四大資料應用情境 選擇不同DLP做防護

社會型態改變，駭客獲利方式也跟著轉變。從資訊安全CIA三要素來看，早期的駭客攻擊以破壞可用性(A)為主，應用各種方式癱瘓網路或主機，並藉機向企業勒索，如今則非如此，駭客看中的是企業內部機密資料，可能是客戶個人資料，也可能是產品研發檔案，駭客攻擊影響的是機密性(C)，非法獲利金額更為可觀，這種轉變也影響了企業資安的投資方向，由設備防護走向內容防護，勤業眾信副總經理萬幼筠曾經指出，以前企業重視的是網路安全，現在則開始重視內容防護，如何保護資料、避免外洩？成為企業新的資安投資重點。

目前，市場上具有防制資料外洩功能的解決方案相當多，比較常聽到的就是以內容感知技術為主的DLP(Data Loss Prevention, DLP)，但是DLP一詞不像防毒、防火牆、WAF一樣，專指某一項資安設備，它其實也是一種觀念，任何產品都可能具備DLP功能，因此有不少端點安控軟體、UTM、Web Gateway、加密或DRM等廠商，也都宣稱自己的產品具備DLP功能。為了避免混淆，本文在提到DLP時，指的乃是防制資料外洩的概念，至於市場上常聽到的DLP產品，則以內容感知型DLP謂之。

解決方案無數種 個個都可做到DLP

精品科技技術總監賴頌傑表示，資料防護分為兩個層面，一個是完全不讓資料外流，另一個則是資料加密處理，對應到資安解決方案來看，前者就是DLP，主要是限制檔案的使用與傳輸，包括端點安控軟體、內容感知型DLP、或是具有DLP功能的設備（如：UTM、Web Gateway等）皆屬此類，後者則是資料加密/DRM軟體，則是針對文件本身進行加密處理。

DLP比較：機密資料辨識精確性

傳統用來識別敏感資料的方式為關鍵字、或正規化表列，這兩種作法雖然簡單，但容易出現誤判或是影響系統效能的情況，之後市場上又發展出比較精細的內容感知技術，作為識別敏感資料的依據，相關資訊在《資安人》69期「內容感知的DLP技術探討」一文中有詳細介紹，在此不多做解釋。

目前，端點安控軟體或是具有DLP功能的設備，多半採用關鍵字或正規表列的技術，賽門鐵克大中華區首席安全顧問林育民表示，此與內容感知型DLP的差異主要在於機密檔案的辨識精確度：

第一、容易誤報
關鍵字的判別方式為，檔案中任何一個字詞與關鍵字相符合，就會被列為機密文件。舉例來說，身份證字號的特徵為1個英文字母+9個數字，只要文件中出現符合這個特徵的字串，就會被列為機密文件，但有些時候，符合特徵的字串不一定就是身份證字號，也許只是產品編號而已，當系統無法做更精細的判斷，就容易出現誤判情況。此外，如果DLP產品誤報頻率過高，有些企業因為擔心影響作業效率，甚至引起使用者反彈聲浪，於是把判別規則設得比較寬鬆，反而容易造成資料外洩的漏洞。

第二、無法辨識出經過重新編排的機密文件
關鍵字技術只使用少數幾個關鍵字作為判別依據，如果使用者把文件重新編排，讓系統無法辨識出關鍵字，同樣可以傳送出去，但是內容感知型DLP通常有指紋匹配/相似度匹配的技術，即便使用者重新編排文件，系統仍會與原始文件進行比對，只要相似度達60%，就會被列入機密文件。

DLP比較：資料流完整性

除了辨識精確性外，在資料流完整度上也有所差異。在發生資料外洩事件時，最重要的是回溯追查功能，企業必須檢視以下記錄，避免資料外洩損失再擴大，這些記錄包括：(1)這個檔案平常是誰在看、誰在維護；(2)這個檔案曾經被誰看過；(3)洩密者曾經看過哪些檔案。一般來說，內容感知型DLP可以追蹤出完整資料流，除非故意刪除系統Log，否則企業一定可以查出完整資料。

數位資安總經理蘇隄認為，監控管理機制是內容感知型DLP的最大優勢。由於記錄了完整的資料流向，可用來驗證Policy設定成效，企業在第一次設定Policy時，難免會有與實際狀況不符之處，例如：將非機密性資料列入保護對象，因此必須持續監控系統記錄，累積至少1個月以上的資料量之後，再回頭去檢視資料使用狀況，並據此調整，如此週而復始地循環，才能讓DLP Policy愈來愈貼近實際作業需求。

而端點安控軟體著重在記錄使用者行為，資料流的追蹤比較不完整，至於具有DLP功能的Web Gateway或UTM設備，其管理功能就更為薄弱，通常沒有自動化管理功能，最多只能作到報警，但企業無法知道有誰來處理/通知事件發生。另外，其管控範圍上也比較小，Web Gateway主要針對http、https流量進行分析，UTM也是如此，但部份UTM產品可以管控到FTP、即時通訊、電子郵件的內容，這兩者可說是簡化版DLP產品。

DLP比較：管控範圍與深度

在機密資料辨識精確度及資料完整度上，內容感知型DLP雖然優於端點安控軟體，但在管控範圍上卻略遜一籌。

思訊電腦專案經理陳兆祥表示，內容感知型DLP控管的對象是資料與檔案，至於端點安控軟體則是使用者行為管理，不僅可以管理使用者對檔案的複製、編輯、列印、儲存，還包括其他電腦使用行為，例如：網路或即時通訊軟體的使用、對硬碟＼網路芳鄰＼光碟燒錄的防護機制，也因此，企業可以從端點安控軟體的報表中，去評估部門績效、員工生產力、員工使用電腦的狀況（如：XX員工30%的時間在工作，70%的時間在做私人事情），以及有無資料外洩事件。

倘若進一步與端點型內容感知DLP做比較，其差異在於單一項目的管控深度。賴頌傑指出，端點安控軟體的USB管控有7~8種不同模式，包括：可讀取不能寫入資料、可以寫入資料但必須加密、可以寫入資料但要經過主管審核等等。另外，端點型內容感知DLP目前多為國外廠商的天下，國外廠商在開發軟體時比較不會重視自身防護，但是台灣廠商在開發軟體時，會設法讓軟體隱藏起來，避免被使用者破壞或移除，這是受到民族性影響所造成的差異。

加密與DRM

在資料加密處理上，企業可以選擇的是加密或DRM產品。優碩資訊產品經理陳品翰指出，DRM主要是管控行為模式，也就是使用者對檔案的複製、列印、修改等行為，管理者可以知道使用者開了幾次檔案、開啟時間、用哪台PC開啟檔案等資訊，至於加密產品則是對內容做加密，其目的就是防止機密資料外流，即便資料不慎外洩時也無法得知檔案內容，有些DRM產品會結合加密技術，不僅可以為檔案加密，也可以管控「加密檔案」開啟後的行為，避免有權限的人有意洩露資料，雖然沒有辦法做到百分之百防堵，但其導入過程比內容感知型DLP簡單許多。

林育民表示，導入加密產品的好處有二個，一是降低資料在外遺失的風險，對於經常應用USB/NB攜出資料的企業而言，加密產品可以做有效管控，二是降低資料傳輸或儲存時的外洩風險，即便資料在Mail Server 或傳輸過程中被竊走，企業也不必擔心資料外流。

但缺點是必須要有人或程式去加密，這二種作法都各有盲點。由人去判斷此份文件是否需要加密，這會受到個人主觀認知的影響，每個人對機密文件的認知不完全相同，若由應用程式類型或文件類型，作為是否要加密的依據，則會產生另外一個盲點，就是如果有人照著文件內容重新登打一遍，並儲存成沒有被規範的文件格式，或貼在沒有被規範的應用程裡中，如：Webmail、即時通訊軟體，加密程式就管控不到，此時最好能搭配DLP，強化防制資料外洩的功能，因為DLP是針對資料內容做分析，只要是機密性內容，系統就偵測得出來。

如何選擇DLP解決方案

面對市場上林林總總的資料外洩防護設備，企業該如何選擇？最簡單的做法就是從預算來評估，在小型或資料比較不敏感的環境，例如：員工數只有10~20人，管理手段不必太複雜，導入端點安控軟體即可，但中大型環境或資料比較敏感的環境，例如：研發、財務分析、稽核、帳務等資料，又或者是需要追蹤出完整資料流的環境，例如：國防等，最好採用內容感知型DLP。

從應用環境來評估

此外，林育民建議可以從應用環境來選擇（表1）。

表1 不同應用環境的DLP選擇方式

製表：資安人 2011/3/16

第一、 嚴密控管環境 VS. 文件加密

對於工作環境設有嚴格管控措施的企業，例如：不淮訪客攜帶USB、手機或NB進入，最常見的就是科學園區，此類應用環境的特色是外界溝通比較少，機密資料不容易被複製、攜出，但合法使用者攜出資料的風險很高，例如：設備遺失等狀況，此時需要的是文件加密產品，以免資料外洩。

陳品翰進一步補充，企業如果有累積多年、不常異動的文件資料，也適合使用文件加密產品，以免使用者藉離職機會一併攜出資料。

第二、 資料頻繁交換 VS. 內容感知型DLP

在交換頻繁、資料經常在不同部門或不同合作夥伴間流動的環境下，若要防止資料外洩，比較適合使用的解決方案為內容感知型DLP，因為內容感知型DLP是針對內容去分析，進而判斷此文件是否為機密資料，避免員工人為疏失而洩露資料的風險。

不過，台灣微軟系統管理技術經理簡志偉對此則有不同看法，他指出在資料交換頻繁的環境下，應該使用文件加密或DRM的解決方案，內容感知型DLP會影響作業效率，對此，林育民認為，影響作業效率指的應該是以下兩種情況：第一、系統過濾速度太慢、文件送出太慢；第二、誤報頻率過高、需要配合人為檢查才能放行，就目前的內容過濾技術來看，這兩種都不是問題，前者只要擴充系統容量就可以，後者則是選擇辨識精確較高的產品即可。

其實，企業也可以視資料交換的對象來選擇解決方案，如果是在內部不同部門間流動，可以選擇內容感知型DLP，但若是外部交換，亦即與合作夥伴或上下游廠商交換資料，則使用加密或DRM的產品較為恰當。

第三、 文件版本多 VS. DRM

如果文件本身有比較強的版本控制需求，且在文件產生的當下就要做加密，例如：公文、研發資料、教材等，就適合使用DRM解決方案，讓使用者在被規範的環境裡閱讀，比較不適用加密產品，第一個原因是使用者只要握有解密的Key，在企業外部也能閱讀，二來是萬一使用者在傳送過程中輸入錯誤的收件者，即便是加密之後再傳，結果同樣是傳出去了。