Die vier Hauptelemente von DLP-Tools

Zentrales Management, Netzwerk-Monitoring, Storage- und Endpunkt-DLP sind die vier Hauptkomponenten, die zu einem DLP-Tool gehören.

DLP oder Data Loss Prevention kann ein entscheidendes Tool im Security-Arsenal eines Unternehmens sein. Daher ist es sehr wichtig, die technischen Komponenten von DLP-Produkten zu verstehen. So garantieren Sie, dass die Data-Loss-Prevention-Anforderungen der Firma erfüllt werden.

Ein komplettes DLP-Tool enthält vier Hauptelemente:

  • Zentraler Management-Server
  • Netzwerk-Monitoring
  • Storage-DLP
  • Endpunkt-DLP

In kleineren Einsatzumgebungen können Sie alles bis auf den Agenten für den Endpunkt auf einen einzelnen Server oder eine Appliance konsolidieren. Bei größeren Installationen sind die Komponenten möglicherweise auf mehrere Elemente aufgeteilt, um die verschiedene Teile Ihrer Infrastruktur zu adressieren. Sehen wir uns die vier Hauptelemente im Detail an.

Zentraler Server für das Management

Ein zentraler Management-Server ist das Kontrollzentrum ihrer DLP-Installation. Dort verwalten Sie die DLP-Richtlinien (Policies). Außerdem realisieren Sie dort die Integration mit Ihren Verzeichnis-Servern, um Anwender und Aktivitäten in Verbindungen bringen zu können. Auch Vorfälle verwalten Sie dort und sammeln Daten von den Sensoren, sowie den Endpunkt-Agenten. Außerdem verarbeiten Sie dort grundlegende Funktionen wie zum Beispiel Backup, Wiederherstellung und Reporting.

Bei den meisten DLP-Produkten kann der Management-Server auch als Netzwerk-Monitor, E-Mail-Warteschlange und Storage-Scanner dienen. Weiterhin werden hier in der Regel die Berichte generiert.

Netzwerk- Monitoring

Der nächste Teil oder die nächste „Funktion“ ist Netzwerk-Monitoring. Zu einfachem, passivem Monitoring gehört Netzwerk-Sniffing auf einem SPAN- oder gespiegeltem (Mirror) Port. So fangen die meisten Unternehmen an. Allerdings ist diese Herangehensweise limitiert, da Sie keine Einblicke in SSL-Traffic erhalten. 

Wollen Sie Ihre Daten tatsächlich schützen, ist dieser Umstand aber ein Knackpunkt. Den SSL-Traffic können Sie sniffen, indem Sie diesen mit Ihrem DLP-Tool abfangen oder einen anderen Web-Proxy / Security-Gateway nutzen, das den Traffic an das DLP-Tool übermitteln kann. Man verwendet hier normalerweise das ICAP-Protokoll. Planen Sie diesen Punkt gleich von Beginn an. Können Sie keinen SSL-Traffic überwachen, verschwenden Sie Ihre Zeit, wenn Sie lediglich unverschlüsselten Traffic beobachten.

Das Monitoren von E-Mail ist auf der anderen Seite einfacher, weil es sich um ein Store-and-Forward-Protokoll handelt. Sie können Nachrichten an das DLP-Tool für Analysen weiterleiten und diese verarbeiten, bevor Sie nach draußen gesendet werden. 

E-Mails lassen sich zum Beispiel automatisch verschlüsseln. Nehmen wir an, es handelt sich um sensible medizinische Informationen. Dann würden Sie die Nachricht an das DLP-Tool senden, die Inhalte untersuchen und danach an das Verschlüsselungs-Produkt übermitteln.

Storage-DLP

Man bezeichnet das auch als Inhaltserkennung oder Content Discovery. Storage-DLP scannt die gespeicherten Daten mithilfe von zwei Methoden. Der einfachste Ansatz ist, das DLP-Tool mit Anmeldedaten für einen gemeinsam genutzten Ordner (File Share) zu laden, damit es sich damit verbinden und die Dateien analysieren kann. 

Bei großen Repositorien ist das eventuell langsam und belegt außerdem eine gewisse Netzwerk-Bandbreite. Sie können das adressieren, indem Sie einen LP-Server, eine Appliance oder eine virtuelle Appliance näher am Ziel-Storage einsetzen. Bei einigen großen Umgebungen ist es möglicherweise notwendig, dass Sie ein dediziertes Aggregations-Netzwerk verwenden.

Die zweite Möglichkeit ist, einen Monitoring-Agent auf dem Server einzusetzen. Dieser analysiert die Dateien lokal und schickt die Resultate zum zentralen DLP-Server. Man setzt diese Methode auch häufig bei Dokumenten-Management-Systemen ein, die per Standard keine gemeinsam genutzten Netzwerk-Freigaben zur Verfügung stellen.

Endpunkt-DLP

Die letzte Komponente ist Endpunkt-DLP. Hierbei handelt es sich grundsätzlich um einen lokalen Agenten. Die Endpunkt-Agents müssen jede Menge Arbeit verrichten:

  • Den Netzwerk-Traffic überwachen
  • Das lokale Storage scannen
  • Portables Storage scannen und managen
  • möglicherweise noch weitergehende Datensicherheit gewährleisten, wie Kontrollen für Drucker, Fax, Kopieren / Ausschneiden / Einfügen (Copy / Cut / Paste), Übernahme des Bildschirms und Screenshots.

Ein Agent kontrolliert unter Umständen sogar, welche Anwendungen auf geschützte Daten zugreifen dürfen. Wie Sie sich bereits denken können, unterscheiden sich diese Leistungs-Merkmale ziemlich von Produkt zu Produkt. Möglicherweise funktioniert das Ganze auch nicht immer so wie beworben.

Seien Sie bei der Evaluierung von DLP-Endpunkt-Agents sehr auf der Hut. Es variieren nicht nur die Haupt-Leistungsmerkmale, sondern auch die Performance. Das gilt auch für die unterstützten Richtlinien. Wenn wir das im Hinblick auf die Inhalts-Analyse-Techniken betrachten, funktionieren einige Produkte auf Notebooks oder Desktops mit limitierten Ressourcen nicht wirklich. 

Auch wenn ein Anbieter die Technologie theoretisch auf dem Endpunkt unterstützt, ist die Struktur der Richtlinien vielleicht so eingeschränkt, dass das Ganze im Endeffekt wertlos ist. Einige Tools stellen die Möglichkeit zu Verfügung, die Policies anhand des Netzwerks zu verändern, mit dem das Endgerät verbunden ist. Im Unternehmens-Netzwerk könnte man somit die komplette Datenbank zu Rate ziehen und wenn Sie sich in einem öffentlichen Netzwerk oder Zuhause befinden, Regel- oder Muster-Erkennung einsetzen.

Das sind die Grundlagen zu kompletten DLP-Tools. Sie sollen Ihnen helfen, die richtigen Funktionen zu finden, wenn Sie auf Teil-Lösungen oder DLP-Lite-Tools setzen. Beachten Sie, dass diverse Produkte mehr als nur die Kern-Leistungsmerkmale zur Verfügung stellen. Dazu gehören Monitoring der Dateiaktivität oder Unterstützung für mobile Geräte. Ich empfehle Ihnen allerdings, sich auf das Wesentliche zu konzentrieren.

Über den Autor:
Rich Mogull bringt fast 20 Jahre Erfahrung im Bereich Informations-Security, physischer Security und Risiko-Management mit. Bevor er die unabhängige Security-Consulting-Firma Securosis gründete, hat er sieben Jahre bei Gartner gearbeitet. Die meiste Zeit davon war er als Vize-Präsident tätig. Er hat Tausende an Kunden beraten, Dutzende an Berichten geschrieben und wurde dauerhaft als einer der internationalen Top-Redner von Gartner betitelt. Mogull gehört zu den angesehensten Experten im Bereich Daten-Security-Technologien, inklusive DLP. Er hat Probleme adressiert, die sich von Schwachstellen und Bedrohungen bis zu Risiko-Management-Frameworks und Security für große Applikationen erstrecken.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Erfahren Sie mehr über Datensicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close