Data Loss Prevention con TrendMicro™: un caso reale

Share on facebook
Share on twitter
Share on linkedin
Share on email
Share on whatsapp

In questo articolo descriveremo una esperienza concreta su un progetto di Data Loss Prevention, ovvero dell’implementazione di una soluzione per la protezione dei dati aziendali.

Un Ente di pubblica amministrazione nostro cliente ci chiedeva da tempo una soluzione per la salvaguardia ed il monitoraggio del flusso dei dati trattati dai vari funzionari e dalle varie Unità Organizzative.

All’interno del suddetto Ente vengono trattate grandi quantità di dati sensibili, sia del personale dipendente sia del pubblico che usufruisce dei servizi dell’Ente.

Il problema è comunque generalizzabile anche a casi in cui una azienda volesse monitorare e proteggere il proprio patrimonio informativo, siano essi dati economico/finanziari, progetti, brevetti, prodotti e processi produttivi.

Considerati i molteplici vettori disponibili attraverso le attuali tecnologie, è facile intuire come l’argomento sia una tema sempre più sentito dalle aziende.

Data Loss Prevention con TrendMicro™: un caso reale

Webmail, piattaforme di instant messaging, social network, drive portatili, cloud pubblici e dispositivi sempre connessi rendono oggi la fuga di informazioni estremamente difficile da controllare ma molto facile da attuare.

Come in molti altri casi un driver fondamentale che ci è stato dato dal cliente è stato il contenimento dei costi.

Così, scartate le soluzioni più blasonate e complesse, il nostro scouting è arrivato ad un prodotto interessante e con un prezzo estremamente competitivo: TrendMicro™ OfficeScan con Data Protection Add-On.

TrendMicro™ OfficeScan è un potente antivirus per endpoint, con funzioni avanzate già nella versione base ed espandibile con numerosi Add-On e componenti opzionali dedicati a funzioni particolari.

Ha una dettagliata console di monitoraggio e configurazione da cui si possono fare tutti settaggi e le personalizzazioni necessarie, potendo agire da remoto anche sul singolo endpoint.

Il modulo di Data Protection è un componente aggiuntivo che integra gli agent sugli endpoint con numerose funzioni di controllo dei dati.

Nel nostro caso specifico è stato richiesto che i dati dell’Ente in nessun modo dovevano fuoriuscire dalla rete aziendale, se non dietro esplicita autorizzazione.

Quindi il Data Protection Add-On è stato configurato per bloccare l’utilizzo di qualsiasi drive esterno (USB, lettori SD, lettori CD, dispositivi Bluetooth), è stato implementato il monitoraggio delle stampe, registrando tutte le stampe che venivano effettuate dai vari utenti, è stato implementato il monitoraggio della consultazione dei file in rete, creando così un registro con informazioni complete su quali utenze avevano fatto accesso a file condivisi.

Inoltre è stato bloccato qualsiasi flusso di dati verso l’esterno, bloccando l’uscita di qualsiasi tipologia di file attraverso qualsiasi protocollo di comunicazione esterna (FTP, cloud vari, http, https, webmail varie, SMB ecc.).

Solo ad utenti autorizzati è stata lasciata la possibilità di inviare file all’esterno ma, in ogni caso, ogni flusso verso l’esterno è monitorato e registrato.

In realtà il prodotto consente di fare un filtraggio molto più mirato e puntuale, potendo analizzare il contenuto dei file oggetto di traffico di rete, riconoscendo particolari pattern (sia predefiniti che custom, come ad esempio numero di carta di credito, codici fiscali ecc.) e potendo eseguire azioni diverse su pattern diversi.

E’ possibile anche fare in modo che all’utente venga notificato il tentativo di scambio di dati e che lo sblocco possa avvenire solo su inserimento di una richiesta di autorizzazione, inserita dall’utente direttamente in un popup che appare sulla postazione di lavoro.

Altra funzionalità del prodotto utilizzate in questo progetto sono state il behavior monitoring e il device control, con cui è stato possibile configurare la possibilità di esecuzione o meno di un set di programmi e la possibilità di utilizzare o meno i device presenti sull’endpoint (cd, USB ecc.).

A chiusura del cerchio, una completa console centralizzata sia per le configurazioni che per l’audit dei risultati delle varie policy implementate, in cui è possibile vedere istante per istante e con un altro grado di dettaglio, “chi” ha fatto “cosa” e l’azione che è stata intapresa (permesso, notifica all’utente e/o blocco).

Per esempio è possibile vedere che un certo utente, ad una certa ora, ha provato a fare l’upload su gmail di un certo file chiamato xyz.docx, oppure che un altro utente ha copiato (o ha tentato di copiare, venendo bloccato) un certo file da una share di rete sul suo desktop.

Il tutto ad un costo veramente competitivo, appena superiore al costo della singola licenza di un comune antivirus endpoint.

Share on facebook
Share on twitter
Share on linkedin
Share on email
Share on whatsapp

Newsletter

Aggiornamenti utili alla tua azienda, temi di tuo interesse e informazioni sulla sicurezza informatica dei dati e le news sulle nuove soluzioni.

Ricevi i nostri aggiornamenti