White paper
Bescherming tegen de belangrijkste redenen van inbreuk op gegevens Inhoudsopgave Samenvatting Gegevensverliespreventie (DLP) - een overspannen en verwarrende markt Anatomie van gegevensinbreuk de vier belangrijkste oorzaken.
01 02 03
1. Onbedoelde openbaarmaking
04
De eerste belangrijkste oorzaak onbedoelde openbaarmaking
04 -
Het voorkomen van onbedoelde openbaarmaking met WLD Het voorkomen van onbedoelde datalekken op de contentaware gateway: een case study 2.Malware: De sluipmoordenaar Het voorkomen van onbedoelde datalekken op de content-aware gateway: een case study. 3. Interne criminaliteit Financiële instelling beschermt zich tegen gegevenslekken met content aware gateway: een case study. 4. Hackers aller landen, verenigt u Wat is een content-aware gateway? Een toonaangevende warenhuisketen bij de naleving van PCI DSS: een case study. Oplossingen: specifieke (pure-play) DLP versus de Clearswift content-aware gateway Tabel 1: de Clearswift content aware gateway en de belangrijkste pure-play DLP-oplossing. Een Amerikaans ziekenhuis helpen te voldoen aan HIPAA: een case study
05 05 06 06 07 07 07 08 08 09 10 10
Dedicated (pure-play) DLP11 producten - overbodige technologie Conclusie
Met content-aware gateway-beveiliging Terwijl de trend van inbreuk op gegevens doorgaat, bleek uit een grote Clearswift-enquête dat 94% van de ondervraagden het erover eens was dat gegevensverlies als "belangrijk", "zeer belangrijk" of "noodzakelijk" voor hun organisatie werd beschouwd. Toch bleek uit dezelfde enquête dat sinds de invoering van de gegevensbeschermingsstandaarden 57,2% van de organisaties hun jaarlijkse IT-budget met niet meer dan 10% had kunnen verhogen om tegemoet te komen aan de eisen van gegevensverliespreventie, kortweg DLP(Data Loss Prevention). Deze white paper laat zien hoe organisaties de vier belangrijkste oorzaken van inbreuk op hun gegevens kunnen voorkomen.
12
Samenvatting Grote kans dat het op dit moment gebeurt: vertrouwelijke gegevens die de ruggengraat van uw bestaansrecht vormen bloeden uw organisatie leeg. Het kan een kwestie van luttele seconden zijn voordat ze in de verkeerde handen terecht komen. Gegevenslekken vinden elke dag plaats wanneer vertrouwelijke zakelijke informatie – of het nu burger- of patiëntgegevens, rapporten, ontwerpspecificaties, prijslijsten, intellectuele eigendom, staatsgeheimen of gevoelige financiële prognoses en budgetten zijn - uw organisatie ongeoorloofd en onbeschermd verlaat. Deze ongecontroleerde gegevenslekken brengen uw organisatie in een kwetsbare positie. Met informatie die niet onder uw controle is, kan uw organisatie ernstig risico’s lopen. Als cybercriminelen deze gegevens gaan verzilveren of ze met winst verkopen, kost het uw organisatie geld, schaadt het uw betrouwbaarheid, tast het uw reputatie aan en loopt het vertrouwen van uw klanten tot nul terug. Volgens het Privacy Rights Clearinghouse in Engeland zijn meer dan 234 miljoen records in gevaar geweest sinds 20051. En als u dit getal erg hoog vindt, denk dan ook eens hieraan: een afzonderlijk en nog lopend onafhankelijke onderzoek, uitgevoerd over een periode van zes jaar met 900 forensische onderzoeken bij bedrijven die met een inbreuk op de gegevens te maken hadden gehad, bleek dat meer dan 900-miljoen records gecompromitteerd2 waren. En dit zijn nog maar de lekken waarvan we op de hoogte zijn - nog veel meer blijven er onopgemerkt. Heel simpel, er moet geen twijfel over bestaan dat gegevenslekken een ernstige bedreiging vormt voor organisaties - zowel grote als kleine. Een belangrijke Clearswift-enquête gaf aan dat 94% van de ondervraagden het ermee eens was dat het tegengaan van gegevensverlies "belangrijk", "zeer belangrijk" of "noodzakelijk" was voor hun organisatie. Wanneer organisaties het besluit uitstellen om een preventiestrategie tegen gegevensinbreuk toe te passen, blijven ze blootgesteld aan onnodige en grote nalevingrisico’s. De meeste organisaties - en met name bedrijven die moeten voldoen aan de Payment Card Industry Data Security Standard (PCI DSS, wet voor de betaalkaartbranche), lokale overheden, maar ook zorginstellingen met de NEN7510 normen – bevinden zich niet in de luxe positie dat ze kunnen wachten. Zij hebben behoefte aan oplossingen die vandaag nog het gegevensverlies kunnen stoppen.
1 2
Privacy Rights Clearinghouse: http://www.privacyrights.org/ Verizon Business Risk Team, 2010 Data Breach Investigations Report: een onderzoek uitgevoerd door het Verizon Business RISK Team
1
Deze gegevensverlies crisis vindt niet plaats omdat bescherming tegen gegevensverlies, DLP, niet belangrijk wordt gevonden voor de blootgestelde organisaties. Integendeel, het komt omdat veel bedrijven erg traag zijn geweest met het adopteren van DLPoplossingen omdat ze te duur zijn. In de Clearswift-enquête gaf 57,2% van de organisaties toe dat hun IT-budgetten met niet meer dan 10% zouden mogen stijgen om aan de gegevensbeschermingsnormen tegemoet te komen. Omdat sommige DLPproducten miljoenen euro’s kosten, is deze optie op dit moment gewoonweg onbetaalbaar voor veel onder vuur liggende organisaties. Deze white paper is bedoeld voor organisaties die zich willen richten op de preventie van gegevensverlies en die geen miljoenen te besteden hebben, maar betaalbare oplossingen willen die vandaag nog kunnen worden geïmplementeerd om voor miljoenen aan gevoelige dossiers en euro’s aan intellectuele eigendom te beschermen. Deze white paper behandelt: - Wat organisaties kunnen doen om de vier belangrijkste oorzaken van gegevensinbreuk te voorkomen - Waarom specifieke (pure-play) DLP-oplossingen u niet kunnen beschermen tegen alle vier de belangrijkste oorzaken van gegevensinbreuk tegelijk - Hoe u kunt voorkomen dat gevoelige gegevens uw organisatie ontsnappen Gegevensverliespreventie (DLP) - een overspannen en verwarrende markt DLP groeit naar schatting uit tot een markt van 2,3 miljard euro in 20113, maar is als technologie iets overtrokken en nog steeds onbegrepen. Hoewel ze enorm hebben geprofiteerd van de markthype rond de recente golf van inbreuken op de privacy, hebben DLP-oplossingen op zich erg weinig gedaan om organisaties te beschermen tegen de miljoenen euro aan verloren zaken, negatieve publiciteit en de naleving van boetes die voortvloeien uit gegevensinbreuk. Specifiek gerichte (pure-play) DLP-oplossingen bieden drie soorten gegevensbescherming: - Data-at-rest-oplossingen (gegevens in rust): afdwingbeleid voor gegevens in opslag - Data-in-motion-oplossingen: afdwingbeleid voor de inhoud die zich over het netwerk beweegt - Data-in-use oplossingen (gegevens in gebruik: het afdwingen van beleid bij gebruikers om gevoelige gegevens te blokkeren tegen misbruik op de werkplek of bij het overzetten op USB-apparaten De meeste DLP-aanbieders trachten oplossingen voor alle drie de gebieden aan te bieden, maar kunnen slechts op één gebied uitblinken – ofwel in gegevens in beweging ofwel in gegevens in gebruik. Alle drie de punten bestrijken betekent een meervoudig product dat een hoog prijskaartje heeft - een besteding die gewoonweg onbetaalbaar is voor organisaties die gevaar lopen. Bovendien is het merendeel van de specifiek gerichte (pure-play) DLP-bedrijven jonger dan vijf jaar en hun producten zijn nog jonger. Hoewel de producten al hun zevende of achtste revisie hebben ondergaan, is dit in de realiteit vaak veel minder in geval van daadwerkelijke implementaties - waardoor het nog moeilijker wordt om de kosten ervan te rechtvaardigen. Ondanks dat er een hype gaande is, lopen organisaties tegenwoordig wel degelijk risico en hebben zij niet de tijd om te wachten tot de plannen van de DLP-verkopers realiteit worden of tot er nieuw budget beschikbaar komt. Zij hebben behoefte aan goed geprijsde oplossingen die direct kunnen worden toegepast, zodat ze kunnen profiteren van de bestaande beveiligingsinfrastructuur en de meeste impact hebben.
2
3
IDC May 2007, Information Protection and Control
Ter bescherming van uw organisatie willen we een geheel andere benadering voorstellen. In plaats van te zoeken naar de oplossing die de drie soorten gegevenslekken beschermen zoals ze worden beschreven door leveranciers, is ons voorstel om uw organisatie te beschermen vanuit de vier belangrijkste oorzaken van gegevensinbreuk die er op het moment plaatsvinden. Deze zijn: 1.
Onbedoelde openbaarmaking van informatie via e-mail of de internet-gateway
2.
Grootschalige inbreuken veroorzaakt door malware en ontworpen door cybercriminelen met als voornaamste doel om gegevens te stelen. Veelvuldig gebruiken ze de internet-gateway om hun malware te verspreiden en de netwerkgebruikers aan te vallen via zijn browser in plaats van via besmette emailbijlagen zoals voorheen het geval vaak was.
3.
Grootschalige gegevenslekken veroorzaakt door hackers die op zoek zijn naar een achterdeurtje om waardevolle gegevens te stelen en deze dan te verkopen op de zwarte markt.
4.
Grootschalige gegevenslekken die worden veroorzaakt door insiders die het vertrouwen van de organisatie genieten, maar ondertussen grof geld verdienen door vertrouwelijke of gevoelige gegevens te verkopen aan mensen buiten de organisatie. De meeste daarvan zijn opportunistisch en niet per se technisch goed onderlegd en vaak proberen ze gegevens op de snelste en gemakkelijkste manier weg te sluizen. Naar schatting wordt 80% van de persoonlijke gegevens gelekt via internet- en email-gateways.
3
Anatomie van gegevensinbreuk - de vier belangrijkste oorzaken. Tot voor kort hadden organisaties meer controle over hun gegevens. De meerderheid van de informatie was veilig weggestopt binnen de gecontroleerde geborgenheid van bedrijfsapplicaties en databases. Tegenwoordig zijn deze gegevens als loslopend wild. Meer dan 80% van de inhoud is ongestructureerd. Dit betekent dat informatie wordt verspreid via e-mails, opgeslagen als spreadsheets en vertrouwelijke informatie die zich op database-, applicatie-, bestands- of SharePoint-servers bevindt. Deze ongestructureerde inhoud beweegt zich binnen en buiten de meeste entiteiten van de organisatie en totaal ongecontroleerd. De mobiliteit van gegevens verhoogt de kans op inbreuk op gegevens en kan dan een ernstige of fatale klap aan organisaties toebrengen. Hier volgen een paar van de nieuwswaardige inbreuken die de afgelopen jaren zijn gemeld: - 42-miljoen credit -en debetkaarten die bij een grote winkelketen zijn gelekt, wat tot niet-naleving van PCI DSS leidde en de organisatie 256 miljoen dollar aan schikkingen met banken en getroffen klanten5 kostte. -
-
-
4 5
4
4.2 miljoen aan credit- en debetkaarten zijn er gelekt uit een supermarktketen nadat malware was geïnstalleerd op meer dan 300 servers, waardoor meer dan 1800 gevallen van identiteitsdiefstal werden gemeld. In augustus 2011 waren door een lek in de website van de gemeente Den Helder de persoonlijke gegevens van 1600 burgers eenvoudig te verkrijgen. Een ziekenhuismedewerker verzond per ongeluk een lijst met 4500 AIDS-patiënten en 2000 HIV-positieve patiënten, waardoor de privacy van patiënten in gevaar werd gebracht De beveiliging van de voicemail van miljoenen consumenten in Nederland bleek in 2011 lange tijd zo lek als een mandje te zijn. Een Britse overheidsinstelling gooide de gegevens van 25 miljoen burgers op straat Een internationale identiteitsdief verdiende meer dan 8 miljoen euro in twee jaar aan het verzilveren van creditcards die waren gestolen uit een aantal Amerikaanse warenhuizen.
Ross Kerber, Cost of Data Breach at TJX Soars to $256m, Boston Globe, Aug. 15, 2007, beschikbaar op: http://www.boston.com/busi- ness/globe/articles/2007/08/15/cost_of_data_breach_at_tjx_soars_to_256m/ Brad Stone, Global Trail of an Online Crime Ring, New York Times, Aug. 12, 2008 beschikbaar op: http://www.nytimes. com/2008/08/12/technology/12theft.html
1. Onbedoelde openbaarmaking De eerste belangrijkste oorzaak - onbedoelde openbaarmaking We hebben het allemaal gedaan - per ongeluk op de knop Verzenden gedrukt en een email naar de verkeerde persoon gestuurd. Even makkelijk is het om op de knop Doorsturen van een e-mail te drukken die gevoelige informatie in een eerder, eronder gelegen bericht bevat - informatie waarvan u niet wilt dat de ontvanger die ziet. Hoe zit het met de werknemer die teveel moet doen en niet genoeg tijd heeft? Hij kan zijn informatie aan een externe computer doorsturen om thuis of onderweg toegang tot vertrouwelijke gegevens te hebben. Tijdens het werken maken medewerkers fouten, maar als die fouten betrekking hebben op vertrouwelijke gegevens of persoonlijk identificeerbare informatie (PII), dan kunnen de gevolgen catostrofaal zijn. Hoe beschermt uw organisatie zichzelf tegen de navolgende, veel voorkomende fouten? - Iemand in uw personeelsafdeling e-mailt per ongeluk de verkeerde dossiers nu ziet de burger persoonlijke en gevoelige informatie van anderen - Een beleidsmedewerker e-mailt per ongeluk beleidsplannen met confidentiële informatie in plaats van naar een collega naar een bevriende journalist; de toekomst van belangrijke en omvangrijke nieuwe ontwikkelingen staat hiermee op het spel - Iemand van de financiële afdeling stuurt PCI-informatie in een e-mail naar een externe leverancier die de creditcard- en rekeninggegevens niet mag zien - Een werknemer op vakantie wil werk inhalen tijdens de vakantie. Hij stuurt gevoelige gegevens door met behulp van zijn gratis persoonlijke webmailprovider, zodat hij vanaf zijn computer thuis of elders tijdens zijn reizen, toegang tot deze gegevens heeft. Omdat iedereen fouten maakt en omdat niet alle medewerkers het beleid inzake openbaarmaking begrijpen, wenden organisaties zich tot Clearswift om onbedoelde openbaarmaking op hun content-aware gateway te voorkomen. Zij doen dit door het toepassen van een fijnmazig, content-aware-beleid in zowel de SECURE Web als de SECURE Email Gateways vanaf een enkele, gecentraliseerde beleidsbeheerconsole. Als uw organisatie geen handhavingsbeleid op de gateway heeft geïmplementeerd, loopt uw bedrijf onnodig risico door een van de meest voorkomende vormen van gegevensinbreuk.
5
Het voorkomen van onbedoelde datalekken op de contentaware gateway: een case study. Een lokale politieafdeling in Engeland moet interne documenten beschermen die worden gebruikt in onderzoeken. Om te voorkomen dat de onbedoelde openbaarmaking van deze informatie in het publieke domein terechtkomt, was Clearswift in staat om een geheime tag aan alle interne documenten te koppelen en te voorkomen dat deze documenten buiten de gateway worden verzonden - of het nu per e-mail of het web is, of dat ze in een blog of op een webserver worden geplaatst – nauwkeurig en zonder de bedrijfsprocessen te onderbreken.
Het voorkomen van onbedoelde openbaarmaking met WLD Voor veel organisaties lijkt het grip krijgen op de preventie van onbedoelde openbaarmaking behoorlijk intimiderend. Clearswift heeft een best practice in het leven geroepen die wordt gebruikt om tal van organisaties - groot en klein - te helpen om onbedoelde openbaring te voorkomen. Wij gebruiken daarvoor de afkorting ‘WLD’: 1. Werken een beleid uit 2. Leid uw medewerkers op 3. Dwing het beleid af bij de content-aware gateway Stap één: Werk een beleid uit De meeste organisaties beginnen met het opzetten van beleid rond de informatie die ze willen beschermen. In deze fase wilt u de volgende vragen beantwoord hebben: - Welke informatie wilt u beschermen? - Hoe moet deze informatie worden behandeld (verzenden via een encryptieserver, verzenden als gewone tekst...)? - Wie mag er niets ontvangen (concurrenten, delen van de organisatie die worden beschermd door 'muren van krantenpapier')? - Hoe kunnen de gegevens worden gedefinieerd? Stap twee: leid uw medewerkers op Zodra het beleid is bepaald, moeten de medewerkers op de hoogte worden gesteld en opgeleid. U moet aangeven welke gegevens moeten worden beschermd. Meer specifiek, duidelijk maken waar gegevens zeker niet naar toe mogen gaan en wat er gebeurt als het beleid wordt geschonden. Maak de medewerknemers ook duidelijk dat het niet opvolgen van het beleid de organisatie aan onnodige risico’s blootstelt. Uw medewerkers lezen de krant ook. Ze begrijpen de negatieve publiciteit van gegevensinbreuk. Hoe beter ze begrijpen dat ze deel uitmaken van de oplossing, des te groter is de kans dat ze het beleid ook daadwerkelijk volgen. En vergeet niet dat het aanpassen van gedrag tijd kost. Wees bereid om aanpassingen in het beleid regelmatig te herhalen voor uw medewerkers. Hier kunt u niet genoeg communiceren. Stap drie: Dwing het beleid af bij de content-aware gateway Zodra u duidelijk gedefinieerd hebt wat u precies wilt beschermen en waar de gegevens zeker niet naar toe mogen, is het tijd om de afdwingmaatregelen bij schending van het beleid in detail uit te werken. De SECURE Web en E-mail Gateways van Clearswift zorgen voor een breed scala van maatregelen. Bovendien hoeft u niets te integreren met een DLP-product om deze maatregelen af te dwingen. Met Clearswift-technologie kunt u de volgende afdwingmaatregelen nemen: - Toezicht op overtredingen - Blokkeren en terugleiden naar werknemer - E-mails in quarantaine doen voor forensisch onderzoek - Informatie blokkeren die via een webkanaal gaat - En nog veel meer... De meest succesvolle organisaties zijn die welke zich richten op de specifieke gegevens die ze willen beschermen. Ze brengen de scenario's in kaart die ze willen vermijden. Als u gevoelige gegevens hebt die beschermd moeten worden en u kunt precies verwoorden waar ze zeker niet naar toe mogen, dan kunt u dit beleid ook gemakkelijk implementeren. Zodra het beleid op papier is gedefinieerd, kunnen organisaties in minder dan 30 minuten de beleidsregels op de content-aware gateway van Clearswift creëren.
6
Het voorkomen van onbedoelde datalekken op de contentaware gateway: een case study. Een videodistributiebedrijf dat rivaliserende supermarktketens van video’s voorziet, heeft beleid op de Clearswift content-aware gateway geïmplementeerd dat voorkomt dat de afdeling verkoop per ongeluk prijslijsten die voor een bepaalde klant zijn bestemd, doorstuurt naar een concurrent ervan. Telkens wanneer een prijslijst wordt verstuurd, zorgt de Clearswift content-aware gateway ervoor dat de lijst naar het juiste domein gaat, anders wordt de e-mail geblokkeerd en omgeleid naar de verzender op de gateway.
2.Malware De sluipmoordenaar De malware die uw organisatie kan beschadigen wordt niet langer verspreid door puisterige nerds die bedrijven in diskrediet proberen te brengen. Malware is volwassen geworden met een donkere criminele component die in opkomst is. Het merendeel van de malware die tegenwoordig wordt geschreven, is maar op één ding uit – de waardevolle gegevens van uw organisatie. Een onderzoek door Verizon toonde aan dat malware die werd gebruikt om door te dringen in organisaties een belangrijke factor vormde in meer dan een derde van alle gegevenslekken die werden onderzocht6. Spyware, spam, phishing, virussen en malware worden niet meer geschreven door tieners op zoek naar onsterfelijke roem. Deze malware gaat achter waardevolle creditcard- en rekeninggegevens en wachtwoorden aan, die ondergronds wordt gestolen en verhandeld door internationale criminelen. En het is niet altijd een bijlage bij een e-mail. Een nieuwe bron van zorg, en eentje waar veel organisaties niet op voorbereid zijn, is het groeiende fenomeen van in de browser verstopte malware. In een rapport van 2007 bleek dat 10% van de ondervraagde URL's (450.000 van 4,5 miljoen) malware bevatte die was gelanceerd door automatische achtergrond downloads waar u niet om heeft gevraagd7. Deze malware, wanneer hij uw organisatie eenmaal is binnengedrongen, kan maanden lang stilletjes blijven zitten, gegevens verzamelen en PII-, creditcard- en rekeninggegevens versturen naar cybercriminelen buiten de organisatie. Er zou weinig handel in het stelen van credit- en debetkaarten of rekeninggegevens zitten als er geen markt voor de gestolen gegevens bestond. Helaas groeit deze ondergrondse handel in omvang en reikwijdte en is de snelheid waarmee criminelen deze gegevens kunnen omzetten in contant geld, verrassend hoog. Wetshandhavers zien een toenemend aantal cybercriminelen deze zwarte markt uitbouwen met behulp van wat het beste kan worden omschreven als criminele social networksites waar ze anoniem gestolen credit- en debetcardinformatie kunnen kopen, verkopen en verhandelen, net als de hulpmiddelen Trojaanse paarden en malware – die worden gebruikt om deze gegevens te helpen ontfutselen. Met creditcardgegevens die voor maar liefst € 3,50 per kaart van de hand gaan en bankgegevens die bijna € 300 opbrengen, hoeft u zich geen enkele illusie te maken - het stelen van gegevens is big business8. En voor de cybercrimineel die weet hoe hij de boel moet 'verzilveren', kan misbruik van deze gegevens miljoenen waard zijn. In juli 2007 arresteerde de Amerikaanse geheime dienst Maksym Yastremskiy, een 25-jarige Oekraïense cybercrimineel die er in slechts twee jaar in slaagde 8 miljoen euro te verdienen als beloning voor zijn deelname aan een internationaal online crimineel netwerk. Naar het zich laat aanzien heeft deze organisatie creditcards verzilverd die zijn gestolen van meerdere Amerikaanse winkelketens, zoals BJ Wholesale, Office Max, DSW en Barnes en Noble9. Om dit te bereiken, zullen cybercriminelen met behulp van malware blijven doorgaan om op grote schaal gegevensinbreuk te plegen. De criminele organisaties die van deze gegevens verzamelen en verhandelen, worden alleen maar groter en beter in het verzilveren. Neem bijvoorbeeld een van de beruchtste groepen - de 'ShadowCrew' – waarvan bekend is dat ze ten minste 1,5 miljoen gestolen creditcardnummers hebben verhandeld. Dit resulteerde in 3 miljoen euro aan daadwerkelijke verliezen bij creditcardbedrijven en financiële instellingen, tot de overheid dit in 200410 een halt wist toe te roepen. In de nasleep van de val van de ShadowCrew, werden zij gemakkelijk en gretig vervangen door een nog groter cybercrime-forum met meer dan 20.000 leden. Alles bleef eigenlijk meer dan bij het oude11. Om zichzelf te beschermen, moeten organisaties over een beschermingsstrategie bij de gateway beschikken. Aan de inkomende zijde moeten organisaties voorkomen dat nieuwe vormen van malware, Trojaanse paarden en virussen binnenkomen via de internet gateway en de organisatie overspoelen. Aan de uitgaande kant moeten organisaties zoeken naar lekken van creditcard-, debetcard- en rekeninginformatie in het geval dat de malware een achterdeurtje weet te vinden in de organisatie en gevoelige gegevens begint te verzenden. In tegenstelling tot het belangrijkste DLP-product, doet de content-awaretechnologie van Clearswift beide: het voorkomt dat malware door de inkomende internet gateway binnendringt met dezelfde, gecentraliseerde beleidsbeheerconsole die ook zoekt naar onopzettelijke of opzettelijke verspreiding van privégegevens via de e-mail-gateway. 6 7 8 9 10 11
Verizon Business Risk Team, 2010 Data Breach Investigations Report: een onderzoek uitgevoerd door het Verizon Business RISK Team The Ghost in the Browser, Analysis of Web-based Malware, http://www.usenix.org/event/hotbots07/tech/full_papers/provos/provos.pdf Peretti, Kimberly Kiefer, Data Breaches: What the Underground World of ‘Carding’ Reveals, Volume 25 Santa Clara Computer and High Technology Journal. Brad Stone, Global Trail of an Online Crime Ring, New York Times, Aug. 12, 2008 beschikbaar op: http://www.nytimes.com/2008/08/12/technology/12theft.html Peretti, Kimberly Kiefer, Data Breaches: What the Underground World of ‘Carding’ Reveals, Volume 25 Santa Clara Computer and High Technology Journal. Peretti, Kimberly Kiefer, Data Breaches: What the Underground World of ‘Carding’ Reveals, Volume 25 Santa Clara Computer and High Technology Journal.
7
Financiële instelling beschermt zich tegen gegevenslekken met content aware gateway: een case study. Om creditcard- en bankgegevens te blokkeren, heeft een financiële dienstverlener een intern beleid in het leven geroepen waarbij deze informatie alleen mag worden doorgegeven tussen specifieke processors van derden door middel van een Virtual Private Network (VPN). Creditcardinformatie mag de financiële instelling niet meer verlaten. Hierdoor kan de bank controleren of de uitgaande gateway ongeautoriseerde PII, creditcardinformatie en bankgegevens blokkeert en de organisatie beschermt tegen schendingen van de naleving en zijn klanten tegen identiteitsdiefstal. Om een situatie te voorkomen waarin malware versleutelde credit- en debetkaart rekeninginformatie naar buiten lekt, houdt de financiële instelling ook de gecodeerde informatie, die niet van de VPN afkomstig is, tegen. Deze versleutelde gegevens worden in quarantaine geplaatst en forensisch onderzocht.
3. Interne criminaliteit Het Brookings Institute schat dat 80% van het intellectuele eigendom niet meer bestaat uit tastbare producten, maar uit immateriële activa zoals broncode, R&D-strategieën en technische schema's12. Gevoelige gegevens worden niet langer achter slot en grendel bewaard in gegevenscentra of archiefkasten. Ze bevinden zich overal. Om te communiceren in de moderne wereld en concurrerend te blijven, kennen ondernemingen tegenwoordig internet- en e-mailvriendelijke culturen en bedrijfsmodellen waarmee werknemers bijna elke soort gevoelige bedrijfsgegevens elektronisch kunnen verzenden, en wel direct. Deze toegankelijkheid betekent dat vertrouwde werknemers toegang hebben tot waardevolle gegevens, zoals rekeninginformatie en intellectueel eigendom. Als de gelegenheid zich voordoet, wordt het waarschijnlijker dat interne medewerkers deze gegevens gaan verzilveren, hetzij alleen of met vrienden buiten de organisatie die helpen bij grootschalige aanvallen op de gegevens. 4. Hackers aller landen, verenigt u Het lijkt bijna passé om erover te praten, maar het hacken van netwerken van organisaties komt nog steeds voor, hoewel de netwerken nu veiliger zijn dan ooit tevoren. Hackers gaan gewoon op zoek naar makkelijkere prooi, zoals pc’s die worden aangevallen met malware die via browsers toetsaanslagen vastlegt of maken gebruik van insiders die ze hun toegangsgegevens geven waardoor de hackers gemakkelijk toegang krijgen tot digitale identiteiten in databases, servers en Point-of-Sale (POS, verkooppunt) -apparaten. Het hacken van onveilige draadloze netwerken van populaire Amerikaanse restaurants en warenhuizen in Miami was de methode waarmee hacker Albert Gonzalez miljoenen creditcardnummers stal. Gonzalez, die met 10 andere mensen samenwerkte in een internationale online criminele bende, was in staat om deze credit- en debetcardgegevens te ‘oogsten’ en op te slaan op servers in Letland en de Oekraïne. De gestolen gegevens werden vervolgens gebruikt om nepcreditcards te maken waarmee criminelen geld konden pinnen bij geldautomaten. Het duurde enkele jaren om deze groep met succes te vervolgen in de grootste hacking- en gegevensdiefstalzaak in de Verenigde Staten ooit. Het onderzoek ging zelfs over de Amerikaanse grenzen heen en er werden mensen gearresteerd in Oost-Europa en China13. Wanneer de schade eenmaal is aangericht, kunnen organisaties zich niet de luxe permitteren om jaren te wachten tot de overheid de hackers opspoort en arresteert. Het wordt steeds moeilijk om deze hackers te vinden en het onderzoek kost ook steeds meer middelen. Organisaties moeten leren om zichzelf te beschermen. Hierbij is de beste verdedigingmethode een controle op credit-, debet- en rekeninggegevens die het bedrijfsnetwerk verlaten. Voor veel organisaties is er geen enkele reden dat deze gegevens het bedrijf verlaten, tenzij ze naar aangewezen, vooraf gedefinieerde partners gaan in een versleuteld formaat. Door het controleren en/of blokkeren van deze gegevens bij de Clearswift content-aware gateway, kunnen organisaties worden beschermd tegen inbreuk op hun gegevens en ook de forensische gegevens verzamelen die de overheid zo hard nodig heeft als bewijs om cybercriminelen en hackers te kunnen veroordelen.
8
12 Baruch Lev, Intangibles: Management, Measurement and Reporting, Brookings Institute, Washington DC. 13 Brad Stone, Global Trail of an Online Crime Ring, New York Times, Aug. 12, 2008 beschikbaar op: http://www.nytimes.com/2008/08/12/technology/12theft.html
Een toonaangevende warenhuisketen bij de naleving van PCI DSS: een case study. Een warenhuisketen in Engeland met minder dan 10.000 medewerkers gebruikte onlangs Clearswift content monitoring ter naleving van PCI en om de credit- en debetcardinformatie te beschermen. Het warenhuis was al lange tijd gebruiker van het gateway-product van Clearswift voor inkomende email om de organisatie te beschermen tegen malware, spam en virussen. Met de toenemende bezorgdheid rond de bescherming van PII en de naleving van PCI, begon men met content filtering op de gateway voor uitgaand verkeer om ervoor te zorgen dat onder geen enkele omstandigheid creditcards de organisatie zouden verlaten (ongeacht of deze informatie in een e-mail was vervat of via het internet verstuurd). Binnen 30 minuten had het veiligheidsteam het PCIsjabloon geïnstalleerd en het passende beleid geconfigureerd voor de winkelketen. Weken later bewees zich de waarde van deze oplossing toen een email met creditcard- en rekeninggegevens dat in het geheim was ingebed in een bestand, dat op zijn beurt was ingesloten in nog eens twee bestanden nauwkeurig werd gedetecteerd, in quarantaine geplaatst en geblokkeerd. Een forensisch onderzoek van de informatie leidde naar de bron van de interne aanval, zodat de warenhuisketen merkschade en negatieve publiciteit kon vermijden.
Wat is een content-aware gateway? Als u in uw organisatie e-mail en internet gebruikt met URL-filtering, antivirus-, malware- of spambeveiliging, dan is de kans groot dat u over de fundamenten beschikt voor een contentaware gateway. Er zijn eigenlijk twee gateways beschikbaar, één is speciaal bestemd voor e-mailverkeer en bestaat uit een MTA (Message Transfer Agent) die het beleid toepast op e-mails die uw organisatie binnenkomen en verlaten. De MTA’s in veel organisaties hebben ingebouwde antivirus-, antispam- of malware-detectie-instrumenten om te voorkomen dat slechte emails uw bedrijfsnetwerk binnenkomen. Aan de internetzijde hanteren veel organisaties nu web proxies die internetactiviteit kunnen beëindigen die het bedrijfsbeleid schendt, zoals het downloaden van illegaal materiaal of het bekijken van ongepast materiaal. Er zijn echter maar zeer weinig organisaties die deze hulpmiddelen kunnen bundelen. De Clearswift SECURE Web en E-mail Gateways werken naadloos samen om zowel internet- als e-mailverkeer veilig de werkplek in en uit te laten stromen zonder angst voor het lekken van gegevens of malware-infecties, zodat er daadwerkelijk samengevoegde informatiebeveiliging wordt geboden.
9
Oplossingen: specifieke (pure-play) DLP versus de Clearswift content-aware gateway Bij het beschermen van uw organisatie tegen de belangrijkste oorzaken van gegevensinbreuk, denken de meeste organisaties aan de implementatie van een soort van content-aware oplossing. Deze oplossing dient dan een diepe inhoudelijke analyse te bieden om content te identificeren waarvoor een risico bestaat en die dan de juiste afdwingmaatregelen kan nemen om de organisatie te beschermen. Op dit punt denken veel organisaties dat ze een duur DLP-product nodig hebben. Het toepassen van een content-aware-strategie op de gateway zonder ooit een DLP-product te kopen, blijkt echter een veel praktischer en betaalbaarder alternatief voor de overgrote meerderheid van de organisaties die vandaag de dag behoefte hebben aan DLP-producten. Als het erom gaat uw organisatie te beschermen tegen de vier belangrijkste oorzaken van de gegevensinbreuk kunnen zowel DLP-oplossingen als de Clearswift content-aware gateway: - Nauwkeurig detecteren wanneer vertrouwelijke gegevens de organisatie verlaten (data in motion) - Belangrijke forensische informatie bieden in het geval van een gegevensinbreuk - Voor gecentraliseerd beleidsbeheer zorgen rond het gebruik van gegevens die de organisatie verlaten - Gecentraliseerde dashboards bieden voor rapportages over trends in het gegevensgebruik en schendingen van het beleid Maar de Clearswift content-aware gateways gaan nog een stap verder: - Voorkomen dat malware door de e-mail- en internet-gateway komt (niet beschikbaar in pure-play DLP-oplossingen) - Voorkomen dat vertrouwelijke gegevens via de gateway de organisatie verlaten (DLP-oplossingen verbinden alleen berichtinformatie aan e-mails die het beleid schenden ze treden niet echt afdwingend op.) - Het voorkomt dat interne medewerkers binnen de Exchange-omgeving communiceren waar dit niet wenselijk is (niet beschikbaar in pure-play DLP-oplossingen)
1
Tabel 1: De Clearswift content aware gateway en de belangrijkste pure-play DLP-oplossing. Clearswift
Belangrijkste DLP-oplossing
Granulair beleidsbeheer - de mogelijkheid om regels toe te passen bedrijfsbreed of afdelings-, regio- of persoonsgebonden
JA
JA
Kan beleidsafdwinging toepassen rond context (bron, bestemming, omvang, ontvangers, afzender, header, metagegevens, tijd, locatie, formaat) evenals inhoud
JA
JA
Biedt een diepe content-inspectie gebaseerd op regelgebaseerde/reguliere uitdrukkings- en lexicale technieken die ook checksums voor creditcards omvatten
JA
JA
Fingerprinting-technieken voor de exacte afstemming van gestructureerde content, zoals database-inhoud en ongestructureerde gegevens, zoals intellectueel eigendom
JA
JA
Gedeeltelijke documentkoppeling waarbij ongestructureerde, gevoelige gegevens konden worden gekoppeld op basis van een reeks overlappende hash-waarden.
JA
JA
Statistische analyse - het gebruik van Bayesiaanse analyse en machine-learning om schendingen van het beleid te vinden in inhoud die op beveiligde inhoud lijkt
JA
JA
Conceptueel/lexicon waarmee combinatie van woordenboeken mogelijk zijn, regels om inhoud te beschermen die kan worden gedefinieerd door een situatie zoals handel met voorkennis of ongepast gedrag op de werkplek
JA
JA
Conceptueel/lexicon waarmee combinatie van woordenboeken mogelijk zijn, regels om inhoud te beschermen die kan worden gedefinieerd door een situatie zoals handel met voorkennis of ongepast gedrag op de werkplek
JA
JA
Makkelijk te gebruiken, intuïtieve beheerinterface, Rijke, duidelijke rapportage en workflow
JA
JA
Naadloze integratie met Active Directory
JA
JA
Content awareness en het bepalen van beleid
Afdwinging van het beleid – uitgaande e-mail (voorkomt onbedoelde en kwaadaardige aanvallen door interne medewerkers of hackers) Is een volledig functionerende MTA, in staat om te voorkomen dat email die niet aan het beleid voldoet, de organisatie verlaat
JA
NEE
Is een volledig functionerende MTA, in staat om het beleid toe te passen op interne e-mailsystemen
JA
NEE
Is een volledig functionerende web proxy, in staat om het verdwijnen van gevoelige inhoud tegen te houden via webmail, IM of internetprotocollen
JA
NEE
Web 2.0 – voorkomen dat gevoelige gegevens zich verplaatsen van of naar SharePoint, blogs en wiki's
JA
NEE
Is een volledig functionerende web proxy, in staat om versleuteld SSL-verkeer te lezen
JA
NEE
Antispam en antimalware-integratie
JA
NEE
Bescherming tegen zero-day-bedreigingen
JA
NEE
Antivirusbescherming
JA
NEE
Afdwingen van het beleid - internetverkeer en Web 2.0 (voorkomt onbedoelde en kwaadaardige aanvallen van insiders of hackers)
Uitvoering van het beleid - malware (voorkomt aanvallen van kwaadaardige code op het internet of e-mail gateway)
Uitvoering van het beleid - interne e-mails (voorkomt dat e-mails worden verzonden zonder naleving van het interne nalevingsbeleid) Afdwinging naleving intern e-mailbeleid Exchange
JA
NEE
Werkplekken (desktop pc, laptops, etc.)
NEE
JA
Fileservers
NEE
JA
JA
JA
Afdwinging van het beleid - data at rest (gevoelige gegevens vinden die zijn opgeslagen binnen de onderneming)
Signaleert gevoelige gegevens
11
Dedicated (pure-play) DLP-producten - overbodige technologie Tenzij ze binnenin een volledige web proxy en MTA draaien, zijn de meest 'pure-play' DLPtechnologieën ontworpen voor passieve netwerkbewaking, niet om actieve afdwinging te bieden. Content die de organisatie verlaat, wordt vergeleken met een beleidsregel die is ingesteld om te zoeken naar schendingen van vertrouwelijke of gevoelige gegevens. Als het beleid faalt, worden de gegevens gemarkeerd voor actie verderop in de e-mail- of internetgateway. Wanneer er overtredingen worden aangetroffen in een e-mail, wordt deze informatie geïntegreerd in het gecentraliseerde DLP-beleidsbeheer en rapportageconsole, maar afdwingactiviteiten – zoals in quarantaine zetten, blokkeren, coderen, omleiden, kopiëren worden niet uitgevoerd binnen de DLP-oplossing. Om handhaving effectief te laten zijn, moet het DLP-product uitgaande berichten naar een MTA of de Clearswift SECURE Email Gateway leiden om iets te kunnen ondernemen. Met andere woorden, DLP-oplossingen voeren geen enkele afdwingende activiteit uit - ze maken deze alleen mogelijk verderop in de e-mailstroom. Wanneer er schendingen worden aangetroffen in het internetverkeer, stuurt de DLPoplossing een bericht naar een web proxy of de Clearswift SECURE Web Gateway. Nogmaals, het DLP-product dwingt niet daadwerkelijk beleid af, maar stuurt een boodschap dat de content-afdwinging later in de internetstroom moet plaatsvinden. Terwijl DLP-producten de pakketten volledig kunnen afvangen en sessies in real-time kunnen reconstrueren, zijn ze niet de uitvoerende agent (tenzij ze een volledige proxy draaien). Tijdens de piek van de gegevenslekhype waren content-reconstructie en passief toezicht nuttig vanuit het perspectief dat het organisaties hielp te begrijpen waarom ze risico liepen. Helaas deden de producten zelf niets om gegevensschendingen te voorkomen, De gegevens waren de deur al uit. Ironisch genoeg word de afdwingactiviteit die DLP-tools zo aantrekkelijk maakt om datalekken te voorkomen, niet uitgevoerd door het DLP-product, maar door de reeds bestaande producten - de MTA's en web proxies – welke tegenwoordig overal ter wereld al in gebruik zijn op bedrijfsnetwerken. Ondanks de hype beseffen vele organisaties wel dat DLP-producten een overbodige technologie zijn. U kunt profiteren van dezelfde data-in-motion-DLP-functies en uw organisatie beschermen tegen inkomende malware met behulp van de Clearswift contentaware SECURE Clearswift's Web en e-mail Gateways - de oplossing met een staat van dienst van 20 jaar.
12
Conclusie De vraag die veel organisaties zich moeten stellen, is waarom ze speciale DLP-producten zouden moeten gebruiken als er content-aware-oplossingen bestaan, zoals Clearswift SECURE Web and Email Gateways, die deze functionaliteit nu en met toegevoegde bescherming tegen malware bieden. De gebundelde informatiebeveiligingsoplossing van Clearswift maakt een eind aan het gedoe en de kosten in samenhang met DLP, stelt uw organisatie en uw reputatie veilig en behoudt het vertrouwen van uw klanten. Onze 20jaar lange inzet voor content-beveiliging heeft reeds 17.000 van de meest succesvolle en veiligheidbewuste organisaties ter wereld geholpen. Clearswift klanten realiseren hun gegevensbeschermingsbehoeften in minuten – niet in weken.
Contact met Clearswift
Verenigde Staten Clearswift Corporation 161 Gaither Drive Centerpointe Suite 101Mt. Laurel, NJ 08054 Tel: +1 800 982 6109 Fax: +1 888-888-6884
Verenigd Koninkrijk 1310 Waterside, Arlington Business Park, Theale, Reading, Berkshire, RG7 4SA Tel: +44 (0) 11 8903 8903 Fax: +44 (0) 11 8903 9000
Australië Level 5, Suite 504, 165 Walker Street, North Sydney, New South Wales, 2060 Tel : +61 2 9424 1200 Fax : +61 2 9424 1201
Spanje Cerro de los Gamos 1, Edif. 1 28224 Pozuelo de Alarcón, Madrid Tel: +34 91 7901219 / +34 91 7901220 Fax: +34 91 7901112
Duitsland Amsinckstrasse 67, 20097 Hamburg Tel: +49 40 23 999 0 Fax: +49 40 23 999 100
Japan Hanai Bldg. 7F, 1-2-9, Shiba Kouen Minato-ku Tokyo 105-0011 Tel : +81 (3) 5777 2248 Fax : +81 (3) 5777 2249
Copyright © 2005 - 2009 Clearswift Ltd. All rechten voorbehouden. De materialen hierin vervat zijn het unieke eigendom van Clearswift Ltd, tenzij anders vermeld. Het Clearswift-logo en de handelsmerken zijn het eigendom van Clearswift of de respectievelijke eigenaars Clearswift Ltd (geregistreerd nummer 3367495) is geregistreerd in Groot-Brittannië met zijn maatschappelijke zetel te 1310, Waterside, Arlington Business Park, Theale, Reading, Berkshire RG7 4SA, Engeland. Onder licentie van U. S. Patent No 6523600. Beschermd door het Britse octrooirecht 2.366.706