DLP在企業(yè)的安全團(tuán)隊(duì)的工具當(dāng)中正在成為越來越受關(guān)注。然而,選擇DLP系統(tǒng)的標(biāo)準(zhǔn)卻往往非常模糊,甚至有時(shí)候看上去像是在買殺蟲劑。而最終結(jié)果,企業(yè)最終會(huì)選擇的品牌往往都有著大量的廣告加成——包括價(jià)格層面的。
但是,這些系統(tǒng)可能有很多沒在市場手冊上列出的功能。DLP的選擇錯(cuò)誤造成的損失遠(yuǎn)遠(yuǎn)高于買個(gè)殺蟲劑造成的損失。安全專家們最好對(duì)這些功能進(jìn)行一些正式的測試來對(duì)比。
如今,許多DLP系統(tǒng)都會(huì)給出不同的復(fù)雜分級(jí)供選擇。對(duì)比表格中的一些附加功能往往極具誘惑性,但是它不代表這個(gè)選項(xiàng)會(huì)達(dá)到客戶的期望水準(zhǔn)。為了快速發(fā)布自己的產(chǎn)品,一些開發(fā)商會(huì)忽視質(zhì)量、用戶體驗(yàn)和可靠性等因素。
一個(gè)技術(shù)上成熟的企業(yè)級(jí)解決方案,應(yīng)該能夠適當(dāng)?shù)剡M(jìn)行迭代升級(jí)。DLP系統(tǒng)往往會(huì)基于三到五年的計(jì)劃進(jìn)行選購;因此,滿足當(dāng)下的合規(guī)需求并不是唯一標(biāo)準(zhǔn)。企業(yè)應(yīng)當(dāng)理解廠商的發(fā)展方向,并且預(yù)估自己企業(yè)未來會(huì)面臨的任務(wù)以及挑戰(zhàn)。
以下九條建議可以作為評(píng)判一個(gè)解決方案的參考,同時(shí)也能衡量你的投入是否能真正完全滿足基礎(chǔ)的企業(yè)軟件標(biāo)準(zhǔn)。
? 內(nèi)容攔截
DLP系統(tǒng)的基礎(chǔ)能力之一,就是防范因員工疏忽和惡意軟件而導(dǎo)致的數(shù)據(jù)泄露;而主動(dòng)終結(jié)一個(gè)可疑的操作是達(dá)到這個(gè)目標(biāo)的唯一方式。然而,一些企業(yè)會(huì)選擇將這些解決方案調(diào)整成監(jiān)控模式,而非直接阻斷數(shù)據(jù)移動(dòng)。
與此同時(shí),所有信息都儲(chǔ)存在檔案中,而安全官往往事后才能進(jìn)行響應(yīng)。這也就意味著,由于內(nèi)容攔截功能的使用本身并沒有在計(jì)劃之中,其優(yōu)先級(jí)被大大降低。
在使用比較不侵入式的監(jiān)控模式同時(shí),信息安全人員也需要控制DLP的誤報(bào)率與漏報(bào)率。舉例而言,如果解決方案反應(yīng)過激,對(duì)可疑事件采取了中斷郵件或者其他關(guān)鍵服務(wù)的行為,引發(fā)的后果反而會(huì)比數(shù)據(jù)泄露更嚴(yán)重。
內(nèi)容攔截的問題同樣存在于一些提供極少配置選項(xiàng)的非復(fù)雜DLP系統(tǒng)中。由于缺乏阻斷模式產(chǎn)生的數(shù)據(jù)泄露事件會(huì)很棘手,并且需要花費(fèi)大量的金錢去修復(fù)。另外,越來越多的國際法規(guī)要求組織使用內(nèi)容攔截防止信息泄露;企業(yè)如果不合規(guī)就會(huì)面臨支付高額罰款的風(fēng)險(xiǎn)。
一些通信機(jī)制因?yàn)榧夹g(shù)問題只能被DLP工具監(jiān)控而無法阻斷——比如Telegram和WhatsApp因?yàn)閿?shù)據(jù)加密技術(shù)就只能進(jìn)行監(jiān)控。不過,如果一個(gè)DLP系統(tǒng)無法支持在檢測到異常行為時(shí),阻斷郵件、打印機(jī)、USB端口、HTTP/HTTPS網(wǎng)站服務(wù),那顯然這個(gè)DLP沒做到自己的基礎(chǔ)工作。
? 策略與內(nèi)容分析
并非市面上所有的DLP系統(tǒng)最早都是出于完全防護(hù)的效果進(jìn)行設(shè)計(jì)的。一些開發(fā)者只是從最開始加了一層安全能力,然后之后再補(bǔ)充其他管控能力。由于最初模型的限制以及其獨(dú)特的功能需要和之后的結(jié)構(gòu)相匹配,最終產(chǎn)品的性能往往會(huì)成問題。
因此,DLP系統(tǒng)進(jìn)行內(nèi)容分析的方式特點(diǎn)反而可以給企業(yè)作為思考其演化進(jìn)程的起點(diǎn)。舉個(gè)例子,如果一個(gè)被監(jiān)控設(shè)備的終端探針用SMTP協(xié)議將數(shù)據(jù)提交給DLP服務(wù)器進(jìn)行分析,那么就可以推測這個(gè)解決方案可能誕生時(shí)只有郵件檢查組件。這樣一來,探針可能就不會(huì)從服務(wù)器端收到診斷信息。一旦探針無法獲取診斷信息,那么文件在被打印或者轉(zhuǎn)存到一個(gè)便攜式設(shè)備的時(shí)候就無法被阻斷。這種部署模式的另一個(gè)問題是需要一直和服務(wù)器進(jìn)行連接,那么網(wǎng)絡(luò)堵塞會(huì)中斷分析的流程。因此,最好能看一下DLP解決方案能否優(yōu)化網(wǎng)絡(luò)流量。
如果整個(gè)DLP的架構(gòu)是精心設(shè)計(jì)而成的,內(nèi)容分析應(yīng)該處于一個(gè)能實(shí)現(xiàn)策略的位置,比如終端探針的位置。這樣就不需要通過網(wǎng)絡(luò)提交大量數(shù)據(jù),而流量優(yōu)化也不再是需要考慮的問題之一。
? 未連入企業(yè)網(wǎng)絡(luò)情況
除了進(jìn)行內(nèi)容分析和應(yīng)用企業(yè)的策略之外,DLP探針還需要給服務(wù)器發(fā)送事件日志、不同文件的卷影副本等其他信息。這些重要的細(xì)節(jié)信息即使在服務(wù)器的數(shù)據(jù)倉無法接入的時(shí)候,也不該遺失。一般情況下,這些信息應(yīng)該存儲(chǔ)在本地,然后在連接恢復(fù)后盡快上傳給服務(wù)器。
針對(duì)服務(wù)器不同的連接狀態(tài),應(yīng)該有不同的策略應(yīng)對(duì),比如連接建立的時(shí)候、終端通過VPN連接、或者連接中斷。這點(diǎn)在員工帶著企業(yè)下發(fā)的筆記本離開辦公室的時(shí)候尤為重要,比如出差或者遠(yuǎn)程辦公的時(shí)候。
? 便利性
不同用戶會(huì)對(duì)系統(tǒng)使用和管理的便利性看法不一。有些人喜歡用命令行來管理DLP,有一些卻更偏向于用腳本語言設(shè)置策略和規(guī)則。在許多時(shí)候,有一個(gè)流程化的界面可能會(huì)意味著是一個(gè)關(guān)鍵模組都被完美設(shè)計(jì)的高質(zhì)量產(chǎn)品。
在評(píng)估界面的用戶體驗(yàn)的時(shí)候,有幾個(gè)小點(diǎn)需要進(jìn)入考慮范圍。首先,最好有一個(gè)全合一的管理板。時(shí)下最多的應(yīng)該是Web操作面板。這一類面板可以跨平臺(tái)支持,不需要額外的軟件,而且也能在移動(dòng)設(shè)備上被使用。
如果一個(gè)產(chǎn)品為不同模組提供不同的控制器,這就意味著它一開始設(shè)計(jì)的時(shí)候就不是一個(gè)單一完整的系統(tǒng)。這些組件可能是由不同的軟件工程團(tuán)隊(duì)或者廠商制作然后集成到一起。
另一個(gè)顯示出設(shè)計(jì)優(yōu)秀的點(diǎn)是所謂的“全渠道”策略。比如需要一條策略管理合法文件的話,可以只進(jìn)行一次操作,然后選擇所有需要覆蓋的途徑(電子郵件、USB、網(wǎng)站服務(wù)等)。
在一些設(shè)計(jì)得不怎么樣的DLP系統(tǒng)里,相關(guān)人員可能就需要對(duì)每個(gè)途徑創(chuàng)建類似的策略。盡管一開始這看上去可能不是什么大事,但一旦策略數(shù)量增長就會(huì)讓情況一團(tuán)糟。當(dāng)有幾十條策略,而且要根據(jù)時(shí)間和用戶組進(jìn)行不同的設(shè)定的時(shí)候,讓這些策略同步就會(huì)變得異常困難。
??服務(wù)器數(shù)量要求
DLP系統(tǒng)不成熟設(shè)計(jì)的另一個(gè)點(diǎn)在于過多需要運(yùn)維的服務(wù)器數(shù)量。舉例而言,如果一個(gè)大約100人的試點(diǎn)工程需要超過一臺(tái)服務(wù)器,這樣的架構(gòu)可能需要一些改進(jìn),然年在生產(chǎn)階段很可能會(huì)需要更多資源。
一個(gè)頂尖的解決方案會(huì)保證在多個(gè)方向進(jìn)行平衡。對(duì)大型組織而言,應(yīng)該有一個(gè)選項(xiàng),將一部分系統(tǒng)組件分離,然后每個(gè)都分配不同的服務(wù)器資源;而對(duì)于一些較小的網(wǎng)絡(luò)來說,DLP系統(tǒng)所需的服務(wù)器數(shù)量不應(yīng)該過多。
??靈活部署
DLP系統(tǒng)在部署機(jī)制層面應(yīng)該有足夠多的調(diào)整空間。這樣不僅能快速融入現(xiàn)有的數(shù)字化架構(gòu),還能在保持多個(gè)渠道控制的情況下平衡功能性和負(fù)載能力。
DLP圖譜中的多個(gè)系統(tǒng)可以提供不同選項(xiàng),管理所有渠道的終端探針。廠商可以使用這些工具,來減少開發(fā)時(shí)間并降低軟件工程上的開銷。
不過這個(gè)架構(gòu)并不滿足企業(yè)級(jí)標(biāo)準(zhǔn),只能說在網(wǎng)關(guān)層對(duì)網(wǎng)絡(luò)管理比較有效。對(duì)于大規(guī)模的DLP部署,這可能是唯一合理選項(xiàng)。除了使用終端探針作為控制數(shù)據(jù)移動(dòng)的來源外,一個(gè)有效的DLP工具也會(huì)提供以下其他部署方式:
- 郵件服務(wù)器集成。這個(gè)方式可以監(jiān)控內(nèi)部郵件。
- 從一個(gè)技術(shù)特制的郵箱進(jìn)行收件。
- 通過ICAP集成現(xiàn)有網(wǎng)關(guān)。
- 一個(gè)分開的郵件傳輸服務(wù)器。
主流廠商會(huì)提供他們自己的代理服務(wù)器,和DLP系統(tǒng)無縫集成,監(jiān)控HTTP和HTTPS流量。
? 云架構(gòu)
由于越來越多的企業(yè)正在轉(zhuǎn)入遠(yuǎn)程辦公室模式,同時(shí)又希望在安全服務(wù)上節(jié)省開支,云端DLP解決方案必然會(huì)有質(zhì)與量的雙重提升。現(xiàn)在已經(jīng)有很多在云端有DLP系統(tǒng)服務(wù)器組件的需求。這種情況往往在試點(diǎn)項(xiàng)目或者小型企業(yè)中存在。
DLP系統(tǒng)的檔案中存在著各種企業(yè)的機(jī)密,為數(shù)不多的企業(yè)家會(huì)愿意把它放在一個(gè)不受控制的環(huán)境中。然而,如果DLP系統(tǒng)無法支持云端主機(jī)模組,有時(shí)候就會(huì)產(chǎn)生一些不好的后果。
云存儲(chǔ)控制和服務(wù)同樣會(huì)有問題,比如企業(yè)使用Google Workspace或者Office 365郵件服務(wù)的時(shí)候會(huì)在一些細(xì)節(jié)上面出現(xiàn)情況。舉個(gè)例子,在接入郵箱服務(wù)器的時(shí)候,可以使用瀏覽器或者M(jìn)icrosoft Outlook這樣的客戶端——對(duì)每個(gè)選項(xiàng),都需要使用一種不同的協(xié)議。
另一方面,在組織中使用云端存儲(chǔ)的時(shí)候,需要確保DLP系統(tǒng)會(huì)定期掃描所有的云端文件夾來監(jiān)控存儲(chǔ)的機(jī)密信息。在這種需求下,CASB技術(shù)應(yīng)運(yùn)而生;從需要解決的任務(wù)來看,CASB有點(diǎn)類似于DLP。
? 與其他企業(yè)安全系統(tǒng)的集成
DLP還需要和以下的安全系統(tǒng)進(jìn)行集成:
- SIEM:這可能是企業(yè)安全生態(tài)中最常見的兼容性缺口了。每個(gè)安全專家都希望DLP里的事件能夠集成進(jìn)SIEM,而大部分的 SIEM系統(tǒng)能夠從DLP數(shù)據(jù)庫下載數(shù)據(jù)。如果DLP解決方案能夠支持Syslog和CEF之類的協(xié)議,這個(gè)流程能夠更加有效;而且安全人員還能在SIEM中將來自DLP的數(shù)據(jù)的優(yōu)先級(jí)調(diào)到最高。
- EDRM:這些系統(tǒng)一般都會(huì)配備DLP解決方案,當(dāng)然也可能是DLP配備EDRM。當(dāng)兩者結(jié)合到一起時(shí),只要配置得當(dāng),就能成為一個(gè)堅(jiān)如磐石的防護(hù)層。在那樣的場景下,DLP可以完美和EDRM的策略結(jié)合,然后將其中的一些規(guī)則作為自己的策略——比如生成報(bào)告,或者搜索存檔。另外,DLP系統(tǒng)還能基于一些提前預(yù)定的規(guī)則完整實(shí)現(xiàn)一些EDRM策略。
- 數(shù)據(jù)分級(jí)系統(tǒng)。最佳的DLP工具應(yīng)該有能力處理文件中被數(shù)據(jù)分級(jí)系統(tǒng)標(biāo)記的內(nèi)容。如果數(shù)據(jù)分級(jí)這一冗長復(fù)雜的內(nèi)容已經(jīng)被完成了,這一功能可以省去大量的時(shí)間和精力。
? 多平臺(tái)兼容性
一個(gè)好的DLP系統(tǒng)應(yīng)該能夠和多種端點(diǎn)平臺(tái)兼容。最基礎(chǔ)的能力至少要支持Windows。那這顯然是不夠的,畢竟沒準(zhǔn)哪一天我們就會(huì)大規(guī)模轉(zhuǎn)向Linux系統(tǒng)。不過,現(xiàn)在已經(jīng)有多家DLP系統(tǒng)提供Windows、Mac和Linux的模組。
運(yùn)行iOS和安卓的移動(dòng)設(shè)備也需要被考慮到。出于技術(shù)原因,當(dāng)前幾乎不可能建一個(gè)針對(duì)智能手機(jī)平板完全有效的探針——尤其是蘋果的設(shè)備。在某些情況下,通過一個(gè)Web控制器和DLP交互是個(gè)不錯(cuò)的選擇。因此,當(dāng)采用BYOD模式的時(shí)候,企業(yè)還需要啟用MDM解決方案。MDM能夠進(jìn)行嵌在移動(dòng)操作系統(tǒng)內(nèi)的安全能力、創(chuàng)建隱私策略,從而減小數(shù)據(jù)泄露的風(fēng)險(xiǎn)。
DLP系統(tǒng)的發(fā)展路徑各不相同。這一點(diǎn)會(huì)決定他們的完整度、功能協(xié)調(diào)度、對(duì)不同的信息傳播渠道的支持能力等。在現(xiàn)代社會(huì),這一類解決方案的價(jià)格和之后的維護(hù)成本會(huì)有很大的區(qū)別。不過,穩(wěn)定的DLP依然是一個(gè)值得進(jìn)行的安全投入,因?yàn)樗軌蚪鉀Q多種不同的安全問題。
因GDPR產(chǎn)生的罰單越來越多,企業(yè)對(duì)于數(shù)據(jù)防泄漏的重視迫在眉睫。但是具體DLP需要做什么,如何根據(jù)自身的環(huán)境選擇適合的DLP解決方案卻是一個(gè)問題。市面上不同的DLP廠商很多,宣傳內(nèi)容方面很多也同出一轍,但是其基于的技術(shù)模式、部署情況等卻大相徑庭。企業(yè)在選購DLP解決方案的時(shí)候,不僅僅需要關(guān)注于DLP“能做什么”,更要關(guān)注DLP“如何做到”。
來源:數(shù)世咨詢