数据外泄防护 逼使黑客内贼败兴而归
不可讳言,数据外泄防护是一个长期奋战的历程,企业欲求100%保证机敏数据绝不外泄,着实不易,但起码得借助必要的辅助工具,设下关键的过滤与稽核关卡,不让有心人士轻易得手;因此企业不仅需评估导入DLP,亦应连同其余配套工具一并纳入考量。
正所谓「工欲善其事、必先利其器」,企业意欲防止数据外泄,单凭防毒软件、VPN、防火墙、入侵侦测系统抑或垃圾邮件过滤系统等现有网安防护方案,显然有所不足,必须在这些基础防御工事,对症下药部署其他专属产品,方可望筑起强大保护伞。
何以既有防护措施,不足以全然防范数据外泄,大致理由有二,其一,对于黑客而言,潜入企业核心系统以盗取机密数据,目的绝不在于炫技、而是牟利,既然利之所趋,自然得想方设法增加成功机率,回避一干现有防护系统的侦测,已属必要之恶,令企业防不胜防。
其二,根据网安厂商统计,综观近几年全球数据外泄事件,元凶为外部黑客者,其实占比不到三成,另高达七成以上,系来自企业合法授权的内部使用者,可通称为「内贼」,不管他们是无心疏失、或是早有预谋,传统工具对此可说束手无策,即便是看似严密的数据加密方案,亦属无解。
建立DLP防线 力阻机密数据外流
那麽,企业为了强化数据外泄防护,理当部署哪些产品?顾名思义,产品名称即为数据外泄防护的DLP,显然即是值得企业评估采用的重要标的之一;就基本的技术原理而论,DLP主要是透过格式比对、关键字过滤、特徵识别等必要手段,详加检查档案数据有否亟需受保护的机密,一经查证确实夹带此类内容,则适时加以拦阻,避免机密外流。
虽然许多产品都可被归类为DLP,但个中仍有型态上的歧异。比方说,依据其部署位置的不同,即可区分为网络型(Network-based)、主机型(Host-based)等产品;前者系布建于网络闸道口,主要是以过滤流量的方式来控管数据外泄,因此任何意图以联网装置夹带出境的机密档案,基本上都难逃法眼,至于主机型DLP,即是针对纳管的个人电脑植入代理程序,可直接从终端拦阻机密数据外传,且论及复制、贴图或打印等数据撷取行为,亦可发挥较为深层的管控力道。
网络型或主机型DLP,各自有何优劣势?就网络型DLP来看,好处在于其多为独立的硬件装置,一般都被架设于防火墙之后,无需针对大量端点布建代理程序,因而相对易于部署,但仍有其缺点,仅能针对连结企业网络的装置才能施以管控,无法阻挡员工以携出笔记本电脑、或复制至U盘等方式偷渡数据出境,且所有数据皆需从端点传送至网络执行过滤,不仅过程缓慢且易造成网络负担,同时也不支持离线运作,无疑只能防得了君子,而防不了处心积虑的小人。
有关主机型DLP,由于需要在每一端点安装代理程序,可以想见,必然徒增IT管理负担,而且每逢端点设备汰换或OS重灌,IT管理者都需重新安装与设定DLP软件,且需要借助必要管控手段,防止员工私自移除代理程序,为缺点所在,但其好处亦至为明显,网络型DLP鞭长莫及的移动装置或离线状态管控,对于主机型DLP都不成问题,控制的细腻度相对较佳。
持平而论,对于企业来说,最理想的DLP部署之道,即是综合布建上述两类型产品,可先导入网络型DLP,待确认其过滤能力并无问题,再选择特定部门,执行主机型DLP的小量测试部署,经确认不会与企业现行应用程序产生冲突,再进行大规模布建;只不过,企业是否应该一并部署两类DLP,仍端视其本身的预算能力,以及防护需求大小而定。
至于符合哪些特质的DLP,才适合企业加以导入?其实其间蕴含颇多考量点,有待企业依据自身防护需求及现有环境因素,才可望精挑细选,但万变不离其宗,依然有几项大原则,必须多加留意。首先务求DLP产品兼监控与防御能力,且拥有较低的漏报率与误报率,详情如何,一切以实际测试见真章;其次,选择的DLP产品需具备集中管理机制,便于IT管理者建立并落实安控政策,并迅速获取相关记录报告;再者,因应法规遵考量,企业往往需要留存特定数据达一定期限,值此时刻,如果DLP产品本身已具备储存与备份功能,即有助于企业省却额外储存开销。
更重要的,则是要求选择的DLP产品,必须适应企业现有的网络或系统架构,不论网络型或主机型DLP,都务必符合此一特质。以网络型产品为例,在部署时无需更动现行网络架构者,理当列为首选,即便需要调整网络架构,也务必搭配Web管理机制,以期简化管理难度,并将停机时间降至最低。
借助新式防御工具 防堵数据外泄漏洞
企业仅需导入DLP,即可确保机密数据万无一失?答案无疑是否定的,只因放眼市场,迄今仍无任何一项产品或技术,就可防止所有数据外泄,因此对于企业的最佳因应策略,实为部署「一组」防护措施,既然是一组,理当并无单押DLP之理。
欲求DLP发挥最大功效,企业必须先行界定机密数据的来源位置与种类,方能产生较为精准的特徵档,俾使DLP提高过滤与识别的精准度,因此需要借助个资盘点工具,通盘掌握个资机敏的流向。曾有业者形容,依单笔个资外泄的500~20,000元求偿金额来看,个资机敏档案之于企业的价值,就如同黄金或钻石般重要,既然是黄金钻石,即无任由四处散落之理,必须严加看管。因此,若说个资盘查是数据外泄防护的第一步,应不为过。
也许有人问,要想盘查个资机敏,可否透过人力来执行?一家拥有20台PC的小企业,其信息主管认为,每台电脑档案为数众多,有些埋藏在深不见底的数据夹路径,因此光是清查一台电脑,恐怕得耗时1~2个月,更何况20台?此一感言,实已道尽个资盘点工具的重要性。
除此之外,举凡监控使用者存取数据库行为的「数据库安全稽核」产品,防止数据经由Web应用程序泄露的「网页应用程序防火墙」(WAF),避免高权限用户或黑客肉鸡窃取机密的「特权帐户管理」系统,乃至于负责日志管理、实时异常分析的「网安事件管理平台」(SIEM),种种系统工具,亦有助于在机敏数据之前架起天罗地网,竭尽所能填补信息外泄的破口。 上述防护系统,与诸如防毒软件、防火墙或入侵侦测系统等传统网安产品,本质上看似殊途同归,然深究其运作原理,却有着莫大不同。有业者形容,若将个资机敏比喻为乳酪,网络攻击比喻为老鼠,则传统网安就好比穷追老鼠的猫,如果老鼠速度够快(意指新式进阶攻击),任凭猫再如何疲于奔命,恐怕也无法扭转乳酪遭窃的命运,然而类似像数据库安全稽核或WAF等防护系统,则采取不同思维,犹如乳酪外围的金钟罩,不管老鼠想从网站应用程序、数据库、档案等不同管道逼近乳酪,最终都将无所遁形、铩羽而归。 当然,近年来「进阶持续性威胁」(APT)跃为最令人闻风丧胆的恶意攻击,只因其不着痕迹进逼企业核心系统,层层防御拿它没辄,故成为数据外泄的一大隐忧;因此即使上述工具悉数到位,都未必能帮助企业有效抗御APT,值此时刻,企业另有必要针对新式的APT防御工具多所评估,深入研究沙箱模拟、端点过滤扫描等相关技术之利弊得失,设法补强这道潜在破口。