Como evitar tu propio WikiLeaks – DLP

Logo de MyDLP
FacebooktwitterinstagramFacebooktwitterinstagram

Logo de MyDLP

Un sistema DLP (Data Loss Prevention) es un sistema encargado de prevenir el robo, acceso o salida de datos de una empresa, ya sea accidental o no. Últimamente, con todo el escándalo de WikiLeaks (que escándalo es mas bien por el contenido, la verdad) están muy de moda en grandes empresas pero tienen un coste que les hace ser «la estrella» en los presupuestos en seguridad de las mismas. Cualquier implementación de un sistema de este tipo, nos puede salir por decenas de miles de euros tanto a nivel de licencias como a nivel de la propia implementación.

No obstante, hay alternativas como OpenDLP (en franca decadencia) o una que me ha gustado mucho y que estoy probando en casa que es MyDLP. Esta solución es GPL, gratuita y con unos costes de soporte y consulta experta muy accesibles en el caso de que sea necesario.

Antes de entrar en materia con MyDLP, voy a hacer un pequeño resumen de lo que es un DLP y sus principales funcionalidades.

¿Para que sirve un DLP?

Tal y como comentaba al principio, son sistemas destinados a evitar la pérdida de información por parte de una empresa, al restringir las posibilidades de un empleado para tratar la información de un modo no autorizado o al menos registrar estos movimientos.

Por ejemplo, evita que un empleado pueda llevarse en una memoria USB una base de datos, un fichero con determinado tipo de contenido y/o tipo, o incluso abstraerse del soporte y tratar el dato como tal: «Evitar que salga cualquier cosa que contenga un número de cuenta, nombre y apellidos, datos marcados como confidenciales, etc.»

Canales habituales de pérdida de datos

Normalmente, la pérdida de datos se produce por la copia del fichero o parte del mismo a un soporte extraible (disco USB, CDR, etc.), la impresión en papel, envío a servidores de disco remotos tipo dropbox, uso de cuentas de correo públicas tipo gmail o hotmail, etc.

Es importante, tener definido este tipo de posibles canales previamente a la instalación de un sistema DLP. Evitará la sobrecarga de reglas innecesaria o la fuga de datos ante la falta de estas.

Definición de «dato»

A la hora de definir la implementación de DLP, el hecho de definir un dato es muy importante para poder saber «que vamos a proteger». Por ejemplo, una PYME debería proteger como mínimo los ficheros con datos personales e información confidencial de la empresa (ficheros de nóminas y personal, documentación de proyectos, listados de clientes, etc.) de igual modo que un banco tendría como principal objetivo los datos bancarios de sus clientes y de forma adicional los datos propios como empresa.

Aquí es importante que a la hora de definir la taxonomía de los datos, definamos también que contenido podemos detectar que alerte del uso de los mismos.

Por ejemplo, imaginemos que nos encontramos lo siguiente: 54017100632466960214

Concurso: ¿Esto que es?

  1. El teléfono de un cliente argentino (Comienza por 54)
  2. Las coordenadas GPS de la posición del santo Grial (No se, son números, no?)
  3. El número de seguridad social de algún cliente/empleado (vale, siguen siendo números)
  4. La numeración de una tarjeta visa y su caducidad

Para los que habéis pensado la 1, la 2 o la 3, ooooh, lo siento. No os ha tocado el jamón. Si has pensado la 4, enhorabuena!! has ganado un jamón (un jamón de mosca, claro, que esto es un website pobre)

Bromas a parte, el sistema DLP, cuenta con capacidad para detectar este tipo de datos, y normalmente la tiene con muchos otros tipos de datos predefinidos, y habrá visto que es un conjunto de 20 números, de los cuales los 16 primeros son propios de una VISA y dos últimos son campos válidos de una fecha futura. ¿Como hace esto? Puedes consultar en la propia web de ISO o bien en cualquiera de las que lo explican de una forma más sencilla.

El ejemplo anterior, también es válido con números de la seguridad social, nombres de personas, teléfonos, cantidades de dinero identificadas como tal, etc.

Es por esto que antes de implementar nada, debemos reflexionar sobre los formatos y capacidad de detección que podemos tener de los mismos, de cara a que la implementación de nuestro DLP sea satisfactoria (una excel con los campos dedicados a almacenar datos económicos que estos no tiene formato de moneda, es mas difícil de detectar, por ejemplo). También ayuda mucho definir etiquetas del tipo «Confidencial», «Restringido», etc. en cabeceras y pies de documentos, para poder detectar fácilmente el nivel de los mismo.

El software

Actualmente en el mercado, nos podremos encontrar con algunas soluciones comerciales considerablemente potentes, pero con el «pequeño handycap» de que su precio arranca en números de 5 cifras. La mayoría de estas, se componen de varios elementos, siendo común los siguientes:

  • Servidor de políticas y administración: Almacena de manera centralizada las políticas de seguridad de cada uno de los elementos a proteger. Además, suele tener una aplicación para poder monitorizar la actividad sospechosa en los puestos de la red.
  • Agente de puesto o Endpoint Agent: Software que se instala en cada uno de los equipos o puestos de trabajo de la red. Se encarga de monitorizar todas las actividades de ficheros e información, contrastando su autorización mediante la política diseñada para ese puesto.
  • Agente de red o Network Agent: Sniffer que se encarga de monitorizar todo (o parte del mismo) el tráfico de la red, en busca de cualquier flujo de datos no permitido. Algunos cuentan con capacidad de interceptar la comunicación antes de que se produzca el envío de estos datos.

Ejemplo de DLP: MyDLP

Antes de que me enrollase como una persiana hablando de DLPs, os comentaba que iba a poner un ejemplo con un software bastante bueno y actualizado que es MyDLP. Este software, con licencia GPL, tiene una capacidad realmente asombrosa para su «precio» y como mínimo es capaz de detectar mediante políticas predefinidas números de tarjetas de crédito, formatos de los principales números de identificación, etiquetas en documentos, tipos de ficheros, contenido dentro de ficheros comprimidos y un largo etcétera. Además, cuenta con un potente lenguaje para la creación de reglas, basado en expresiones regulares con el que podremos crear nuestras propias reglas.

Además, la administración en muy sencilla. Tenemos por ejemplo un pequeño tutorial de como detectar números de tarjetas de crédito en la web de MyDLP.

En materia de implantación, cuenta con varios tipos de instalación muy interesantes:

  • Instalacion en modo virtualizado con (VMWARE)
  • ISO para ser instalada en modo appliance
  • Paquetes para ser instalados en Ubuntu

La pena es que los agentes solo funcionan bajo Windows, aunque es realmente complicado encontrar soluciones de este tipo que operen bajo otros sistemas operativos en modo agente, sin que sean comerciales. No obstante el objetivo que son PCs de escritorio, nos guste o no, son sistemas MS Windows.

Estos agentes, pueden ser implantados remotamente vía samba y son totalmente controlados desde el software centralizado de MyDLP. Una vez instalados y configurados, son capaces de monitorizar e impedir la copia de datos en unidades externas, discos de red, envío mediante correo electrónico,  webmail, etc.

Os recomiendo que le echéis un vistazo a la web y os recomiendo aún más, que probéis este software que seguro que hará que vuestros datos estén mucho más seguros 🙂

Un Saludo,

FacebooktwitterredditlinkedinmailFacebooktwitterredditlinkedinmail
mayo 3, 2011

Etiquetas: , , , , , , , ,
  • Saludos

    Me parecen exelentes estas herrameintas, sobre todo porque son soluciones libres, sin embargo alguien sabe si todavia son proyectos vivos, ya que como podran darse cuenta mydlp no ha realizado una actualizacion desde ubuntu 12 y actualmente ya existe el 14 y opendlp esta en ubuntu 11.

    Gracias

  • Hola, voy a comenzar un proyecto con MyDLP y lo he estado probando en VMWare, pero tengo un problema y no sé si me podréis ayudar, resulta que a los pocos minutos de estar la máquina virtual en funcionamiento pierdo la conexión con el panel web (puedo hacer ping hacia el servidor y viceversa). ¿Os ha pasado algo parecido? ¿Sabéis a que se puede deber? Muchas gracias y felicidades por el artículo.

    • Hola,

      La verdad es que no se que puede ser. El hecho de que sea a los pocos minutos, me hace pensar que puede ser algo que se active/desactive. Has comprobado que el FW no hace de las suyas? Algún conflicto con el DHCP? Prueba a poner un tcpdump o mejor, Wireshark, para ver que puede estar pasando.

      Un Saludo,

      • Como el problema persistía me puse en contacto con el servicio técnico de MyDLP y me solucionaron el problema de forma remota. Sólo pueblo hablar bien de su atención al cliente.

        Por cierto, el fallo venía dado por un problema con los locales en español. Solución: instalar MyDLP en inglés desde el principio.

        • Hola Francisco, Muchas gracias por compartir la solución 🙂 La verdad es que siempre recomiendo la instalación del software en inglés. He tenido algunos problemas en el pasado (sobre todo en sistemas Unix) por este motivo y además tienes la ventaja de que casi todo el soporte y documentación está en ese mismo idioma.

          Un Saludo!

  • Hola gracias por compartir tu experiencia. Yo veo un problema a la hora de instalar el endpoint en equipos Windows 7 64 bits, no permite su instalación. 🙁

    ¿ has encontrado alternativa para ello ?

    Saludos. Manuel.

    • Hola Manuel,

      De momento no la permite y parece ser que a medio plazo tampoco lo hará. El año pasado por estas fechas anunciaron en el blog que su salida era inminente pero parece ser que por un problema con la firma de los drivers, se va a retrasar sine die. No conozco ninguna alternativa «Open» que funcione al mismo nivel de MyDLP, pero en mi empresa hemos instalado con éxito en un cliente la solución DLP de TrendMicro y salvo alguna cosilla muy concreta, va bastante bien.

      Un Saludo!
      Jesus

  • Gracias a su artículo, estamos instalando mydlp en mi empresa. Le acabo de enviar un correo a su contacto. un saludo

  • Bravo! Siempre me había dado mucho miedo este tipo de software pero veo que no es complicada su instalación. El precio de las opciones comerciales es altísimo y es otro freno importante.

    Saludos

  • Increible articulo y increible el programa que recomiendas. Lo instalaré y te cuento como ha ido. Gracias!

  • Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *