SOTTRAZIONE E PERDITA
DI DATI E DOCUMENTI
Il vero patrimonio, o asset se si preferisce l’inglese, dei sistemi infor-
matici aziendali e personali sono le informazioni e i relativi documenti
che le trattano. Sono loro il principale obiettivo degli attacchi in-
tenzionali, ormai prevalentemente finalizzati a frodi, ma informazioni
e documenti sono ben più spesso compromessi o persi a causa della
disattenzione dell'utente finale o da una non sicura gestione degli stessi
a livello del sistema centrale, della rete o del dispositivo ‘smart’ del-
l'utente, dal pc allo smarthphone.
Ormai da tempo, nel mondo della sicurezza informatica, si è dif-
fuso il termine inglese di data loss prevention, e il suo acronimo
DLP (talvolta viene usato anche il sinonimo di ‘loss’, ‘leak’, let-
teralmente crepa o falla).
Con questo termine, in verità abbastanza generico, si considera un
insieme di prodotti e soluzioni che individuano e cercano di preve-
nire la violazione e la perdita di informazioni e di documenti quando
sono in uso nel dispositivo d'utente (si usa il termine inglese di end-
point), sono archiviate (in questo caso viene usato il termine ‘at rest’,
per indicare che sono a riposo nello storage) o sono trasmesse in rete
(in motion è il termine per indicare lo stato del traffico in rete).
P
RIMO PASSO
:
DATA LOSS PREVENTION
È evidente che la protezione dei server, dello storage, delle reti e dei
dispositivi d'utente, fissi o mobili, rientra negli obiettivi e nelle soluzioni
di qualsiasi sistema di sicurezza ICT, e tale protezione è realizzata con
un ampio insieme di strumenti e tecniche, dall'identificazione dell'utente
al controllo dei suoi diritti d'accesso, da firewall e DMZ (DeMilita-
UNA MINACCIA CONTINUA A CUI DOBBIAMO FAR FRONTE
CON POCHI MA INDISPENSABILI ACCORGIMENTI.
risation Zone) a IPS/IDS e sistemi anti codici maligni, da configurazioni
e storage ad alta affidabilità (si pensi a soluzioni cluster, alla ridondanza
dei dischi e ai Raid, ecc.) a tecniche di crittografia.
I sistemi DLP si inseriscono in questo tipico contesto di sicurezza,
utilizzano alcuni degli strumenti e delle tecniche sopra elencate
e si focalizzano nella prevenzione ed individuazione dei tenta-
tivi di sottrarre, volontariamente o non, dati e documenti. Sul
mercato ci sono alcuni prodotti/soluzioni che si definiscono DLP
e si classificano, a seconda di dove operano, come "network
DLP", "endpoint DLP", "storage DLP".
Un esempio open source (e gratuito) di sistema DLP è MyDLP
/): è utile esaminarlo per comprendere
come funziona in pratica un DLP.
MyDLP è un pacchetto software costituito dai seguenti componenti:
• MyDLP Security Management: permette di definire e di gestire
le policy necessarie per il proprio ambito d’uso, specificando gli
asset da controllare;
• MyDLP Security Monitor: monitorizza e traccia chi sta usando
quali dati;
• MyDLP Network Security: protegge il flusso dei dati in rete in
accordo con le policy definite;
• MyDLP Endpoint Security: protegge il dispositivo finale del-
l’utente in accordo con le policy definite.
MyDLP monitorizza e controlla i canali web ed FTP (protocolli
HTTP, HTTPS, FTP, FTPS) grazie ad ICAP , effettuando log ed
eventuali blocchi come definito nelle policy. Analogamente per la po-
M.R.A. Bozzetti, OAI founder
88
office automation
giugno 2012
