DRM - Digital-Rights-Management

Transkript

1 DRM - Digital-Rights-Management Seminararbeit - Data Loss/Leak Prevention Betreuer: DI Rainer Poisel rainer.poisel@fhstp.ac.at Verfasser: Reidlinger Wolfgang is081021@fhstp.ac.at Hammerschmied Klaus is081007@fhstp.ac.at Zanitzer Gerhard is081033@fhstp.ac.at Stand: 22/11/2010 WS2010 Matthias Corvinus-Straße 15, A-3100 St. Pölten, T: , F: , E: office@fhstp.ac.at, I:

2 Inhaltsverzeichnis 1 Einführung Definition von DLP Einteilung von Datenbeständen Bestandteile einer DLP Strategie Verwendete Technologien Geschichte Rechtliche Aspekte Insident Databases Vergleich der verschieden Anbieter Hardware Gateway Cisco Ironport Appliances Software Drivelock Security.Desk - Endpoint Security Hybrid McAffee Data Loss Prevention Trend Micro DLP Checkpoint DLP Quellen Abbildungsverzeichnis November / 10

3 1 Einführung Digitale Datensätze zählen im privaten als auch im geschäftlichen Umfeld als Güter mit denen man täglich in Berührung kommt. Diese Daten können sich von belanglosen privaten Dokument bis hin zu hoch sensiblen geschäftlichen Dokumenten bewegen. Das Gefahrenpotential, welches eine Offenlegung dieser Daten mit sich bringt ist nicht jedem bekannt. Die Offenlegung von zum Beispiel vertraulichen Geschäftsdaten durch einen erbosten, entlassenen Mitarbeiter könnte massive Auswirkungen auf den geschäftlichen Erfolg einer bestimmten Firma nach sich ziehen. Diese und noch eine Vielzahl ähnlicher Situationen passieren jedoch weltweit tagtäglich. Der Trend hin zu einer immer umfangreicheren Nutzung von elektronischen Datensätzen birgt daher Gefahren sowohl auf Seiten der Kunden als auch der Organisationen. Aufgrund dieser Tatsache überlegen sich IT Spezialisten in den letzten Jahren wie man diesen Entwicklungen entgegentreten kann. Um oben stehende Problematik verhindern zu können werden Technologien, welche sich unter dem Begriff Data Loss Prevention bzw. Data Leak Prevention zusammenfassen lassen, eingesetzt. Diese noch recht junge Themengebiet der Informationssicherheit beschäftigt sich abseits der bereits bestens bekannten Schutzmaßnahmen wie IDS/IPS sowie Firewallsystemen mit den Schutz bestimmter Daten. Speziell ist hierbei, dass die Daten nicht vor dem Zugriff von unberechtigten Dritten sondern von berechtigten Personen geschützt werden müssen. DLP Systeme versuchen das unerlaubte Weitergeben von Daten durch berechtigte Personen zu verhindern. 1.1 Definition von DLP Ob nun von Data Loss Prevention oder Data Leak Prevention gesprochen wird ist meist nicht ganz klar. "Data Loss Prevention" und "Data Leakage Prevention" werden meist synonym gebraucht, von einigen Spezialisten in der Fachdiskussion aber auch unterschieden: "Data Loss Prevention" ist der Schutz gegen den unerwünschten Abfluss von Daten, der Schaden verursacht und auch bemerkt wird, während "Data Leakage Prevention" für einen Schutz gegen ein vermutetes, aber nicht messbares und manchmal auch im Einzelfall gar nicht feststellbares Weitergeben von Informationen an unerwünschte Empfänger steht. 1 Unternehmen, welche im Regierungen zusammenarbeiten oder spezielle Services anbieten müssen sich laut Gesetzt an diverse Standard bzw. Regularien halten. Laut einen Paper 2 der IEEE sind dies im wesentlichen folgende: Health Insurance Portability and Accountability Act (1996) 1 Wikipedia, 2010, (Zugriff am ) 2 IEEE Computer Society, 2010, Data Loss Prevention, Simon Liu and Rick Kuhn 22. November / 10

4 Gramm-Leach-Bliley Act (1999) Privacy Act (1974) Federal Information Security Management Act (2002) Payment Card Industry Data Security Standards Einteilung von Datenbeständen In einer größeren Organisation können Daten an unterschiedlichen Orten und Geräten gespeichert werden. Außerdem können die Daten entsprechend mittels unterschiedlichen Übertragungstechniken nach Außen übertragen werden. Unternehmensdaten können in folgende drei Kategorien eingeteilt werden: (Basierend auf der Einteilung, die im Paper 3 der IEEE vorgeschlagen wird) Data at rest Unter dieser Kategorie versteht man Daten, welche sich in unternehmensinterne Datenbanken oder sonstigen zentralisierten Datenspeicher abgelegt sind. Data at the endpoint In diese Kategorie fallen Netzwerkendgeräte also zum Beispiel Notebooks, USB- Sticks, CD/DVDs, MP3-Players, iphones oder sonstige ähnlich mobile Datenträger. Data in motion Hier werden Daten eingeordnet, die via , Instand Messaging, Peer-to-Peer, FTP oder sonstigen Übertragungstechniken in die Außenwelt übertragen werden. Basierend auf der oben stehenden Einteilung müssen entsprechend unterschiedliche Data Loss Prevention Strategien entwickelt und angewendet werden. Einen umfassenden Schutz für alle Bereiche des Unternehmens bietet daher nur eine Strategie, die alle Bereiche abdeckt und entsprechend schützt Bestandteile einer DLP Strategie Das IEEE Paper 4 nennt hier vier wesentliche Teile einer DLP- Strategie bzw. Vorgehensweise bei der Einführung deiner DLP-Lösung im Unternehmen. Manage In dieser Phase werden unternehmensweite Policies verfasst. Außerdem werden Vorgehensweise definiert, wie man sich bei einen DLP Vorfall zu verhalten hat. Weiters ist zu definiert, wie diese erstellten Dokumente verwaltet und gepflegt 3 IEEE Computer Society, 2010, Data Loss Prevention, Simon Liu and Rick Kuhn 4 IEEE Computer Society, 2010, Data Loss Prevention, Simon Liu and Rick Kuhn 22. November / 10

5 werden können. Während dieser Phase sollte klar werden, dass DLP nicht ausschließlich mit hoch technischen Lösungen erschlagen werden kann. Discover In dieser Phase wird die Sensibilität der im Unternehmen verwendeten Daten erhoben und wo diese gespeichert sind. Ergebnis ist eine Aufstellung der sensiblen Daten samt klassifizierter Stufe und Speicherort. Monitor Hier wird die Verwendung von sensiblen Daten protokolliert. Darunter fallen Information wie, wer verwendet die Daten und was macht er damit. Protect In dieser Phase werden die erstellten Policies umgesetzt und damit soll verhindert werden, dass sensible Daten das Unternehmen verlassen. 1.2 Verwendete Technologien Hauptsächlich kommen zwei technische Modelle zum Einsatz, nämlich die Zugriffskontroll- sowie die Informationsflussstrategie. Die Zugriffskontrollstrategie gliedert sich wiederum in drei Bereiche: Discretionay Access Control (DAC) Mandatory Access Control (MAC) Role based Access Control (RBAC) Weiter gibt es folgende Modelle: Bell LaPadula Modell Biba-Modell Chinese-Wall-Modell Bei der Informationsflussstrategie steht natürlich die Sicherheit des Informationsfluss im Mittelpunkt. Hier ist das Verbandsmodell, welches ein Informationsflussmodell darstellt zu nennen. 22. November / 10

6 1.3 Geschichte Es gibt keine konkrete Jahreszahl, an welche sich die Idee von DLP festmachen lässt. Vielmehr war es ein Entwicklungsprozess, in dem einzelne Sicherheitsprodukte immer mehr an Funktionalitäten mitgebracht haben, die sich heute zum Thema DLP einordnen lassen. Die ersten DLP Lösungen wurden natürlich beim Militär eingesetzt. Dort wurden die USB-Sticks Seriennummern den entsprechenden Benutzern zugeordnet. Mittels dieser Seriennummer konnte protokolliert werden, welcher Benutzer welche Dateien auf den USB-Stick kopiert hat. Die Frage hierbei ist jedoch, der Grad der Protokollierung. Was wird genau protokolliert, sind es nur die Dateinamen, denn die lassen sich leicht ändern, oder ist es der Inhalt oder Teile davon. Diese kleine Beispiel lässt ganz gut erahnen, wie komplex diese Materie werden kann. 1.4 Rechtliche Aspekte Da ein DLP System erhebliche Eingriffe im Bezug auf Arbeitsplatzüberwachung bedeutet, gilt es rechtliche Aspekte bei deren Einführung zu beachten. Rechtlich gesehen ist die Überwachung des Arbeitsplatzes durch ein DLP- System in Österreich, Deutschland und der Europäischen Union (EU) problematisch. 5 Voraussetzung für den rechtlich unbedenklich Einsatz von DLP Lösungen ist primär die Zustimmung aller betreffenden Mitarbeiter. Eine Firma, die ein DLP-System einsetzen möchte, kann dies nur mit Einwilligung der betroffenen Mitarbeiter tun. Der kritische Punkt ist die Überwachung persönlicher Daten und die Überwachung der Arbeitsleistung. Wenn es einen Betriebsrat gibt, kann dieser Regelungen für den Bereich der Protokollierungsdaten verlangen und durchsetzen. Der Betriebsrat hat nach dem deutschen Betriebsverfassungsgesetz 87 Abs.1 Nr. 6 ein Mitspracherecht bei Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, dass Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Ein DLP-System überwacht das Verhalten, somit ist der Einsatz eines solchen Systems von dieser Vorgabe betroffen. Das Mitspracherecht für den Betriebsrat gilt solange, bis es ein Gesetz gibt, welches die Überwachung regelt Insident Databases Die open security foundation betreibt die größte freie Datenbanken, in derer Vorfälle zum Thema Data Leak bzw. Data Loss festgehalten werden. Die Datenbank ist unter zu finden. In der Datenbank sind der Öffentlichkeit bekannte Fällen von Datendiebstahl, Datenverlust und Datenmissbrauch dokumentiert. Seit bestehen der Aufzeichnungen war im Jahr 2008 die meisten Vorfälle, nämlich 787 7, zu verzeichnen. Insgesamt sind bei diesen 787 Vorfällen Datensätze verloren gegangen. 5 Diplomarbeit, Data Leakage Prevention, 2008, H. Kasparick 6 Diplomarbeit, Data Leakage Prevention, 2008, H. Kasparick 7 DATALOSS db 2010, (Zugriff ) 22. November / 10

7 2 Vergleich der verschieden Anbieter Dieses Kapitel beschäftigt sich mit dem Vergleich der verschiedenen Produkte die aktuell am Markt verfügbar sind. Prinzipiell können die Produkte in 3 Gruppen eingeteilt werden: Softwarelösungen die rein die Endpoint-Security betrachten (Sperren von Schnittstellen, Verschlüsselung von Daten, Rechte-Management) Hardwarelösungen (Appliances) die als Gateway fungieren und den Traffic protokollbasierend überprüfen (HTTP, HTTPS, FTP, etc.) Hybride Lösungen, die Gateway-Appliances und ebenso Agentenbasiert arbeiten. 2.1 Hardware Gateway Eine DLP Lösung kann in Form eines Hardware Gateways implementiert werden. In dieser Implementierung läuft der gesamte Internet-Traffic des Unternehmens über eine Appliance, die verschiedene Protokolle beobachtet und auf Datentypen, Dateimuster und ähnliche Merkmale überprüft Cisco Ironport Appliances 8 Diese Appliance von Cisco bietet HTTP, HTTPS und FTP Überwachung des gesamten Internet-Traffics. Sensible Dateitypen die vertrauliche Informationen beinhalten, können bestimmt und je nach Wunsch protokolliert, oder geblockt werden. Ebenfalls unterstützt die Appliance URL-filtering. Abbildung 1: Cisco Ironport Application November / 10

8 2.2 Software DLP Softwarelösungen bestehen in den meisten Fällen aus DLP-Clients (sogenannten Agenten) die auf allen Rechnern im Unternehmen installiert werden und einem zentralen Management-Server über den die Konfiguration der Agenten vorgenommen werden kann Drivelock 9 Drivelock bietet eine reine Softwarelösung durch agentenbasierten Aufbau. Das Management der Agenten erfolgt zentral und erfolgt über ein MMC Snap-In am Active- Directory Server. Über den Launch-Filter kann per Whitelist bestimmt werden, welche Applikationen der Client starten darf, alle restlichen Programme werden geblockt. Das gleiche Whitelist- Prinzip kann auch bei allen externen Schnittstellen des Computers angewandt werden, zum Beispiel bei USB, LPT, Firewire, etc. Ebenfalls bietet Drivelock Festplattenverschlüsselung Security.Desk - Endpoint Security 10 Clientbasierter Aufbau, zentrales Management. Ebenso wie Drivelock arbeitet fideas File Enterprise mit dem Agentenprinzip. 2.3 Hybrid Hybride DLP Lösungen bestehen aus einer Verbindung der Software und Hardware Lösungen. Der Netzwerktraffic ins Internet wird zentral von einer DLP Appliance gescannt und die Schnittstellen der Clients werden von Agenten überwacht McAffee Data Loss Prevention 11 Die DLP Lösung von McAffee umfasst alle unternehmensinternen sowie externen Clients. Der gesamte Traffic wird dabei über eine Gateway Appliance geführt. Unterstützte Protokolle sind dabei HTTP, HTTPS, FTP und Instant Messaging (über externen ICAP Server). Zentrales Management wird durch den epo Management Server realisiert. Datendurchsatz pro Appliance: 200Mbps (erweiterbar durch loadbalancing). Unterstützte Datentypen: Office Documents Multimedia Files Source Code Design Files Archives Encrypted Files Built-in Policies November / 10

9 Intellectual property Abbildung 2: MCAffee Data Loss Prevention Trend Micro DLP 12 Trend Micro stellt ebenso wie McAffee eine umfassende DLP Lösung dar, die aus einer Appliance (DLP for Network), Client Agenten (DLP for Endpoint) und einem zentralen Management-Punkt (DLP Management Server) besteht. Dem Datenblatt kann entnommen werden dass die Appliance genug Datendurchsatz für ein großes Unternehmen bietet. Die Network Appliance unterstützt dabei folgende Protokolle: FTP, HTTP, HTTPS, SMTP sowie alle gängigen Datentypen Checkpoint DLP 13 Checkpoint bietet ebenfalls wie die beiden Vorgänger eine hybride Lösung, die zentrales Management, Endpunkt Agenten und eine Gateway Appliance enthält. Der Datendurchsatz beträgt laut Datenblatt 2,5Gbps. Unterstützte Protokolle FTP HTTP HTTPS SMTP November / 10

10 3 Quellen 4 Abbildungsverzeichnis Abbildung 1: Cisco Ironport Application...7 Abbildung 2: MCAffee Data Loss Prevention November / 10