Slide thumbnail

Cập nhật kiến thức Google Cloud

Kiến thức

Ngăn chặn mất dữ liệu với G Suite – Data Loss Prevention

24/06/2019

Bảo vệ tài sản tri thức và dữ liệu doanh nghiệp luôn phải là ưu tiên được đặt lên hàng đầu, đặc biệt là trong kỉ nguyên số, doanh nghiệp dù sớm hay muộn cũng sẽ đều “đặt chân” lên Cloud.  Theo thống kê đến năm 2018, các nguyên nhân phổ biến nhất dẫn đến việc mất và rò rỉ dữ liệu doanh nghiệp (Data loss and leak) bao gồm: Tài khoản người dùng bị đánh cắp, phần mềm độc hại, không quản lý được quyền truy cập vào nguồn tài nguyên doanh nghiệp, “nội gián” từ bên trong,… Có thể dễ dàng nhận thấy người dùng cuối – hay chính nhân viên chính là một “lỗ hổng” tiềm ẩn, gây tổn hại đến nguồn tài nguyên số của doanh nghiệp, dù vô tình hay cố ý. Để ngăn chặn vấn đề này, Google đã nghiên cứu và phát triển tính năng Data Loss Prevention (DLP) trong bộ công cụ G Suite – nhằm giúp doanh nghiệp nắm thế chủ động trong việc bảo vệ nguồn tài nguyên và chất xám của mình.

 

 

 

1/ Data Loss Prevention – DLP là gì?

 

 

 

Với sự đầu tư chất xám của Google, G Suite vốn đã được đánh giá rất cao trong việc bảo mật dữ liệu doanh nghiệp. Bên cạnh các yếu tố như mã hóa, báo cáo kiểm định, quản lý thiết bị di động, hai bước xác thực, kiểm soát quyền truy cập,… DLP bổ sung thêm một lớp bảo mật nữa để ngăn không cho dữ liệu của doanh nghiệp “thất thoát” ra bên ngoài, không bị lạm dụng hay truy cập trái phép từ những người không có quyền.

 

Để làm được điều này, DLP cho phép admin thiết lập các quy tắc bảo mật, ví dụ như: Không được gửi thông tin ABC cho những điạ chỉ email không cùng tên miền với doanh nghiệp. Tiếp theo, DLP sẽ đối chiếu những quy tắc này với nội dung của những email hay tài liệu chuẩn bị được gửi ra bên ngoài. Sau đó, hệ thống sẽ xử lý những trường hợp vi phạm theo yêu cầu đã được định sẵn của admin.

 

Nhờ cách hoạt động này, dù người dùng có vô tình gửi thông tin ra bên ngoài (ví dụ như lúc ấn “Reply all” thay vì chỉ gửi cho một người như dự định) thì hành động đó cũng không thể thành công.

 

Hiện tại, tính năng ngăn chặn mất dữ liệu – Data Loss Prevention đã được Google tích hợp vào hai ứng dụng trao đổi thông tin chủ yếu của người dùng G Suite, bao gồm Gmail và Drive.

Lưu ý: Data Loss Prevention chỉ có ở G Suite phiên bản Enterprise. Nếu doanh nghiệp mua bản G Suite Business trước ngày 31/03/2017 thì vẫn có thể tiếp tục sử dụng tính năng này cho tới ngày 31/3/2020 (với điều kiện tiếp tục gia hạn dịch vụ).

 

 

 

2/ Ngăn chặn mất dữ liệu trong Gmail

 

 

 

Email là một công cụ chính được dùng để trao đổi thông tin tại nơi làm việc, với số lượng email trung bình được gửi và nhận một ngày lên tới 281 tỷ email (Theo Báo cáo số liệu email của Radicati Group). Trong khi đó doanh nghiệp lại là chủ sở hữu của rất nhiều loại thông tin nhạy cảm, bao gồm cả tài sản trí tuệ và dữ liệu của bên thứ ba (như thông tin cá nhân của khách hàng). Để giữ cho những dữ liệu này được an toàn thông qua DLP, admin có thể dễ dàng thiết lập các chính sách ngăn chặn mất dữ liệu.

 

Ngăn chặn mất dữ liệu với G Suite - Data Loss Prevention

 

Ví dụ, doanh nghiệp có thể đặt ra quy định: Phòng kinh doanh không được chia sẻ thông tin thẻ tín dụng của khách hàng với các nhà cung cấp khác. Khi đó, admin chỉ cần lựa chọn từ khóa “Credit card number” trong một loạt những quy định được xây dựng sẵn. Lúc này, Gmail DLP sẽ tự động kiểm tra mọi email gửi đi từ phòng kinh doanh và đưa ra biện pháp xử lý.

 

Admin hoàn toàn có thể xây dựng sẵn những biện pháp xử lý cho từng trường hợp, ví dụ: đưa email vào vùng kiểm duyệt (quarantine) để kiểm tra lại, thêm phần điều chỉnh nội dung, chặn email gửi đi và thông báo lại với người gửi.

 

Điểm đặc biệt của Gmail DLP chính là không chỉ kiểm tra phần chữ trong email (chủ đề và nội dung email), mà còn cả phần nội dung trong các tệp tin đính kèm (tài liệu, file thuyết trình, bảng tính). Gmail DLP sẽ xác định định dạng của mỗi tệp tin thông qua việc quét nhị phân (Binary scan) để có thông tin chính xác thay vì dựa vào phần thông tin mở rộng của chúng. Sau đó, nội dung chữ này sẽ được trích xuất ra khỏi tệp đính kèm bằng cách sử dụng thuật toán được xây dựng riêng cho từng định dạng tệp tin và đưa vào xử lý.

 

Ngoài những quy tắc được xây dựng sẵn, admin hoàn toàn có thể tùy chỉnh các quy tắc mới theo chính sách bảo mật của riêng doanh nghiệp.

 

 

 

3/ Ngăn chặn mất dữ liệu trong Drive (cả Google Drive và Team Drive)

 

 

 

Tương tự như với Gmail Data Loss Prevention, admin hoàn toàn có thể ngăn người dùng cuối chia sẻ những thông tin nhạy cảm, bảo mật được lưu trữ trong Google Drive và Team Drive ra ngoài doanh nghiệp. DLP trong Drive hoạt động bằng cách quét (scan) các tệp tin có chứa nội dung cần tìm.

 

Ví dụ, nếu người dùng chia sẻ một tệp tin có chứa số tài khoản ngân hàng, hay mã số thuế cá nhân, bạn có thể gửi email thông báo cho Super admin (quản trị viên có quyền cao nhất) để họ nắm được thông tin. Bạn cũng có thể cảnh báo người dùng khi họ cố tình chia sẻ dữ liệu, hoặc chặn đứng bất kì ai ngoài doanh nghiệp (không sử dụng email có chung tên miền) khỏi việc truy cập vào các tệp này.

 

Các tệp tin trong Drive được scan bao gồm: Sheets, Docs, Slides.

 

Để cho dễ hình dung bạn có thể truy cập vào link sau đây để xem phần demo về cách data loss prevention hoạt động

 

 

4/ Cách thiết lập quy tắc cho Data Loss Prevention

 

 

  • Xác định phạm vi áp dụng: Admin có thể lựa chọn xem những quy tắc ngăn chặn mất dữ liệu này sẽ được áp dụng đối với những loại tin nào và với những ai trong doanh nghiệp. Cụ thể, admin có thể chọn áp dụng với toàn bộ tin nhắn của toàn bộ nhân viên, hoặc dựa trên từng phòng/từng tổ chức con (OU), hoặc chỉ áp dụng cho những tin nhắn gửi đi,…

 

  • Xác định điều kiện áp dụng: Chỉ rõ những quy tắc này cần tìm kiếm những gì trong nội dung. Admin có thể sử dụng những yếu tố tìm kiếm (content detector) được xây dựng sẵn hoặc tự mình lập những yếu tố mới.

 

  • Xác định các biện pháp xử lý: Với những trường hợp trùng khớp với yêu cầu tìm kiếm, admin có thể xây dựng những biện pháp xử lý sẵn:

 

    • Điều chỉnh nội dung: Admin có thể thêm phần điều chỉnh nội dung nếu xác định tin nhắn này vẫn có thể gửi đi được. Ví dụ: Nếu nhân viên gửi thông tin nội bộ cho nhau (nhưng không được phép gửi ra bên ngoài), hệ thống sẽ tự động thêm phần [Internal Only] vào chủ đề email này.

 

    • Đưa email vào vùng kiểm duyệt: Nếu các tin nhắn được đưa vào vùng kiểm duyệt, admin (hoặc người được trao quyền) có thể xem lại nội dung email trước khi chúng được gửi đi hoặc giữ lại.

 

    • Từ chối tin nhắn: Tự động từ chối tin nhắn nếu xác định được nội dung này không được phép gửi đi, không có ngoại lệ. Và để cảnh báo người gửi, admin có thể gửi thông báo hay trích dẫn nguyên tắc công ty cho họ, tránh trường hợp mắc sai lầm trong tương lai.

 

Nhìn chung tính năng ngăn chặn mất dữ liệu của G Suite được Google nghiên cứu, phát triển (từ năm 2015 đến nay) và hoạt động một cách rất hữu hiệu. Không chỉ dừng lại ở những đặc điểm thông thường của DLP, giải pháp của Google còn tiến xa hơn với chiến lược thiết lập hàng rào bảo mật thông qua các quy tắc (rule-based), kết hợp với tính năng nhận diện quang học (Optical Character Recognition) để xử lý phần nội dung trong hình ảnh. Bởi vậy việc lựa chọn G Suite không chỉ đơn thuần là có một công cụ để trao đổi thông tin, admin hay quản lý doanh nghiệp hoàn toàn có thể ứng dụng các tính năng được tích hợp sẵn nhằm chủ động bảo vệ dữ liệu của mình.  

 

Gimasys.