觀點

防制企業資料外洩實務方案

2007 / 12 / 17
編輯部
防制企業資料外洩實務方案

客戶資料 外洩最大宗
資料外洩的威脅可以分為內部、外部,其防護方案則分為事前的預防與事發之後的偵測、處理。在這四個象限中,我們根據廠商所提供不同的解決方案加以區隔,哪些是廠商的強項與專精的領域。同時要告訴讀者,資料外洩的管道,不論是透過資訊介面(網路、儲存媒體)或者是實體介面(列印攜出),都需要有效的偵測與稽核機制,才能夠全面建構公司核心資產的保護牆,把競爭力留在企業中,而不是對手的手上!從威脅來源可以區分為內部與外部,內部的行為通常是透過『人』來觸發,而外部則廣泛地定義為公司外、公司網路之外的來源所造成的威脅。因此,在資訊安全強調C.I.A三個構面之中,落到面對各種資料外洩的威脅,可以說是最為複雜與涵蓋層面最廣的挑戰。

根據近一年來的事件統計,外洩資料以客戶資訊佔最大宗,其次為營業秘密和員工資料。外洩的管道包含遺失設備、透過USB、透過網路(web、E-mail、IM)等。各國資料外洩筆數統計如表1所示,而未通報揭露的事件可能比目前已知的數量更多。

資料外洩的「人因」可以分為:一、無心之過,例如:不小心將不該流出的檔案附加在電子郵件中傳出去、壓縮檔案時將不該流出的檔案壓縮進去;二、故意透過變更檔案名稱、副檔名、複製部分資料等方式,透過網路或實體儲存管道將機敏資訊帶出公司。


資料外洩管道花樣多
資料外洩管道大致可分為實體的有形管道與看不見的虛擬管道,有形的方式包括將資料透過媒介攜出,媒介又可以分為電子方式與列印後攜出的方式。無論是有形或無形的資料外洩管道,均會對公司造成一定的傷害與衝擊。不同的方式其「犯罪成本」與防禦、偵測的成本是不同的,通常成本越高的外洩管道出事的機會相對會比較小,而企業在高度資訊化之下,低成本低門檻的資料外洩方式已經是不可以忽視的問題。

虛擬管道藏著有形的危機

根據Gartnet的統計,每400封電子郵件中就有一封含有機敏資訊。而每50個放在網路上的檔案,就有一個是「不該」被公開的,更有高達75%的公司智慧財產都可以在往來的E-Mail中找到。透過網路傳輸的資料外洩可能途徑包含:E-MAIL、網頁上傳、FTP、即時通訊、P2P等。

有形管道下的無形資料外洩

根據ICM的研究報告指出,白領工作者平均每週處理11份機敏的營業文件。39%的工作者曾經將客戶資料寄出公司。52%的員工會在離職時將工作資料帶走。同時,86%的員工承認習慣性轉寄郵件給不相干的人,26%的員工會使用免費的網頁信箱寄送工作資料,26%的員工每天都要用到USB隨身碟。

許多工作者每天都帶在身上的USB隨身碟、MP3隨身聽、數位相機與手機裡面的記憶卡,雖然是透過有形的管道攜出資料,但是往往最容易被忽略。第一、規避掉透過網路傳輸時可能會被偵測或是留下記錄;第二、現在儲存容量已經將過去無法想像的容量,集縮到如指甲般大小的空間,不容易被實體安全檢查人員發現。對企業而言可以說是最高風險的管道。

一般來說,正常管道下的媒體遺失:包括員工正常攜出的筆記型電腦、外送出去的磁帶、送維修的硬碟等。其他還有實體網路與無線網路的存取、印表機埠與RS232、藍芽、紅外線及各種可移除式的USB(removable storage device)儲存媒體等。

還有一項被使用者所疏忽的管道,即印表機。近年透過技術改良、印表機早已跳脫單純的列印功能。因應辦公室文件作業需要、目前企業用印表機大都同時具備掃描、傳真、複印等功能。機密文件被非法取用方式,不外透過列印出的資料被竊取、經由掃描後寄出Scan to Email)功能將機密文件經由email傳遞出去、複製機密文件、盜取印表機硬碟、或是直接聯結至印表機硬碟竊取資料。

而這些不同形式的文件複製與傳遞、事實上都必需有安全功能,才能保護文件不被非法應用。



內容安全管理發展歷程
企業內容安全管理發展的歷程,從早期的監控網路流量與LOG記錄,因為IT環境的發展因應產生「網路內容過濾與阻擋」以及產品化的「郵件內容過濾」、「傳輸內容過濾」等關鍵字與正規表示法的內容安全管理,但是隨著資安威脅內化,各種不同的資安手法與傳輸媒介的成熟,安裝於用戶端的資料安全防禦與控管方案因此成為新一代防制資料外洩的殺手級應用。

傳統過濾關鍵字的方式容易產生誤判或錯放的狀況,而且無法涵蓋所有通訊管道,因此,目前廠商所提出的方案,將焦點拉回資料本身的管控,將分級與權限管理甚至是加密,直接套在資料檔案上,這樣不管資料是透過何種管道傳輸,都脫離不了掌控。



防制資料外洩的實務作法
正如前述,防制資料外洩是企業要面對的極大挑戰。除了要管理經營階層體會到機敏資料對於企業競爭力的衝擊之外,尚需其有力的政策支持。透過政策及教育員工或簽訂書面條款,達到心理層面的嚇阻作用,身為資訊與資安主管,更要全盤瞭解各種威脅、風險與管道才能擬出適合企業的資料外洩防制方案,才能全方位、有方向有作法的逐步落實。

實務作法包含最基本的資產鑑別、系統與應用程式分級與設定資料標籤(類型、內容、位置),其次建立公司對於資料外洩防護的架構與規則,包含監控的原則、預防與應變的程序等。對資料加以分級,找出(Discover)哪些資料是公司營運的核心資產?像是個人身分資料、營業秘密、財務資料、原始碼、策略計畫、客戶資料、產品設計、資料庫等。要配合公司營運階層及業務單位來定義,在工作流程中會產生出哪些資料,存放在何處,其存取權限的定義表(Access Control Matrix)。再根據其要價值與等級該採用何種保護機制,以及何時套用?接著,監控資料出入的可能管道與方法,郵件、列印、FTP、網頁還是P2P?採用哪些保護資料方式:包含發現後阻擋、資料加密、隔離機敏資訊、版權管理等。這些方案必須具備:有效偵測、正確性、資安政策落實檢驗、管理性與報表、維運成本、廠商的支援服務、整合能力等考量。

最後建議您,在選擇解決方案時,可依循三個目標法則:方案本身的涵蓋面最廣;對用戶衝擊最小(不影響現有作業、安全措施的通透性);佈署成本與管理成本低。