觀點

防制資料外洩評估實務3步驟

2009 / 01 / 13
iseditor
防制資料外洩評估實務3步驟
防制資料外洩已成為市場詢問度極高的資安解決方案,但在產品評選前,先做好自我檢視,才是導入成功的第一步。

在要開始找供應商進行評選之前,請確保如下工作,包括文件、政策都已經備妥,別以為有解決方案能全自動包辦。

第1步:文件分類
一定要先做文件分類,如果文件沒有分類,系統也不知道要保護哪些類型的資料,分類的方式依照不同的企業營運型態而有所不同。最理想的狀態下,企業應該有自己的檔案伺服器,或者稱之為文件庫,依照不同的文件機敏程度而給予不同的分類。當然,也可以做所有文件的控管,就是不分黑白藍綠,通通管制,有些偏設計研發的單位會有特定的檔案類型,因此,就認為只要管制特定類型檔案即可,如果被改檔案名稱、壓縮加密或者使用資訊隱藏的方式偷渡,可能就會成為新的漏洞。文件做好分類並且落實執行本身被認為是一個知易行難的事情,但是經過現在IT產品的加持下,強制執行絕非難事。

第2步:訂定存取權限管制
文件存取管制,公司把文件都分類存放在檔案伺服器之後,想必會同時將權限管理同時執行,誰可以創造文件、誰可以存放到檔案夾、誰可以開啟、誰可以修改或刪除,都必須要有相對應的權限,一般而言都是對應到公司部門的職務職權與業務需求。重點在於,所有文件存取的過程都必須要能夠產生稽核記錄(Access Log)方可真正發揮效用。
這兩步驟做完,或是規劃完,我們就可以來談談如何防制資料外洩(DLP, Data Loss Prevention),防制資料外洩的2個重點在於資料外洩管道及資料外洩手法的防堵。
企業在規劃防制資料外洩時必須先想清楚的一些項目,哪些面向要顧到,才能夠提出完整的資料外洩防護機制,不會讓IT方案走IT的路,或者忽略了任一個面向,外洩問題依舊出現。

第3步:從風險分析角度來評估DLP
有了完整的資料外洩防範政策之後,要如何評估DLP方案的功能需求呢?這邊提供最簡單的需求與風險分析表,不同的方案對應到企業可能要面對的議題上,會有不同的優先需求程度,當然你還是必須了解該方案在個別功能上的效能,是否能夠符合企業表列的需求,將這些分數加總之後,就可以看出企業有哪些方案可選。然而,包含其他整合、價格與服務,則是其他必要的考量條件。
防制資料外洩解決方案五花八門,有沒有一勞永逸的解決辦法呢?如果從資料本身來看,資料加密基本上算是根本之道,但是他的困難點在於加密金鑰或密碼的管理機制,以及如何確保該加密的資料是確實被加密的。再者,就是落實管理辦法,以對使用者產生威嚇的作用。最後必須知道,資料永遠會有外洩的可能。所以,一個重視商譽與管理機制的企業,必須有一套相對應的資料外洩危機處理方案,包括如何偵測、追蹤外洩資料的發生,這就是另外一個未來的發展考量方向,也是一個企業善盡資料安全與客戶權益確保的必要作為。

資料外洩保護停看聽
2007年CISO SURVEY年度調查報告指出,「資料保護」已是全球資安長公認最重要的議題。在資料外洩事件不斷增加的趨勢中,企業應該觀察這些受害案件,時時檢視所處的企業環境是否也可能遭受到同樣的威脅,企業因資料外洩事件所付出的平均成本更高達630萬美元。
邁克菲認為要防止資料外洩,需從改善資料的可見度和對資料的控制力開始,即使已被改變的資料,也要在外洩前就加以阻止。可以透過以下資料保護技術來實現:

1.監控各種通信與傳輸管道
控制使用者透過各種方式,如電子郵件、Webmail、P2P應用程式、IM、Skype、HTTP、HTTPS、 FTP、Wi-Fi、USB、CD、DVD、印表機、傳真與移除式儲存裝置,在網路上傳送、存取、列印與儲存機密資料。阻止會竊取員工憑證的木馬程式、蠕蟲、檔案分享應用程式,避免機密資料遺失,即使資料已修改、複製、張貼、壓縮或加密,仍可保護所有的資料,且不會中斷正當的日常作業。
強制選項應有:
? 監控 – 允許資料傳輸
? 防止 – 阻止資料傳輸
? 警示 – 通知管理人員與使用者
? 加密 – 確保資料在加密後才能夠傳輸
? 隔離 – 等待驗證
2.全面加密防護
自動加密整個裝置(如硬碟),而不需要使用者介入或受過訓練,或是影響系統資源,可有效防止裝置失竊或遺失時,確保該裝置的機密資料受到加密,不致外流。
檔案與資料夾加密,透過自動新增會與被保護的檔案一起傳輸的檔案標題,確保檔案不使用時仍能永遠保持加密,無論檔案與資料夾儲存於何處,是在本機硬碟、檔案伺服器、移除式裝置,甚至是電子郵件附件中,檔案與資料夾都能受到嚴密的加密保護,未經授權的人無法存取該檔案。
3.企業級管理及稽核回報
使用強大的中央管理平台,能根據詳細的內容來指定對未經授權存取機密資料的篩選、監控和封鎖行為:
? 管理全磁碟、檔案和資料夾加密功能,控制政策和管理修補程式,復原遺失的金鑰,呈現有無遵循政策。
? 使用Active Directory、Novell NDS、PKI 等來同步安全政策。
? 透過廣大的稽核功能來確認裝置已加密。
? 記錄資料交易,記錄如寄件者、收件者、時間戳記、資料證明、上次成功登入日期與時間、上次收到更新的日期與時間,以及加密是否成功等資訊。

此外在邁克菲Avert Labs最新出刊名為「一個網路,多個世界」的第3期Sage研究報告裡,檢驗了全球惡意程式的趨勢,也發現在日本地區,發生多起透過P2P網路應用程式-Winny,夾帶惡意軟體,造成大量用戶資料外洩的案例,更應證了資料外洩隨處可見的嚴重性。


DLP