6 jun 2011

Como evitar tu propio WikiLeaks

La pérdida de datos en una empresa es uno de los mayores riesgos en estos tiempos de crisis. Hace tiempo, que los consultores de seguridad, estamos dando valor a lo que realmente hay que proteger: El dato.

Hacer una consultoría de seguridad orientada a la protección de los datos que se maneja, probablemente ahorrará a tu cliente o a ti mismo, muchísimos quebraderos de cabeza y bastante dinero, habitualmente perdidos en soluciones místicas, despliegues innecesarios y como todas las cosas mal hechas, a asumir riesgos innecesarios de exposición.

Tranquilos, que he sabido frenar a tiempo la vena de abuelo cebolleta y no voy a contar batallitas, pero con un poco de lectura histórica, se puede ver como un ejercito bien pertrechado, ordenado y dirigido, se ha podido ganar muchas batallas independientemente del número de adversarios con los que se enfrentaban, normalmente basando estos sus posibilidades de victoria en el número por delante de la calidad de sus filas (OMG!, al final salió el abuelo cebolleta).

Voy a dedicar varios artículos, post, manuales, etc. a esto. Espero no aburrir demasiado ni caer en la maldición blogera que dice “como digas que vas a hacer determinado artículo, nunca lo harás”. Tampoco van a ser mi target grandes empresas, sino lo que en España y en algún otro país, se denominan PYMES, por lo que trataré de ser muy llano, dar soluciones de bajo coste (incluso gratuitas) pero efectivas.

Como evitar tu propio WikiLeaks – DLP

 

Un sistema DLP (Data Loss Prevention) es un sistema encargado de prevenir el robo, acceso o salida de datos de una empresa, ya sea accidental o no. Últimamente, con todo el escándalo de WikiLeaks (que escándalo es mas bien por el contenido, la verdad) están muy de moda en grandes empresas pero tienen un coste que les hace ser “la estrella” en los presupuestos en seguridad de las mismas. Cualquier implementación de un sistema de este tipo, nos puede salir por decenas de miles de euros tanto a nivel de licencias como a nivel de la propia implementación.

No obstante, hay alternativas como OpenDLP o una que me ha gustado mucho y que estoy probando en casa que es MyDLP. Esta solución es GPL, gratuita y con unos costes de soporte y consulta experta muy accesibles en el caso de que sea necesario.

Antes de entrar en materia con MyDLP, voy a hacer un pequeño resumen de lo que es un DLP y sus principales funcionalidades.

¿Para qué sirve un DLP?

Tal y como comentaba al principio, son sistemas destinados a evitar la pérdida de información por parte de una empresa, al restringir las posibilidades de un empleado para tratar la información de un modo no autorizado o al menos registrar estos movimientos.

Por ejemplo, evita que un empleado pueda llevarse en una memoria USB una base de datos, un fichero con determinado tipo de contenido y/o tipo, o incluso abstraerse del soporte y tratar el dato como tal: “Evitar que salga cualquier cosa que contenga un número de cuenta, nombre y apellidos, datos marcados como confidenciales, etc.”

Canales habituales de pérdida de datos

Normalmente, la pérdida de datos se produce por la copia del fichero o parte del mismo a un soporte extraible (disco USB, CDR, etc.), la impresión en papel, envío a servidores de disco remotos tipo dropbox, uso de cuentas de correo públicas tipo gmail o hotmail, etc.

Es importante, tener definido este tipo de posibles canales previamente a la instalación de un sistema DLP. Evitará la sobrecarga de reglas innecesaria o la fuga de datos ante la falta de estas.

Definición de “dato”

A la hora de definir la implementación de DLP, el hecho de definir un dato es muy importante para poder saber “que vamos a proteger”. Por ejemplo, una PYME debería proteger como mínimo los ficheros con datos personales e información confidencial de la empresa (ficheros de nóminas y personal, documentación de proyectos, listados de clientes, etc.) de igual modo que un banco tendría como principal objetivo los datos bancarios de sus clientes y de forma adicional los datos propios como empresa.

Aquí es importante que a la hora de definir la taxonomía de los datos, definamos también que contenido podemos detectar que alerte del uso de los mismos.

Por ejemplo, imaginemos que nos encontramos lo siguiente: 54017100632466960214

Concurso: ¿Esto que es?

  1. El teléfono de un cliente argentino (Comienza por 54)
  2. Las coordenadas GPS de la posición del santo Grial (No se, son números, no?)
  3. El número de seguridad social de algún cliente/empleado (vale, siguen siendo números)
  4. La numeración de una tarjeta visa y su caducidad

Para los que habéis pensado la 1, la 2 o la 3, ooooh, lo siento. No os ha tocado el jamón. Si has pensado la 4, enhorabuena!! has ganado un jamón (un jamón de mosca, claro, que esto es un website pobre)

Bromas a parte, el sistema DLP, cuenta con capacidad para detectar este tipo de datos, y normalmente la tiene con muchos otros tipos de datos predefinidos, y habrá visto que es un conjunto de 20 números, de los cuales los 16 primeros son propios de una VISA y dos últimos son campos válidos de una fecha futura. ¿Como hace esto? Puedes consultar en la propia web de ISO o bien en cualquiera de las que lo explican de una forma más sencilla.

El ejemplo anterior, también es válido con números de la seguridad social, nombres de personas, teléfonos, cantidades de dinero identificadas como tal, etc.

Es por esto que antes de implementar nada, debemos reflexionar sobre los formatos y capacidad de detección que podemos tener de los mismos, de cara a que la implementación de nuestro DLP sea satisfactoria (una excel con los campos dedicados a almacenar datos económicos que estos no tiene formato de moneda, es mas difícil de detectar, por ejemplo). También ayuda mucho definir etiquetas del tipo “Confidencial”, “Restringido”, etc. en cabeceras y pies de documentos, para poder detectar fácilmente el nivel de los mismo.

El software

Actualmente en el mercado, nos podremos encontrar con algunas soluciones comerciales considerablemente potentes, pero con el “pequeño handycap” de que su precio arranca en números de 5 cifras. La mayoría de estas, se componen de varios elementos, siendo común los siguientes:

  • Servidor de políticas y administración: Almacena de manera centralizada las políticas de seguridad de cada uno de los elementos a proteger. Además, suele tener una aplicación para poder monitorizar la actividad sospechosa en los puestos de la red.
  • Agente de puesto o Endpoint Agent: Software que se instala en cada uno de los equipos o puestos de trabajo de la red. Se encarga de monitorizar todas las actividades de ficheros e información, contrastando su autorización mediante la política diseñada para ese puesto.
  • Agente de red o Network Agent: Sniffer que se encarga de monitorizar todo (o parte del mismo) el tráfico de la red, en busca de cualquier flujo de datos no permitido. Algunos cuentan con capacidad de interceptar la comunicación antes de que se produzca el envío de estos datos.

Ejemplo de DLP: MyDLP

Antes de que me enrollase como una persiana hablando de DLPs, os comentaba que iba a poner un ejemplo con un software bastante bueno y actualizado que es MyDLP. Este software, con licencia GPL, tiene una capacidad realmente asombrosa para su “precio” y como mínimo es capaz de detectar mediante políticas predefinidas números de tarjetas de crédito, formatos de los principales números de identificación, etiquetas en documentos, tipos de ficheros, contenido dentro de ficheros comprimidos y un largo etcétera. Además, cuenta con un potente lenguaje para la creación de reglas, basado en expresiones regulares con el que podremos crear nuestras propias reglas.

Además, la administración en muy sencilla. Tenemos por ejemplo un pequeño tutorial de como detectar números de tarjetas de crédito en la web de MyDLP.

En materia de implantación, cuenta con varios tipos de instalación muy interesantes:

  • Instalacion en modo virtualizado con (VMWARE)
  • ISO para ser instalada en modo appliance
  • Paquetes para ser instalados en Ubuntu

La pena es que los agentes solo funcionan bajo Windows, aunque es realmente complicado encontrar soluciones de este tipo que operen bajo otros sistemas operativos en modo agente, sin que sean comerciales. No obstante el objetivo que son PCs de escritorio, nos guste o no, son sistemas MS Windows.

Estos agentes, pueden ser implantados remotamente vía samba y son totalmente controlados desde el software centralizado de MyDLP. Una vez instalados y configurados, son capaces de monitorizar e impedir la copia de datos en unidades externas, discos de red, envío mediante correo electrónico,  webmail, etc.

Os recomiendo que le echéis un vistazo a la web y os recomiendo aún más, que probéis este software que seguro que hará que vuestros datos estén mucho más seguros :)

Un Saludo,

 

 

 

2 comentarios: