資料外洩防護是一個從實體文書時代及環境,一直到當前行動化、虛擬化與雲端化時代一直存在且不斷演繹更新的重大議題。隨著大環境的改變,加上各種推陳出新技術的推波助瀾,使得資訊安全不論攻與防都出現了極大的變動。其中個資法的全面實施更刺激了全新資安意識、資安策略、資安投資與資安產業的發展。
在個資法實施屆滿兩年的當下,讓我們一同檢視當前企業在因應資料外洩上在觀念、做法及政策方面的改變,以及最新資料外洩防護技術與方案在實際部署與成效上的狀況。資料外洩對企業而言是個從未消失的重大威脅,不僅如此,過去舊有的外洩手法與管道不僅不會消失,全新攻擊方式、來源及管道卻不斷推陳出新。再加上行動化與雲端運算的興起,不但讓攻擊端的管道變多,防護端的戰線拉大,更使得擁有合法權限的企業內賊獲得更多可趁之機。面對此一困境,企業又該如何有效回應?
對此,本文特別邀約14位來自不同專業領域的資料外洩防護專家,為讀者們忠實呈現其在自身領域中觀察到企業因應資料外洩的實際現況,同時就當前企業所遇真實問題提出最佳建議解決之道。
雲端與行動趨勢加大資安防線與困難
面對內外交迫的資料外洩攻擊與風險,當前企業普遍遇到最棘手的難題,莫過於資料外洩的管道太過繁雜多元,以致預算有限的企業心生無從防起之嘆的念頭。Cellopoint 行銷業務總監王彥雄指出,尤其當前由內而外的資料外洩管道多不勝數,舉凡電子郵件、即時通訊、Line或WeChat莫不可以夾檔而出,益使當前企業面臨嚴峻考驗與挑戰。
隨著網路基本頻寬的增加,以及隨身碟、Web Mail與網路硬碟儲存空間的愈來愈大,即使再多、再大的敏感性資料也可方便迅速地被有心員工外洩而出,對此,精品科技行銷企劃經理劉新玫表示,企業若沒有完善的日誌追蹤與稽核機制,將無法追查出洩密的人員及始末,勢必造成企業莫大損失。她同時強調,雲端運算的興起與手持裝置的大行其道,更讓資安管理難上加難,因為許多雲端應用與行動App可以不落地將資料儲存在雲端上。
TrustView優碩資訊科技總經理黃祖仁也持同樣的看法指出,許多企業及政府公部門為了樽節成本,紛紛採用雲端運算及Google Drive、Dropbox等雲端儲存服務,如今這類服務莫不強調可以同時在PC、筆電、智慧型手機或平板電腦之間進行文件資料的同步與分享,雖然極其方便且效率十足,但也成為讓資料外洩問題愈益嚴重的溫床。前陣子iCloud雲端出包導致百位女星自拍裸照外洩的事件,就是這類服務存在極大風險的寫照。
正因為外洩管道百百種,所以一個完備的資料外洩防護機制必須分別部署在網路閘道端、郵件端、Web端、端點設備與資料庫端等各個面向;再就資料外洩防護涉及的產品類型來說,就包括DLP、IDM、NAC、DRM、SIEM、檔案/系統加密、SSL Proxy、SWG、郵件加密/歸檔/稽核、資料庫加密/稽核、網路行為監控、APT防護專屬設備、MDM/MAM…等。光DLP本身,就有Web DLP、Mail DLP、Network DLP及Endpoint DLP等分別。也因為如此,王彥雄表示,企業想要建置完善的資料外洩防護陣線,勢必需要投資非常可觀的軟硬體成本與人力資源,但即使預算充足,再加上良好內控與完善政策,恐怕仍無法100%杜絕資料外洩的可能性。
不過可以確定的是,因應當前資料外洩威脅與風險,單一解決方案恐怕很難發揮良好的外洩防護作用。針對這點,Blue Coat台灣區技術總監曾良駿指出,當前有愈來愈多內部及外部的網路罪犯,會透過SSL連線加密來規避偵測並散布惡意程式。例如當前駭客會在「命令與控制」(Command & Control)伺服器及被植入惡意程式的受害電腦之間,建立SSL加密通道,進而將下達的指令,乃至資料竊取或其他攻擊的意圖及行為隱藏起來。
看樣子,除了上述問題必須另行搭配SSL Proxy,來加強既有資料外洩方案檢測SSL加密內容的能力外,或許搭配不同資料外洩的組合性方案才是降低敏感資料洩漏風險的最佳解決之道,至於如何搭配,則全視企業預算、需求及實際狀況而定。
個資法帶動資安意識 企業紛紛重點式切入
隨著個資法的全面實施,除了讓過去不受企業重視的個人敏感性資料,能正式納入企業資安防護的範疇之內,同時喚起業界普遍性的資安意識,進而帶動企業不論在觀念、策略、措施、宣導,乃至防護深度與廣度上都有了諸多改善與提升。
台灣佳能資訊系統支援主任李紹褀持肯定態度指出,個資法實施兩年來,客戶從被動地接收資安訊息,轉而主動詢問資安設備的比例確實有提高,這點可從許多客戶希望多功能複合機設備上,能有更安全、更機密的文件輸出流程與管理機制的要求而看出。
另外,Websense台灣區資深經理郭逸群也認同地指出,當前企業對於個資保護的認知比起法條通過前,已有顯著提升。其中,資安意識提升的不僅止於IT部門,即使營業單位的使用者也了解到個資法規遵循的重要,例如會在蒐集個資時請求客戶簽署同意書等等。
不過,王彥雄與劉新玫卻持相反意見,其中王彥雄認為,當前一些產業,尤以傳統產業為然,多半會將資料外洩防護方案視為非必要採購項目,並且會以同業出現資安外洩問題或導入狀況做為建置與否的評估依據。
劉新玫首先就法規執行落實面指出,由於當前仍未有因違反個資法而遭處罰的大型或受關注實例,許多企業因而仍持觀望態度,致使個資法帶動效益仍不明顯。再就落實導入層面來看,許多企業會對整體資安做全盤性的評估,個資法只是其中選項,即使有意進行相關投資的企業,也多以漸近逐步的導入方式來應對。
再就資料外洩防護的重點來說,Openfind網擎資訊軟體產品經理郭欣羽就其所觀察的現況指出,一般企業一開始最先關注的防護重點會放在人資、行銷及會計等部門,這是因為這些部門在業務職掌上最可能涉及到大量企業員工及客戶個資。
隨著企業及政府機關在協同分享上的習性及需求改變後,資料保護的重點也隨之改變。黃祖仁指出,如今資料保護範圍已從文件檔案,擴大及於Web應用系統與原始程式碼上,進而打造出更安全無虞的Web應用協同與檔案分享環境。
接下來,在面對種類繁雜的各式資料外洩方案,當前企業的採購與部署策略又如何呢?其中頗為有趣的是中華數位科技產品策略處行銷部陳珮宜所觀察到的狀況,她表示,儘管當前企業因應個資法會對各式資安產品及工具進行評估,但最終仍會以法規遵循的投資報酬率與成本效益,而選擇沿用既有且熟悉的設備來進行個資安全防護。
由外而內 + 從單一到整合 + 從閘道到端點
揆諸當前資料外洩防護方案,陳珮宜表示,目前各產業最普遍常用安全方案莫過於郵件稽核工具,其中尤以金融業及服務業為然,這是因為其已成為企業內控內稽、資料外洩與法規遵循上最熟悉、信賴的解決方案,企業可在相對較低的人力與成本下,達到杜絕資料外洩與個資法規遵循的要求。
「兩年以來,因應個資法的企業將大部分的經費、資源及人力投諸在顧問服務與資料保護制度流程的建立上,至於防護措施的部署上所投資源相對較少,」叡廷公司產品經理唐培毅表示。他進一步檢討指出,過去企業初期多半採用網路行為側錄、URL過濾與USB埠封鎖等措施,比較是屬於全都錄、全都擋的傳統作法,姑且不論安全效益如何,但往往造成資料正常使用的不便。如今企業則開始尋求具備真正資料感知能力的解決方案,如此才是兼具安全性、方便性與管理性的資安防護之道。
「除了原本個資盤點外,當前企業並會對使用者存取行為進行側錄,同時透過檔案加密方案,對個資進行加密保護,」以柔資訊技術長許瑞愷觀察指出:「尤其在檔案加密上,會兼顧個資加密的安全性,以及非個資檔案使用上的方便性。」
至於黃祖仁所觀察到的則是從外部防禦而漸趨內部安控的趨勢,他指出,隨著企業及政府逐漸重視資料外洩防護後,整個防護重點與方案取向,也從一開始只以加解密機制來因應外部威脅的做法,逐步藉由權限控管機制來防止內部有心員工非法竊取機密的行為
發現企業從單一走向整合式解決方案趨勢的Sophos技術經理詹鴻基認為,以往企業會擔心投資方向錯誤,所以做法保守而較偏向單一特定的解決方案,例如DLP、加密或軌跡紀錄管理等。如今開始著重不同解決方案的相互搭配。就以郵件個資保護來說,多半會先從郵件歸檔開始,之後再逐步新增Email DLP與郵件加密機制。
郭逸群則看到當前企業會採行循序漸近地的部署策略,亦即從部署閘道端的DLP解決方案開始,等到有成效出現後,IT部門會再爭取預算將防護範圍擴大到端點。
不同產業做法大不同
但不論是個資法推行前後,不同產業會因自身特性、需求及預算上的差異,在資料外洩防護方案的導入重點與積極性上也會有很大差別。台灣信威科技總經理李東耀表示,由於高科技產業,並沒有直接擁有終端消費者的資料,所以其保護重點會放在商業機密上而非個人隱私。至於金融、電信等產業因擁有大量消費者個資,決策者難免會擔心若有任何疏忽恐將引發巨大的法律與賠償風險,自然會比其他產業更積極地導入資料外洩與法規遵循相關方案。
王彥雄也認為,金融保險業、電信業與電子商務業者,因行業特性,成為當前導入與執行較徹底的行業;至於學校與政府單位,則因預算編列考量,會依法採購與部署;再就製造業與流通業等傳統產業來說,全視產業景氣循環下所編列的預算而定,所以通常資料外洩相關方案會列為非必要採購項目。
針對當前不同產業的資料外洩防護重點,郭欣羽就其對郵件安全產業實施狀況的觀查指出,金融業普遍側重客戶個資稽核,國貿業者則重視防止跨國詐騙議題,至於製造業會將研發資料及上下游交易訂單列為最高機密。
資安意識、態度、做法及策略大躍進
整體來說,儘管不同產業在資安政策上就不盡相同,但相對於兩年前新版個資法尚未上路前,即使做法較保守的企業,不論在心態、做法、部署、策略等層面上皆有很大不同。對此Symantec台灣賽門鐵克首席技術顧問張士龍觀察指出,經過這兩年來的洗禮,企業漸漸以個資保護為中心,向外擴展企業整體資訊安全架構。同時,做法上也從交差了事的消極心態,而轉變成錙銖必較的極積態度。至於部署上則由局部部署改變成全公司建置;資安政策也由主動封鎖取代原先的被動監控。
經過兩年摸索,在企業主與多數員工開始漸有個資隱私保護觀念下,李東耀表示,企業在做法上會透過「控管政策」來設定,在部署上則會尋求方便與安全兩大需求的折衷點。至於策略面,不同行業會將本身真正被視為重要的資料列為最優先保護對象。
同樣認同安全與方便必須兼顧的許瑞愷表示,除了確保機密文件保護,並顧及不同使用單位的方便性外,資安機制也要符合支援多種檔案類型,並能與既有系統相整合的要求,而且保護措施必須延伸及於外部人員才行。
對於NetIQ台灣區產品技術經理李民偉來說,經過兩年的觀察則看到當前企業是以從網路到內容、從閘道到端點,以及從外部到內部的趨勢演進。進一步而言,以往企業最大威脅來自於各類型網路攻擊,如今則轉變成以內容為主的各式複雜攻擊手法。其次是企業部署重點,漸從閘道端或伺服器端,移轉到與使用者日常作業有關的各類型端點上。至於防護重心,過去針對的是外部刺探與攻擊,當前則積極地全面加強內稽內控的能力。
Coming Soon ~ [ 資料外洩防護 2大面向、9大建議 14位資安專家分享 ]