Blogi

D? L? P?

Termi DLP tulee sanoista Data Leak Prevention tai Data Loss Prevention, riippuen siitä puhutaanko tiedon vuotamisesta sellaiselle taholle, jolle nämä tiedot eivät kuulu vai tiedon menettämisestä, jolloin tieto ei ole enää yrityksen hallussa. Tämä suojeltava tieto voi olla mitä tahansa luottokorttitiedoista yrityssalaisuuksiin tai henkilötietoihin. DLP:stä puhuttaessa tietotyypit jaetaan yleensä kolmeen eri kategoriaan:

1. Tieto on käytössä käyttäjän työasemalla
2. Tieto siirtyy tietoverkon yli
3. Tieto on varastoituna, esimerkiksi tiedostopalvelimella tai tietokannassa.

Tiedon suojaustavat vaihtelevat tietotyyppikategorian mukaan.

DLP ohjeistaa käyttäjää

DLP:llä pyritään havaitsemaan ja estämään salaisen tiedon vuotaminen. DLP-järjestelmä voi esimerkiksi valvoa tietyllä digitaalisella vesileimalla merkittyjen piirustusten liikkeitä tai vaikkapa tunnistaa, kun webbichattiin kirjoitetaan salaisen projektin nimi. Lisäksi sen avulla voidaan ohjeistaa käyttäjiä tiedon oikeaan käyttöön luomalla varoituksia käyttäjille politiikan vastaisesta toiminnasta. Ulkoisten vaatimusten täyttämisessä se auttaa mm. PCI DSS:n edellyttämän luottokorttitietojen käsittelyn seurannan ja KATAKRI:n korkean tason edellyttämän käytön diarioinnin osalta.

Harhaluulot DLP:stä

Usein järjestelmän hankkineella on käsitys, että tiedot ovat suojassa koska kallis järjestelmä on asennettu. DLP on kuitenkin juuri niin fiksu kuin sille määritetyt politiikat ja säännöt ovat. Tärkeintä DLP-järjestelmän käyttöönottoprojektissa onkin löytää kaikki paikat joissa suojeltavaa tietoa on ja luokitella niissä sijaitsevat tiedot esimerkiksi julkisiksi, salaisiksi tai luottamuksellisiksi. Tämän jälkeen DLP-järjestelmään tehdään luokittelua vastaavat politiikat ja säännöt. Jatkossa ympäristön muuttuessa myös DLP-järjestelmän sääntöihin tulee päivittää vastaavat muutokset.

DLP ei kuitenkaan ole mikään hopealuoti, joka yksinään estää tietojen vuotamisen. Jos yritys on valinnut vain käytössä olevan tiedon suojaamisen DLP:llä, tarkoittaa se työasemalla pyörivän agenttiohjelman asennusta. Ensimmäinen käytännön ongelma tulee vastaan agenttiohjelmien käyttöjärjestelmätuessa – usein vain Windows on tuettu. Jos ei ole agenttia, ei ole myöskään suojausta. Toisaalta omaan työasemaansa pääkäyttäjän oikeudet saanut työntekijä voi sulkea agentin, vaikka sellainen olisikin asennettu. Voi myös olla, että agentti tarjoaa DLP-liitännäisen Firefoxiin ja Internet Exploreriin, mutta ei Opera-selaimeen. Allekirjoittanut on myös käyttänyt onnistuneesti kehittyneitä hakkerointityökaluja DLP-agentin huijaamiseen: komentokehote ja uskalias copy-komennon käyttö poikivat DLP-järjestelmän valmistajalle korjauspyynnön.

Oikein käytettynä tehokas työkalu

Tekeekö DLP:llä sitten mitään? Mielestäni tekee, kun vain valitaan oikea tuote ja käytetään sitä tarkoituksenmukaisesti. Mikäli yritystä huolestuttavat sähköpostin kautta lähetetyt tiedot, tulisi sen sallia sähköpostin lähetys vain oman sähköpostipalvelimensa kautta, johon on liitetty DLP-välityspalvelin. Välityspalvelin tarkastaa sähköpostin liitteineen ja sallii lähetyksen vain mikäli sähköpostissa ei ole suojeltavaa tietoa. Sääntöjä voi muokata monipuolisesti: esimerkiksi johtoryhmän raporttia ei voi liittää liitetiedostoksi jos joku vastaanottajista ei ole johtoryhmässä tai kohdeosoite ei ole yrityksen hallinnoima sähköpostiosoite.

Mikäli tietojen pelätään vuotavan webin kautta, sallitaan nettiliikenne yrityksestä ulos vain yrityksen DLP-välityspalvelimen kautta. Kun nettiin on vain yksi väylä, voidaan sitä valvoa tehokkaammin. Tietoverkkoa valvomaan voi asettaa myös kaikkia verkkoprotokollia seuraavan DLP-monitorin. Julkisuudessa olleiden APT-hyökkäysten (Advanced Persistent Threat) ja esimerkiksi haittaohjelmien aiheuttamat tietovuodot olisi voitu estää, jos joku olisi valvonut mitä tietoa verkossa liikkui ja kuka sitä käsitteli.

DLP-agentti työasemassa voi estää tietojen tahattoman vuotamisen ja monissa tapauksissa tahalliset vuotamisyrityksetkin. Teknisesti osaavaa ja sinnikästä vuotajaa on kuitenkin hyvin vaikea estää. Viimeisenä vaihtoehtona vuotaja voi näpsäistä dokumentista kuvan vaikka kännykällä ja voipa vanhan koulukunnan hakkeri käyttää kynää ja paperiakin. Usein vuotaja ei kuitenkaan onnistu ensimmäisellä yrittämällään ja epäonnistuneista yrityksistä jää lokimerkintä, joka voidaan havaita esimerkiksi SIEM-järjestelmän avulla.

Yhteenveto

DLP:llä on tärkeä rooli yrityksen tietojen suojaamisessa, samalla tavalla kuin palomuurilla, virustorjunnalla, yritykselle laadituilla tietosuojapolitiikoilla ja pääsynhallinnallakin. Mikään edellä mainituista ei yksin riitä juuri mihinkään, mutta yhdessä ne vievät yrityksen tietoturvaa oikeaan suuntaan. Ne ovat kukin tärkeitä paloja tietoturvapalapelissä, joka toisin kuin tavanomaisemmat palapelit, kasvaa jatkuvasti suuremmaksi, paljastaen uusia tyhjiä kohtia joihin tarvitaan sopivat palat. DLP on niistä yksi.

Kirjoittaja Veli Pekka Jutila toimii tietoturvakonsulttina Nixun turvallisia verkkoratkaisuja ja tilannekuvaa tuottavassa yksikössä.

Luxemburgissa toimiva Malware.lu-sivusto ja iTrust Consulting ovat julkaisseet yhdessä teknisen raportin (.pdf) liittyen Mandiantin raportoimaan (.pdf) APT1-hyökkäykseen. Malware.lu:n tarkoituksena oli löytää APT1-hyökkäyksessä käytetyt kontrollipalvelimet ja aktiivisen vastahyökkäyksen keinoin tutkia näitä palvelimia sekä itse hyökkäyksen anatomiaa. Malware.lu onnistui selvittämään hyökkääjän infrastruktuurin, murtamaan salatun liikenteen ja selvittämään hyökkäyksen toimintatavan. Hyökkääjän identiteettiä ei kuitenkaan pystytty selvittämään.

APT-hyökkäyksiltä suojautuminen

Malware.lu:n raportin perusteella voidaan todeta, ettei APT1-hyökkäyksessä loppujen lopuksi käytetty erityisen edistynyttä teknologiaa vaan paljon yleisesti saatavilla olevaa teknologiaa. Vastahyökkäyksen onnistuminen myös osoitti sen, etteivät hyökkääjät odottaneet aktiivisia vastatoimia tai joutumista muiden “hakkeroimaksi”.

Hyökkäyksen menetelmien selvittämisen myötä voitaisiin pohtia miten näitä hyökkäyksiä voitaisiin havaita ja niiltä suojautua? Perinteisen tietoturvanäkemyksen mukaan pyritään hyökkääjän pääsy yrityksen verkkoon estämään palomuurien ja verkkojen segmentoinnin avulla. Kehityksen myötä on palomuurien ja muiden verkon ulkoreunan kontrollien ominaisuuksia pyritty parantamaan. Toisaalta mikään ihmisen keksimä kontrolli ei ole absoluuttinen, joten hyökkääjän näkökulmasta voidaan korkeintaan puhua “hidasteista”.

Yksin hidasteet eivät riitä, vaan tietomurto on myös kyettävä havaitsemaan, jotta tarvittaviin vastatoimiin voidaan ryhtyä (hidaste -> havaitseminen -> seuranta/valvonta -> vastatoimet). Verizonin viime vuonna tekemässä Data Breach Investigations Report -julkaisussa todettiin, että tietomurron havaitseminen kestää normaalisti kuukausia ja joissakin harvoissa paikoissa havainnointi tapahtuu tunneissa:

Kuukausia kestäneen tietomurron jälkeen voidaan lähinnä puhallella haavoihin, siivota paikat ja toivotella pikaista paranemista, koska vahinko on jo päässyt tapahtumaan. Tärkeää on siis saada lyhennettyä aikaa tietomurron tapahtumisen ja sen havaitsemisen välillä.

Käytännön työkalut

Tietomurtojen hidastamiseksi tulee tietoturvan olla riittävällä tasolla, jota luonnehtivat segmentoitu verkko, kontrollit segmenttien välillä (palomuurit, proxyt, hyppykone, VPN) ja tietoturvaa edesauttavat yleiset toimintaperiaatteet. Erilaiset verkon toiminnan poikkeamien ja haittaohjelmien havaitsemiseen tarkoitetut tekniikat – haittaohjelmien torjunta eli antivirus (AV), työasemakohtainen tunkeutumisenesto (HIDS), sähköpostin turvaratkaisut, tunkeutumisen esto- ja havainnointijärjetelmät (IPS/IDS) sekä uudet kehittyneet tekniikat auttavat lisäämään sen todennäköisyyttä, että hyökkääjän toiminnasta sekä jäljistä nousee lippu pystyyn valvontajärjestelmissä.

Usein eri lähteistä saatavaa tieto on kuitenkin mahdotonta yhdistää kokonaiskuvan luomiseksi. Yksi havainto ei myöskään vielä välttämättä riitä laukaisemaan järjestelmän hälytystä, mutta useamman järjestelmän keräämät havainnot muodostavatkin yhdessä hälytyksen arvoisen tapahtuman. Tätä ongelmaa taklaamaan on kuitenkin olemassa SIEM-järjestelmiä, joihin eri lähteiden lokit voidaan kerätä yhdessä käyttöjärjestelmien ja ohjelmistojen lokien kanssa. SIEM-järjestelmä itsessään ei ole mikään oikotie onneen, vaan voidaan puhua järjestelmästä, joka moninkertaistaa olemassa olevien tietoturvahenkilöiden työpanoksen arvon. SIEM-järjestelmä vaatii siis aktiivista muokkaamista, jotta se toimii tehokkaasti. Kattava lokitus ja keskitetty lokienhallinta tekee tietomurtojen havaitsemisen ja nopean tutkimisen huomattavasti helpommaksi.

Etäkäyttötyökalujen toimintatapa, jota APT1-hyökkäyksessäkin käytettiin, pitää sisällään yhtenä askeleena tiedonkeruuvaiheen, jossa skannataan murretun järjestelmän rekisteri ja tiedostojärjestelmän sisältö kiinnostavien kohteiden löytämiseksi. Tiedonkeruuvaiheen havaitsemiseksi voidaan käyttöjärjestelmien omien työkalujen ja SIEM-järjestelmän avulla rakentaa “miinoja”, jotka hyökkäystyökalut laukaisevat aiheuttaen näin hälytyksiä. Tulee kuitenkin muistaa, että hidasteet ja valvonta ovat hyviä ja niitä tulee olla, mutta niitä mietittäessä tulee niistä saatavan hyödyn määrän ylittää niiden aiheuttaman haitan, eli kustannukset ja lisätyöt.

Tietoa tietomurron merkeistä ja siitä mitä tehdä jos epäilet joutuneesi tietomurron kohteeksi löydät Nixun oheisista blogikirjoituksista:

Mitä tehdä jos epäilet joutuneesi tietomurron kohteeksi?

Tietomurtojen merkkejä

Tietomurtojen merkkejä – Antivirus

Kirjoittaja Jussi-Pekka Liimatainen toimii turvaverkkoasiantuntijana Nixun tilannnekuvapalveluita tuottavassa yksikössä.