Phòng chống rò rỉ dữ liệu DLP (Data Leak Prevention) là tập hợp các giải pháp giúp tổ chức phát hiện và ngăn chặn việc rò rỉ dữ liệu nhạy cảm ra bên ngoài. Những dữ liệu có thể là danh sách khách hàng, bí mật kinh doanh, tài liệu kế toán tài chính công ty, thông tin hợp đồng, tài liệu kỹ thuật công nghệ, thông tin sở hữu trí tuệ, thông tin sáng chế độc quyền... được lưu và phân tán trên hệ thống máy chủ, máy trạm, PC, laptop... Một khi bị phát tán ra ngoài thì dữ liệu này đứng trước nguy cơ bị lạm dụng rất lớn, gây thiệt hại đến hoạt động kinh doanh của doanh nghiệp.
Hầu hết các giải pháp DLP đều bao gồm một nhóm các công nghệ phục vụ cho ba mục tiêu chính:
• Xác định danh sách, vị trí các thông tin nhạy cảm được lưu trữ trong toàn doanh nghiệp
• Theo dõi và kiểm soát luồng chuyển động các thông tin nhạy cảm trên hệ thống mạng doanh nghiệp
• Theo dõi và kiểm soát luồng chuyển động các thông tin nhạy cảm trên hệ thống của người dùng cuối.
Các giải pháp ngăn ngừa rò rỉ dữ liệu
Hiện nay, có ba phương pháp giảm thất thoát, rò rỉ thông tin tương ứng với ba nhóm thông tin trong doanh nghiệp, bao gồm: dữ liệu nghỉ (data-at-rest), dữ liệu chuyển động (data-in-motion), và dữ liệu đang sử dụng (data-in-use). Mỗi trạng thái của dữ liệu đều được đảm bảo an toàn bằng các công nghệ khác nhau:
• Dữ liệu nghỉ (Data-at-rest): Phương pháp phát hiện sự tồn tại của dữ liệu nhạy cảm nằm trong các máy trạm, máy chủ, ổ đĩa cứng, thiết bị đầu cuối,... Một chức năng cơ bản của giải pháp DLP là khả năng xác định và ghi vết cụ thể các loại thông tin được lưu trữ trong toàn doanh nghiệp. Nghĩa rằng các giải pháp DLP phải có khả năng tìm kiếm và xác định các loại tập tin cụ thể, như bảng tính, văn bản tài liệu,… dù nó được lưu trữ bất kì nơi nào trong hệ thống. Sau khi tìm thấy, DLP có thể mở tập tin và quét nội dung để xác định phần thông tin cụ thể đang có. Thu thập thông tin này là một bước quan trọng trong việc cho phép các doanh nghiệp xác định vị trí của những thông tin nhạy cảm, cho dù nó được lưu trữ tại những vị trí được bảo vệ bởi nhiều chính sách khác nhau.
• Dữ liệu chuyển động (Data-in-motion): Phương pháp phát hiện và kiểm soát thông tin lưu chuyển trên mạng như qua mail, website,... phương pháp này còn được gọi là ngăn ngừa mức mạng (Network-based DLP). Để theo dõi dữ liệu chuyển động trong hệ thống mạng của doanh nghiệp, DLP sử dụng các phần mềm thường trú (Agent) để nắm bắt, phân tích lưu lượng mang tính chọn lọc. Khi tập tin được gửi đi trong mạng, chúng chia thành các gói. Để kiểm tra thông tin được gửi đi, DLP phải có khả năng chủ động giám sát lưu lượng, nhận diện chính xác các luồng dữ liệu, lắp ráp các gói tin thu thập được, tái tạo các tập tin thực trong luồng dữ liệu và sau đó thực hiện phân tích so sánh với các chính sách áp dụng cho dữ liệu đó. Cốt lõi của phương pháp này là quá trình mang tên kiểm tra sâu gói tin (DPI), cho phép xác định nội dung, địa chỉ nguồn, đích. Nếu dữ liệu nhạy cảm được phát hiện đi đến một địa điểm không được phép, hệ thống sẽ cảnh báo và chặn luồng dữ liệu đó.
• Dữ liệu đang sử dụng (Data-in-use): Phương pháp phát hiện và kiểm soát dữ liệu trên máy trạm, máy chủ như copy ra USB, ghi CD/DVD, in trên giấy,... Phương pháp này còn được gọi là ngăn ngừa tại các điểm đầu cuối (Endpoint DLP). Việc theo dõi loại dữ liệu này phải xuất phát từ thao tác của người dùng trên thiết bị của họ. DLP thường thực hiện điều này thông qua việc sử dụng một phần mềm có vai trò như tác nhân, giúp kiểm soát, quản lý tập trung cùng các giải pháp tổng thể DLP. Việc áp dụng các chính sách lên những thiết bị người dùng cuối sẽ tồn tại nhiều điểm hạn chế. Tùy thuộc vào số lượng và độ phức tạp của các chính sách, việc áp dụng một phần hay toàn bộ chính sách đưa ra sẽ tỷ lệ nghịch với những khoảng trống trong giải pháp tổng thể.
Mỗi phương pháp ngăn ngừa rò rỉ thông tin có các ưu điểm, nhược điểm khác nhau, nhưng phương pháp ngăn ngừa tại mức mạng (Network-based DLP hay Data-in-motion) có hiệu quả cao với thời gian triển khai nhanh, phạm vi kiểm soát lớn, kiểm soát tại vị trí thích hợp và ít tác động tới người dùng cuối. Tuy nhiên, đối với hệ thống đòi hỏi mức độ an toàn cao thì việc kết hợp cả ba phương pháp trên là cần thiết.
Một giải pháp DLP hoàn thiện phải có khả năng đảm bảo an toàn cho ba trạng thái thông tin và được tích hợp chức năng quản lý tập trung. Mỗi giải pháp có một giao diện quản lý khác nhau, nhưng nhìn chung đều có các tính năng phổ biến sau:
• Tạo và quản lý các chính sách: Có khả năng tạo mới, tùy chỉnh cũng như quản lý bộ chính sách một cách đầy đủ.
• Tích hợp với các dịch vụ thư mục: Cho phép ánh xạ một địa chỉ IP ra tên, địa chỉ người dùng cuối.
• Quản lý tiến trình làm việc: Các giải pháp DLP hoàn thiện đều cung cấp khả năng cấu hình để xử lý sự cố, cho phép hệ thống quản lý tập trung xác định chi tiết sự cố để phân loại vi phạm, mức độ nghiêm trọng, người dùng và các tiêu chí khác.
• Sao lưu và khôi phục: Tính năng cho phép bảo toàn chính sách và các thiết lập khác nhau.
• Chức năng báo cáo: Có thể sử dụng công cụ trong nội bộ hoặc bên ngoài để xuất ra các báo cáo tổng hợp.
Hiện nay, trên thị trường có rất nhiều nhà cung cấp giải pháp DLP phổ biến, điển hình như: Triton AP-Data của Websense, McAfee DLP, RSA, Symantec, Trend Micro, Check Point, MyDLP (mã nguồn mở),… Mỗi hãng đều có giải pháp của riêng mình, với công nghệ khác nhau, chi phí khác nhau nhưng nhìn chung đều áp dụng ba phương pháp trên.
Một số cách hiểu chưa đúng về DLP
Nhiều doanh nghiệp có cái nhìn không chính xác về các giải pháp chống rò rỉ dữ liệu, chính điều này dẫn đến sự chủ quan, và khi hậu quả đáng tiếc xảy ra thì đã quá muộn. Một số nhận định thường gặp như sau:
- Nhiều người cho rằng đã trang bị nhiều giải pháp an ninh bảo mật như tường lửa, chống virus, chống xâm nhập,... nên có thể ngăn ngừa thất thoát thông tin rồi. Các giải pháp an ninh truyền thống như firewall, IPS, Anti-virus,... giúp nhận diện và ngăn ngừa các tấn công, mã độc hại,... nhưng các giải pháp này không phân biệt được dữ liệu nào là nhạy cảm, dữ liệu nào cần bảo vệ.
- Triển khai giải pháp DLP rất phức tạp, tốn nhiều thời gian và chi phí. Thực tế, tùy theo mức độ bảo mật thông tin mà tổ chức yêu cầu, có thể lựa chọn triển khai một trong 3 phương pháp kể trên, hoặc triển khai kết hợp cả 3 phương pháp. Việc triển khai phương pháp Network- based DLP tương đối đơn giản, chi phí không quá cao mà đáp ứng các yêu cầu về bảo mật thông tin theo các tiêu chuẩn như HIPAA, PCI- DSS, SOX...
- Đã triển khai DLP thì nhất thiết phải triển khai cả ba phương pháp. Thực tế, cũng tùy theo yêu cầu về bảo mật thông tin, có thể lựa chọn phương pháp Network-based DLP (Data-in-motion) để loại bỏ các hành động vô tình, cố tình gửi các thông tin ra bên ngoài, gửi thông tin cho sai người nhận,... hoặc lựa chọn giải pháp Endpoint DLP (Data-in-use) để ngăn chặn việc in, copy các thông tin trên các thiết bị đầu cuối.
- Giải pháp DLP giúp ngăn ngừa tối đa các nguy cơ thất thoát thông tin khi thiết lập chính xác chính sách đối với các loại thông tin và người được quyền sử dụng thông tin. Thực tế, một số giải pháp Network-based DLP chỉ có khả năng nhận diện và phát hiện các thông tin nhạy cảm được gửi đi, tuy nhiên lại không có khả năng ngăn chặn tức thời các thông tin đó, mà đòi hỏi phải kết hợp với các giải pháp an ninh bảo mật khác.
Đánh giá khả năng áp dụng các giải pháp DLP
Để đảm bảo các giải pháp DLP được triển khai, quản lý và điều khiển đúng, doanh nghiệp cần có hiểu biết rõ ràng về những rủi ro cũng như giám sát liên tục bốn nhóm lĩnh vực chính sau:
• Chiến lược và quản trị doanh nghiệp: Xem lại các chiến lược bảo vệ dữ liệu để kiểm tra xem nó phù hợp với mục tiêu và rủi ro trong kinh doanh không. Nhất là những rủi ro gián tiếp mà các đối thủ cạnh tranh có thể lợi dụng. Một quy trình quản trị rõ ràng là cần thiết để giảm nguy cơ khi có thay đổi chiến lược kinh doanh.
• Con người: Xem lại các chương trình đào tạo và nâng cao nhận thức để đảm bảo rằng các nhân viên nhận thức được vai trò và trách nhiệm của mình. Nhân viên phải xử lý các thông tin bí mật theo đúng chính sách bảo mật của doanh nghiệp và mỗi nhân viên chỉ có quyền truy cập vào loại thông tin nhạy cảm theo đúng quyền hạn của mình. Đồng thời đưa ra các phương án đánh giá, giải quyết vi phạm chính sách DLP.
• Quy trình hoạt động kinh doanh: Xem lại cách tiếp cận với thông tin nhạy cảm và xác định xem mức độ nào cần thiết để truy cập vào dữ liệu đó. Ngoài ra, các quy trình thích hợp cho việc giám sát, phát hiện, đánh giá chất lượng, xử lý sự cố rò rỉ dữ liệu cũng cần làm rõ.
• Công nghệ: Xem lại các thiết bị công nghệ hiện có, xem nó đã được cài đặt đúng theo thiết kế chưa, các luồng dữ liệu ra vào doanh nghiệp. Có đánh giá định kỳ để đảm bảo những giải pháp đang được sử dụng là phù hợp và tối ưu hóa.
Dù doanh nghiệp, tổ chức ở quy mô lớn, nhỏ hay vừa đều luôn muốn tăng cường bảo vệ các dữ liệu quan trọng, duy trì và lưu trữ chúng. Giải pháp DLP thường cung cấp khả năng đa diện cũng như nhiều tính năng riêng để tăng năng lực quản lý rủi ro. Tuy nhiên, các giải pháp này khá phức tạp và dễ phá vỡ quy trình, văn hóa doanh nghiệp nếu thực hiện không đúng hoặc vội vã. Lập kế hoạch chi tiết, truyền thông và đào tạo nâng cao nhận thức là tối quan trọng trong việc triển khai một chương trình thành công DLP.