דנתי כאן לא מעט על פתרונות למניעת זליגת מידע רגיש מהרשת. מניעה זו כנראה מילה שאפתנית מידי. ניטור זו מילה רלוונטית יותר. אני לא מכיר ארגון (אזרחי או צבאי) שיכול למנוע זליגת מידע לחלוטין. מדובר ביותר מפתרון אחד והם משלימים אחד את השני.
הפתרון המרכזי במניעת זליגה הוא מערכת DLP. הבעיה הגדולה, והקושי שלא מדברים עליו בשלב בחירת הפתרון והטמעתו, היא שמערכת כזו מייצרת המון התראות שווא (False Positives) והתראות רלוונטיות בכמויות מאוד גדולות.
דוגמאות להתראות שווא כוללות: מסמך שנשלח מספריה רגישה (משאבי אנוש) ברשת בעוד שבפועל מישהו לקח מסמך כזה, מחק את התוכן שלו ושמר רק על הלוגו, כתב בו תוכן לא רגיש ושלח בתוך הארגון ומאוחר יותר המסמך נשלח החוצה. זיהוי שגוי של מספר בן 16 תווים כמספר כרטיס אשראי.
אלה שתי דוגמאות למגבלות של מערכת DLP שיוצרות התראות שווא. דוגמא נוספת לחיווי כזה יכולה לנבוע ממיפוי מידע רגיש ביחד עם מחלקה עסקית. לכאורה, אם מישהו שולח מידע כזה החוצה, נוצרת התראה שמצריכה טיפול. בפועל, אתה מגלה שמחלקה אחרת משתמשת בביטויים דומים והתכנים שהיא מייצרת אינם כה רגישים וניתן לשלוח אותם החוצה.
עד כאן, הצגתי התראות שווא. מערכת DLP מציפה גם המון התראות שאמורות היו להתפס. במקרים כאלה, נדרשת בקרה אנושית, לא אוטומטית, בכדי לחקור האם מדובר בזליגת מידע רגיש. מניסיון, הרוב המוחלט של ההתראות אינן זליגת מידע. לפעמים, בעקבות חקירת התראות, נדרש לחדד (Fine Tune) את החוקים. לעיתים, עולים על שליחת מידע בניגוד לנהלים (אך לא אירוע גניבת מידע).
כדי לכסות טוב יותר את ערוצי זליגת המידע, כדאי לשלוח התראות בקטגוריות מסוימות ממערכת DLP למערכת SIEM. במערכת SIEM ישנה אפשרות לסנן באופן עמוק יותר אירועים ולהציף לטיפול רק כאלה שעוברים סף (Threshold) מסוים. למשל, ע"י קישור ל – LDAP, רק אירועים מעובדים שאינם חברים בקבוצה מסוימת ששלחו תוכן בקטגוריה של משאבי אנוש, יוצפו בממשק ה – SOC לטיפול. כך ניתן להקטין את כמות ההתראות המטופלות ולטפל ביותר קריטיים.
רק כדי לסבר את האוזן, מערכת DLP המכילה חוקי ניטור רבים, עשויה ליצור מעל מיליון התראות בשנה. לעומת זאת, את מספר האירועים האמיתיים שיטופלו ויגיעו לכדי צעדים משמעתיים ניתן לספור על שתי ידיים. אין זה אומר שלא צריך פתרון DLP. נהפוך הוא. חשוב לזכור שהטמעת פתרון מניעת זליגה אולי צורך לא מעט משאבים. אך טיפול בהתראות שמהערכת יוצרת מצריך אפילו יותר עבודה ומשאבים. זה משהו שמנהל מכירות של מערכת DLP לא יציג לכם.
CISO בלוג אבטחת מידע 
תגובות אחרונות