị rỉ liên quan tới bí mật thương mại giảm 1% (Hình 4).
Chúng ta cũng nên lưu ý sự gia tăng đáng kể của rị rỉ thơng tin thanh toán
trong tổng số trường hợp bị xâm nhập (+20%) trong suốt thời gian nghiên cứu.
Trong nửa đầu năm 2017, tỷ lệ rò rỉ khi tiếp tục sử dụng các dữ liệu đã bị

xâm nhập vì các mục đích gian lận (gian lận ngân hàng) gấn như tương đương
so với cùng kỳ năm 2016. Tỷ lệ dữ liệu bị rò rỉ do nhân viên không được phép
lạm dụng quyền truy cập, gián điệp nội bộ giảm xuống 8% (Hình 5).

Hình 5. Biểu đồ phân bố rị rỉ theo mục đích đầu năm 2016 và 2017.

Trong nửa đầu năm 2017, tỷ lệ rị rỉ thơng qua mạng và thư điện tử tăng
lên. Tỷ lệ rò rỉ dữ liệu do trộm cắp/ mất mát thiết bị, cũng như thông qua
phương tiện di động và tài liệu giấy giảm (Hình 6).

13


Hình 6. Biểu đồ phân bố rị rỉ theo kênh đầu năm 2016 và 2017.
Sự rò rỉ cố ý và tình cờ ở các kênh có sự khác nhau đáng kể (Hình 7). Với
sự rị rỉ có chủ ý hầu hết xảy ra thơng qua kênh mạng. Cịn rị rỉ tình cờ chủ yếu
thơng qua các thiết bị di động, các kênh thoại (điện thoại), tuy nhiên tỷ lệ này
còn khá nhỏ so với mức độ sử dụng phổ biến của kênh truyền này.

Hình 7. Biểu đồ phân bố rị rỉ theo kênh đầu năm 2017.
Rò rỉ qua kênh mạng và thư điện tử chiếm tỷ lệ lớn nhất, hai kênh này
chiếm khoảng 90% (Hình 8).

14


Hình 8. Rị rỉ thơng tin thanh tốn theo kênh.
Đầu năm 2017 tỷ lệ rò rỉ dữ liệu từ các tổ chức chính phủ tăng 4% và đạt
24%. Ngược lại rị rỉ từ các cơng ty thương mại giảm xuống cịn 76% (Hình 9).


Hình 9. Biểu đồ phân bố rị rỉ theo tổ chức nửa đầu năm 2016 và 2017.
Thông thường sự rò rỉ xuất hiện ở các cơ sở y tế (17%). Các cơ sở giáo
dục chiếm tỷ lệ nhỏ (6%). Ngành công nghệ cao chiếm phần lớn số trường hợp
bị xâm nhập (dịch vụ internet, cổng thông tin lớn). Cơ quan chính phủ chiếm
16% tổng khổi lượng dữ liệu rò rỉ, các tổ chức thành phố chiếm 3% (Hình 10).

15


Hình 10. Biểu đồ phân bố rị rỉ và tỷ lệ khối lượng dữ liệu cá nhân bị xâm nhập
nửa đầu năm 2017.
Dựa vào dữ liệu thống kê các chuyên gia đã nhận thấy được các trường
hợp rò rỉ tập trung chủ yếu ở lĩnh vực ngân hàng và công ty cơng nghệ cao. Hơn
50% rị rỉ dữ liệu cá nhân trong các trường hợp này là có chủ ý (Hình 11).

Hình 11. Tỷ lệ rị rỉ có chủ ý thơng tin cá nhân và thanh tốn theo ngành nửa
đầu năm 2017.
Biểu đồ phân phối ngành (Hình 12) sẽ phản ánh đầy đủ nhất tình hình thất
thốt, rị rỉ thơng tin ở các ngành khác nhau.

16


Hình 12. Biểu đồ tổng quan phân phối rị rỉ theo ngành đầu năm 2017.

Tỷ lệ các công ty vừa và nhỏ (lên đến 500 máy tính cá nhân)chiếm 39%
tổng các trường hợp dữ liệu bị rò rỉ. Đồng thời số lượng dữ liệu bị xâm nhập
của họ chỉ chiếm 18% (Hình 13).

Hình 13. Biểu đồ phân phối rị rỉ theo kích thước tổ chức nửa đầu năm 2017.

Kết luận:
17


Trong nửa đầu năm 2017 số lượng dữ liệu bị rò rỉ đã tăng gấp 8 lần so với
cùng kỳ năm 2016. Sự tăng này chủ yếu do hoạt động của những người vi phạm
bên ngoài là cao hơn so với các tác động bên trong nội bộ.
Đồng thời dữ liệu bị rò rỉ qua các kênh mạng đang ngày càng tăng cao,
đây cũng là lời cảnh báo đáng quan tâm cho các doanh nghiệp nói chung.
Từ những số liệu thống kê kể trên, ta thấy rõ tình trạng thất thốt dữ liệu
nói chung và thất thốt dữ liệu trong doanh nghiệp nói riêng đã lên tới con số
đáng báo động nguy hiểm. Do đó các doanh nghiệp cần đẩy mạnh các phương
pháp công nghệ cao để đảm bảo an tồn cho dữ liệu của doanh nghiệp mình.
1.3.

Các nguy cơ dẫn đến thất thốt, rị rỉ dữ liệu.
Thất thốt, rị rỉ dữ liệu có nhiều hình thức khác nhau và việc biết cách

chúng xảy ra giúp chúng ta thuận lợi hơn để ngăn chặn. Để cung cấp cái nhìn
tổng quan nhất chương này sẽ phân loại các loại mất dữ liệu như sau: Mất dữ
liệu do khách quan, do nội bộ bên trong, do tấn cơng bên ngồi.

1.3.1. Mất dữ liệu do khách quan.
Một nguyên nhân điển hình cho sự mất mát dữ liệu tình cờ là nhân viên
chưa nắm rõ các chính sách của cơng ty. Nói cách khác họ không nhận ra sự
nhạy cảm của các tài liệu mà họ đang làm việc, cũng có khi do bản thân nhân
viên đánh giá chưa chính xác kiến thức về bảo mật của bản thân. Một số ví dụ
phổ biến:



Nhân viên tiết lộ thơng tin nhạy cảm ra bên ngồi trong quá trình sử

dụng các ứng dụng xã hội: skype, yahoo, facebook,…hay điện thoại.


Chia sẻ file ngang hàng P2P: Nhân viên có thể dễ dáng sử dụng

giao thức P2P để gửi file ra ngoài.
18


Do sự vơ ý của nhân viên: Nhân viên đính kèm nhầm file, chọn sai



người nhận, bị lừa để gửi thơng tin ra ngồi. Hoặc thơng qua các dịch vụ
cloud storage miễn phí: Nhân viên có thể upload dữ liệu nhạy cảm lên
các hệ thống lưu trữ đám mây miễn phí như dropbox hay Skydriver. Nhân
viên có thể upload dữ liệu lên một FTP server trên internet để gửi thông
tin ra ngồi.
In tài liệu, photocopy tự do khơng được quản lý tập trung. Đem tài



liệu in, copy ra ngoài.
Dùng điện thoại, camera chụp lại tài liệu của công ty.



Nhân viên ra ngồi khơng đăng xuất tài khoản hay tắt máy để nhân




viên khác sao chép dữ liệu ra ngoài.


Thiết bị USB chứa dữ liệu quan trọng bị mất hay bỏ quên tại nơi

làm việc.

1.3.2. Mất dữ liệu từ nội bộ (tấn công nội bộ).
Định nghĩa: Tấn công nội bộ là bất kỳ cuộc tấn cơng nào có mục đích xấu
trên hệ thống của công ty hoặc mạng mà kẻ xâm nhập là người được phép truy
cập vào mạng, và cũng có thể có kiến thức về kiến trúc mạng.
Các tài liệu trên WikiLeaks.org là những ví dụ về các cuộc tấn cơng nội
bộ với mục đích cơng khai các tài liệu bị rị rỉ. Mục đích đắng sau những kiểu
tấn công này không phải lúc nào cũng liên quan đến hoạt động chính trị. Các lý
19


do khác để tiến hành các cuộc tấn công trong nội bộ thường có lợi về tài chính
hoặc có ác cảm đối với tổ chức, công ty.
Đối với các cuộc tấn cơng nội bộ thì hiệu quả của hệ thống DLP rất khó
để đo lường. Trước tiên cần phải xem xét kiến thức kỹ thuật của kẻ tấn cơng.
Sau đó phải xem xét những gì kẻ tấn cơng đã truy cập trên hệ thống. Nếu kẻ tấn
cơng là ai đó từ bộ phận IT, DLP rất có thể sẽ được bỏ qua. Hậu quả của cuộc
tấn cơng sẽ rất khó nói nếu nhân viên IT biết cách để có thể truy cập vào dữ liệu
nhảy cảm.
Một hệ thống DLP không phải một hệ thống kiểm soát truy cập theo nghĩa
truyền thống và không nên được xem như sự thay thế cho hệ thống kiểm sốt

truy cập. Vai trị của một DLP được thực thi khi người dùng đang làm việc với
dữ liệu nhạy cảm. DLP không cho phép người dùng xem nội dung nhảy cảm (hệ
thống kiểm soát sẽ làm gì) nhưng thay vào đó đảm bảo rằng người dùng khơng
xử lý dữ liệu một cách vơ trách nhiệm (ví dụ như gửi đính kèm với email hoặc
tải file lên và chia sẻ).
Tùy thuộc vào cách hoạt động của một hệ thống DLP mà kẻ tấn cơng có
thể khai thác các điểm yếu của DLP để vượt qua hệ thống mà không bị phát
hiện. Trong trường hợp DLP không ngăn chặn được hành động của kẻ tấn cơng,
nhưng có thể tìm kiếm bằng chứng pháp lý để truy ra kẻ tấn cơng. Bởi DLP lưu
lại tồn bộ những hành động và địa điểm mà kẻ tấn công đã thực hiện trên hệ
thống.
Ngăn chặn các cuộc tấn công nội bộ không chỉ sử dụng đến các kỹ thuật
công nghệ. Việc tập trung vào đội ngũ nhân viên trong nội bộ là điều quan trọng
không thể bỏ qua. Một số lưu ý để giảm thiểu tấn cơng nội bộ:


Chính sách rõ ràng: Cần nói rõ chính sách của cơng ty một

cách đầy đủ và dễ hiểu sẽ làm tăng khả năng nhân viên đọc, hiểu và thực
hiện đúng chính sách. Chính sách nên hướng dẫn nhân viên những hành vi
20


và yêu cầu mong muốn, đồng thời cũng xác định những hoạt động bị cấm.
Đối với các hệ thống DLP chính sách đóng vai trị chủ chốt.


Đào tạo tốt: Thường xuyên đào tạo cho nhân viên để nâng

cao nhận thức về an ninh, cũng như cần giải thích ý nghĩa đằng sau các

chính sách của cơng ty. Từ đó nâng cao hiểu biết của nhân viên về tồn bộ
q trình và cách họ có thể góp phần cải thiện nó.


Kiểm tra lý lịch: Việc thực hiện kiểm tra lý lịch có thể giúp

ngăn chặn các cá nhân khơng đáng tin cậy ở giai đoạn đầu.


An ninh vật lý: Đảm bảo cơ sở hạ tầng và các thiết bị lưu trữ

có chứa thơng tin nhạy cảm ln được khóa đúng cách. Điều này giúp
nguy cơ dữ liệu bị đánh cắp giảm xuống.


Xây dựng lòng tin: Đối xử với nhân viên một cách công bằng

với sự tin tưởng là một cách đơn giản nhất để xây dựng một đội ngũ nhân
viên luôn tận tụy và gắn bó với cơng ty.
Cần nhấn mạnh rằng DLP hoạt động nhằm hỗ trợ cho các công nghệ bảo
mật khác như kiểm soát truy cập, IDS và mã hóa dữ liệu và DLP khơng thay thế
cho bất kỳ cơng nghệ nào vừa nói đến. Việc thiếu chính sách và kiểm sốt của
cơng ty tại nơi làm việc chẳng hạn như máy ảnh, điện thoại di động nằm ngồi
phạ vi của DLP. Ngay cả với sự kiểm sốt an ninh cao nhất ngay tại chỗ thì cũng
khó có thể ngăn kẻ tấn công ghi nhớ các thông tin nhạy cảm.

1.3.3. Mất dữ liệu do tấn cơng bên ngồi.
Trong báo cáo điều tra vi phạm dữ liệu của Verizon cho năm 2017 thì
75% số trường hợp thất thốt, rị rỉ dữ liệu bắt nguồn từ tấn cơng bên ngồi.
21



Các cuộc tấn cơng bên ngồi là những cuộc tấn công đánh cắp dữ liệu
được thực hiện từ xa. Về cơ bán một ai đó có quyền truy cập vào hệ thống thông
qua một kết nối từ xa, chẳng hạn như internet và sử dụng truy cập này để ăn cắp
dữ liệu, tạo ra botnet hoặc gây ra sự gián đoạn. Động cơ đằng sau các cuộc tấn
công chủ yếu là liên quan đến tài chính.
Hiện nay có rất nhiều hình thứ tấn cơng để ăn cắp dữ liệu như: Tấn công
trực tiếp, kỹ nghệ xã hội ( Social Engineering), giả mạo địa chỉ, nghe trộm, …
Hiệu quả của một DLP với các kiểu tấn công này phụ thuộc chủ yếu vào kiến
thức của kẻ tấn công vào hệ thống. Một số hệ thống, chẳng hạn như Trend Micro
DLPsử dụng các mẫu đặc biệt để phát hiện và ngăn chặn việc đánh cắp phần
mềm độc hại. Kẻ tấn công sau khi cài đặt một trong những phần mềm độc hại
này hoặc truy cập các tệp được theo dõi bởi DLP thì sẽ có cảnh báo được gửi tới
quản trị và kẻ tấn công bị phát hiện.
Trong trường hợp hệ thống DLP không phát hiện và ngăn chặn được kẻ
tấn công. Bằng chứng pháp ý tìm thấy trong các bản ghi của DLP đơi khi cũng
khơng giúp tìm ra được kẻ tấn cơng. Ví dụ nếu cuộc tấn cơng bắt nguồn từ
Trung Quốc và nạn nhân ở Mỹ, chính phủ Trung Quốc có thể từ chối hợp tác để
điều tra và truy tố kẻ tấn cơng.
Tóm lại, việc bổ sung một hệ thống DLP có thể hỗ trợ cho việc phát hiện
và ngăn chặn các cuộc tấn công từ xa. Tuy nhiên, việc có một tường lửa, IDS,
chống virus, thực hiện đào tạo nhân viên an ninh và áp dụng thực hành bảo mật
tốt sẽ hỗ trợ tốt hơn để khắc phục mối đe dọa này, hơn là chỉ cài đặt một hệ
thống DLP.

1.4.

Kết luận chương 1.


22


Hiểu được khái niệm chống thất thoát dữ liệu đồng thời nắm được hiện
trạng thực tế trong doanh nghiệp từ đó nhận thấy tính cấp thiết của việc bảo vệ
dữ liệu trong doanh nghiệp.
Trình bày các nguy cơ dẫn đến việc thất thốt dữ liệu, từ đó sẽ hiểu hơn
về các phịng chống thất thốt dữ liệu.

23


CHƯƠNG 2: KỸ THUẬT PHỊNG, CHỐNG THẤT THỐT, RỊ RỈ
DỮ LIỆU.
2.1.

Mơ hình của hệ thống chống thất thốt, rị rỉ dữ liệu.
Chương này đề cập đến cách thức DLP hoạt động. Dưới đây là mơ hình

tổng quan của một hệ thống DLP (Hình 14). Endpoint DLP được cài đặt trực
tiếp trên máy trạm và theo dõi cách dữ liệu được lưu trữ (data at rest) và được sử
dụng (data in use). Mạng DLP thường được đặt giữa LAN và WAN như một
proxy giám sát lưu lượng mạng (data in motion).

Hình 14. Mơ hình hoạt động cơ bản của hệ thống DLP.

2.2.

Chính sách chống thất thốt, rị rỉ dữ liệu
Chính sách là trái tim của một hệ thống DLP. Nếu không có các chính


sách thì sẽ khơng có sự khác biệt giữa dữ liệu công cộng và dữ liệu nhạy cảm.
Các chính sách có thể được xây dựng dựa trên các yêu cầu của tổ chức sở hữu
thông số kỹ thuật, yêu cầu từ bên ngoài, chẳng hạn như PCI DSS.

24


Việc thiết lập các chính sách khơng phải là nhiệm vụ của riêng bộ phận IT
mà là nhiệm vụ của tồn bộ cơng ty. Ở giai đoạn này, điều quan trọng là cần xem
xét các chính sách hiện tại và thảo luận, thống nhất với những người chịu trách
nhiệm xử lý dữ liệu của công ty về cách phân loại đúng, xác định và bảo vệ dữ
liệu này. Các chính sách này sau đó sẽ được chuyển đổi thành các quy tắc mà
các hệ thống DLP có thể thực thi trong khi hoạt động.
Ví dụ như chính sách phân loại mã nguồn java, đây là dữ liệu rất quan
trọng của cơng ty do đó nó là dữ liệu nhạy cảm. Vì vậy, mã nguồn nên
được lưu trữ trong kho lưu trữ mã và trên các máy của các nhà phát triển
java. Nếu một nhà phát triển/một ai đó cố gắng lưu mã nguồn ở bất kỳ vị
trí nào khác thì DLP thực thi chính sách và chặn u cầu đó.

Hình 15. Mơ hình tổng quan khi chính sách được áp dụng.
Hình 15 cho thấy các chính sách thơng thường được chuyển đổi thành các
quy tắc mà hệ thống DLP có thể sử dụng để thực thi chính sách nói trên. Các
quy tắc phát hiện giúp hệ thống biết làm thế nào để nhận ra đâu là dữ liệu nhạy
cảm, trong khi các quy tắc phòng ngừa chỉ định cách xử lý nội dung được phát
hiện. Các quy tắc này sau đó được triển khai đến các máy trạm và cổng mạng
và DLP sẽ sử dụng chúng trong quá trình theo dõi các trạng thái dữ liệu khác
nhau.
Tập đoàn RSA-một tập đoàn chuyên cung cấp các chiến lược, giải pháp
bảo mật đề xuất ra những câu hỏi cần được trả lời khi xây dựng chính sách:



Ai là đối tượng chính sách sẽ áp dụng và làm thế nào nó ảnh hưởng

đến họ?
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×