数据外泄防护　逼使黑客内贼败兴而归

随着恶意攻击不断推陈出新，使得数据外泄风险节节攀高，导致企业必须持续研究、评估或采用新式防御工具。ThreatTrack Security

不可讳言，数据外泄防护是一个长期奋战的历程，企业欲求100%保证机敏数据绝不外泄，着实不易，但起码得借助必要的辅助工具，设下关键的过滤与稽核关卡，不让有心人士轻易得手；因此企业不仅需评估导入DLP，亦应连同其余配套工具一并纳入考量。

正所谓「工欲善其事、必先利其器」，企业意欲防止数据外泄，单凭防毒软件、VPN、防火墙、入侵侦测系统抑或垃圾邮件过滤系统等现有网安防护方案，显然有所不足，必须在这些基础防御工事，对症下药部署其他专属产品，方可望筑起强大保护伞。

何以既有防护措施，不足以全然防范数据外泄，大致理由有二，其一，对于黑客而言，潜入企业核心系统以盗取机密数据，目的绝不在于炫技、而是牟利，既然利之所趋，自然得想方设法增加成功机率，回避一干现有防护系统的侦测，已属必要之恶，令企业防不胜防。

其二，根据网安厂商统计，综观近几年全球数据外泄事件，元凶为外部黑客者，其实占比不到三成，另高达七成以上，系来自企业合法授权的内部使用者，可通称为「内贼」，不管他们是无心疏失、或是早有预谋，传统工具对此可说束手无策，即便是看似严密的数据加密方案，亦属无解。

建立DLP防线　力阻机密数据外流

那麽，企业为了强化数据外泄防护，理当部署哪些产品？顾名思义，产品名称即为数据外泄防护的DLP，显然即是值得企业评估采用的重要标的之一；就基本的技术原理而论，DLP主要是透过格式比对、关键字过滤、特徵识别等必要手段，详加检查档案数据有否亟需受保护的机密，一经查证确实夹带此类内容，则适时加以拦阻，避免机密外流。

虽然许多产品都可被归类为DLP，但个中仍有型态上的歧异。比方说，依据其部署位置的不同，即可区分为网络型(Network-based)、主机型(Host-based)等产品；前者系布建于网络闸道口，主要是以过滤流量的方式来控管数据外泄，因此任何意图以联网装置夹带出境的机密档案，基本上都难逃法眼，至于主机型DLP，即是针对纳管的个人电脑植入代理程序，可直接从终端拦阻机密数据外传，且论及复制、贴图或打印等数据撷取行为，亦可发挥较为深层的管控力道。

网络型或主机型DLP，各自有何优劣势？就网络型DLP来看，好处在于其多为独立的硬件装置，一般都被架设于防火墙之后，无需针对大量端点布建代理程序，因而相对易于部署，但仍有其缺点，仅能针对连结企业网络的装置才能施以管控，无法阻挡员工以携出笔记本电脑、或复制至U盘等方式偷渡数据出境，且所有数据皆需从端点传送至网络执行过滤，不仅过程缓慢且易造成网络负担，同时也不支持离线运作，无疑只能防得了君子，而防不了处心积虑的小人。

有关主机型DLP，由于需要在每一端点安装代理程序，可以想见，必然徒增IT管理负担，而且每逢端点设备汰换或OS重灌，IT管理者都需重新安装与设定DLP软件，且需要借助必要管控手段，防止员工私自移除代理程序，为缺点所在，但其好处亦至为明显，网络型DLP鞭长莫及的移动装置或离线状态管控，对于主机型DLP都不成问题，控制的细腻度相对较佳。

持平而论，对于企业来说，最理想的DLP部署之道，即是综合布建上述两类型产品，可先导入网络型DLP，待确认其过滤能力并无问题，再选择特定部门，执行主机型DLP的小量测试部署，经确认不会与企业现行应用程序产生冲突，再进行大规模布建；只不过，企业是否应该一并部署两类DLP，仍端视其本身的预算能力，以及防护需求大小而定。

至于符合哪些特质的DLP，才适合企业加以导入？其实其间蕴含颇多考量点，有待企业依据自身防护需求及现有环境因素，才可望精挑细选，但万变不离其宗，依然有几项大原则，必须多加留意。首先务求DLP产品兼监控与防御能力，且拥有较低的漏报率与误报率，详情如何，一切以实际测试见真章；其次，选择的DLP产品需具备集中管理机制，便于IT管理者建立并落实安控政策，并迅速获取相关记录报告；再者，因应法规遵考量，企业往往需要留存特定数据达一定期限，值此时刻，如果DLP产品本身已具备储存与备份功能，即有助于企业省却额外储存开销。

更重要的，则是要求选择的DLP产品，必须适应企业现有的网络或系统架构，不论网络型或主机型DLP，都务必符合此一特质。以网络型产品为例，在部署时无需更动现行网络架构者，理当列为首选，即便需要调整网络架构，也务必搭配Web管理机制，以期简化管理难度，并将停机时间降至最低。

借助新式防御工具　防堵数据外泄漏洞

企业仅需导入DLP，即可确保机密数据万无一失？答案无疑是否定的，只因放眼市场，迄今仍无任何一项产品或技术，就可防止所有数据外泄，因此对于企业的最佳因应策略，实为部署「一组」防护措施，既然是一组，理当并无单押DLP之理。

欲求DLP发挥最大功效，企业必须先行界定机密数据的来源位置与种类，方能产生较为精准的特徵档，俾使DLP提高过滤与识别的精准度，因此需要借助个资盘点工具，通盘掌握个资机敏的流向。曾有业者形容，依单笔个资外泄的500~20,000元求偿金额来看，个资机敏档案之于企业的价值，就如同黄金或钻石般重要，既然是黄金钻石，即无任由四处散落之理，必须严加看管。因此，若说个资盘查是数据外泄防护的第一步，应不为过。

也许有人问，要想盘查个资机敏，可否透过人力来执行？一家拥有20台PC的小企业，其信息主管认为，每台电脑档案为数众多，有些埋藏在深不见底的数据夹路径，因此光是清查一台电脑，恐怕得耗时1~2个月，更何况20台？此一感言，实已道尽个资盘点工具的重要性。

除此之外，举凡监控使用者存取数据库行为的「数据库安全稽核」产品，防止数据经由Web应用程序泄露的「网页应用程序防火墙」(WAF)，避免高权限用户或黑客肉鸡窃取机密的「特权帐户管理」系统，乃至于负责日志管理、实时异常分析的「网安事件管理平台」(SIEM)，种种系统工具，亦有助于在机敏数据之前架起天罗地网，竭尽所能填补信息外泄的破口。 上述防护系统，与诸如防毒软件、防火墙或入侵侦测系统等传统网安产品，本质上看似殊途同归，然深究其运作原理，却有着莫大不同。有业者形容，若将个资机敏比喻为乳酪，网络攻击比喻为老鼠，则传统网安就好比穷追老鼠的猫，如果老鼠速度够快(意指新式进阶攻击)，任凭猫再如何疲于奔命，恐怕也无法扭转乳酪遭窃的命运，然而类似像数据库安全稽核或WAF等防护系统，则采取不同思维，犹如乳酪外围的金钟罩，不管老鼠想从网站应用程序、数据库、档案等不同管道逼近乳酪，最终都将无所遁形、铩羽而归。 当然，近年来「进阶持续性威胁」(APT)跃为最令人闻风丧胆的恶意攻击，只因其不着痕迹进逼企业核心系统，层层防御拿它没辄，故成为数据外泄的一大隐忧；因此即使上述工具悉数到位，都未必能帮助企业有效抗御APT，值此时刻，企业另有必要针对新式的APT防御工具多所评估，深入研究沙箱模拟、端点过滤扫描等相关技术之利弊得失，设法补强这道潜在破口。