觀點

防制資料外洩大評比

2009 / 01 / 14
iseditor
防制資料外洩大評比

遺失機敏資料將會損害您公司的商譽以及個人的工作。DLP工具可以減少事件的發生並且深入了解資料被存放於何處。

我們最害怕接到以下狀況的電話。
星期天早上9點鐘電話響起。您是中型零售商的資訊安全長,而且不常在週末的時候接到來自公司的電話。在接起電話後的30秒,您就了解到,不是工作要丟了就是這個週末泡湯了。某一位客戶服務經理在將存有上一季客戶資料的試算表檔案寄到自己個人Gmail信箱以便在週末進行工作的時候,不小心的將這份資料傳送了給聯絡清單上的外部人員。更糟的是,這份檔案還包含了客戶完整的信用卡號以及驗證碼。
壞消息只有這樣而已嗎?您最近才在您的支付卡產業資料安全標準(Payment Card Industry Data Security Standard)稽核報告上簽名並聲稱不會使用非加密的格式來儲存信用卡號碼。但是沒有人告訴您,每天晚上資料庫進行客戶行為相關查詢的時候是使用信用卡號來當成主鍵。您的外部稽核已經被安排在下個月來進行,卻在這個最糟的時刻才發生這樣的意外。而且您還無法辯稱是邪惡的駭客造成的。

當我們的敏感性資料面臨著主管機關稽核人員與企業夥伴越來越嚴格的安全要求,資料保護也成為每日工作中越來越重要的角色。資料保護不再只是關於如何讓壞份子遠離我們的資料。企業被期望要對資料的處理負起責任,這個責任也經常會被規定在合約或法律要求中。然而大部分的組織對於它們的敏感資料存在於哪裡是沒有概念的,更不會在意這些資料實際上是如何被使用。
在過去這5年間,出現了一個新類型的工具來解決這個問題。防制資料外洩(DLP, Data Loss Prevention)產品,協助各家公司去了解它們的敏感資料存放的位置、資料的移動位置以及資料是如何被使用的,而且有時候還可以用以實行保護政策。這個技術可能無法用來永遠的阻止邪惡的駭客,但是卻可以針對內部錯誤以及符合成本效益的管理遵循上提供大量的協助來保護企業。

了解敏感資料存在於何處,可以保護組織還可以縮短稽核的時間和成本;一家公司可以提供證明,說明它們的資料是被妥善的安全保護著並且展示即時的各項控制來偵測違反政策的行為。透過大量詳細的檢視資料是如何在內部與外部進行溝通,組織可以辨識出那些具有風險的企業程序--就像是上述資料庫每夜的轉儲與個人電子郵件帳號的使用。它還能夠獲得預防事故與消弭不良習慣的能力,像是USB裝置的不當使用。DLP不只能夠讓你滿足法規遵循,還能夠帶來風險的降低並強制檢視並降低潛在的稽核成本。

然而DLP工具對於組織降低敏感資訊被不當揭露有著明顯的潛在作用,這些工具比起目前市場中其他過於誇大的或者是難懂的安全技術還來得有用。花時間去了解這項技術的各個組織,會定義出組織的程序並且設定適當的預期,最後將會在DLP投資上取得明顯的收益。可是那些只是將產品購入卻沒有良好使用的組織,或者是設定太高期望的組織將會被這些工具給煩死。

定義DLP
DLP只是這個市場中許多名稱中的一個;其他的名稱有資訊洩漏預防(information leak prevention)以及內容監視與過濾(content monitoring and filtering)。為了避免未來有更複雜的名稱,這裏使用防制資料外洩這個通用的名稱來涵蓋各種資料保護技術;從加解密工具到連接埠阻擋(port-blocking)工具的各種技術都包含在多采多姿的DLP範圍中。不過早期的工具大都是專注於預防網路上的資料洩漏,但是這個市場已經快速的改變發展出強健的解決方案來保護網路中、儲存媒體中以及在桌面環境中被使用的資料,而所有的保護都是依靠深入的資料內容檢視與分析。
因此,DLP是套用在中央政策上負責辨識、監視與保護靜態資料的產品分類。其它定義的特色有:

-覆蓋跨多個平台與場所的大量資料內容
-中央政策管理
-健全的事件處理工作流程

了解DLP解決方案,對於降低意外資訊揭露或經由不良企業流程的資料洩漏風險有顯著的作用,可是卻是幾乎沒有能力對抗惡意攻擊是很重要的。一個聰明的內部或外部攻擊者可以很簡單的躲避過大部分的DLP工具,不過資訊意外揭露的風險通常是大於被惡意攻擊的風險。

DLP 初體驗
在聯繫DLP廠商之前要先設定您的期望目標並且決定哪些資料需要被保護以及如何進行保護。將安全、通訊、桌面管理、網路、人力資源與法律相關的利益關係者聚集起來組成一個專案團隊,並且定義出包含資料內容與強制行動的保護目標。當您在設定期望目標的時候,專案中有受過教育了解DLP限制的成員存在,可以有助於避免發生發展上的脫軌。
這些保護目標可以用來協助決定需要哪些功能。它們將會建立出內容分析技術、涵蓋範圍(網路/儲存媒體/終端點)、基礎建設整合、工作流程的需求以及實施要求。您可以決定出您是需要全套(Full-suite)的解決方案、專門的DLP解決方案還是只需要現有產品中的DLP功能。然後轉換這些需求成公開徵求資訊書(RFI)或者寫成公開徵求建議書(RFP)並且開始連絡廠商。
大部分的組織指出內容分析技術、架構、基礎建設整合以及工作流是選擇產品時的首要考量。

最佳案例
資料內容探索協助信用合作社完成PCI.

由於可以最快速的部署並辨識出風險,大部分的組織都是從網路資料遺失預防做起。但是從遵循的觀點來看,針對靜態資料(data at rest)的DLP-或者是資料內容探索(content discovery)能夠帶來更多的價值,因為它能協助快速的找出違反政策的被儲藏資料,而這對支付卡產業資料安全標準(PCI DSS)來說是非常有用的。
舉例來說,一家中型的信用卡合作社公司一開始是經由網路監視與使用者教育來降低意外洩漏的風險。然後才使用資料內容探索來確保沒有任何支付卡產業的資料是以非加密的方式被儲存,並套用基本的電子郵件過濾功能。該公司的廠商最近開始針對某個終端點代理進行beta測試,這家公司計劃使用終端點代理來進行端點探索並阻擋個人身分資訊(PII)被傳送到可攜式儲存媒體上。
基於內部政策與預算問題,該信用卡合作社的執行者們估計將會花費2到3年的時間才能完整的佈署所有的DLP元件。

內容分析(CONTENT ANALYSIS)
DLP解決方案最重要的功能就是內容分析。這項功能允許DLP工具深入網路封包以及檔案、解開包裝(像是zip壓縮檔中PDF檔所內嵌的試算表)以及基於政策來辨識內容。雖然每一項產品會使用不同分類的內容分析技術,但是都會使用到像是傳送者/接收者、所在位置與目的位置的內容資訊。
內容描述技術使用正規表示式、關鍵字、辭典(lexicons)與其他格式來辨識內容。這些技術包含了進行格式比對的規則/正規表示式,包含預先設定的單字與規則關聯來比對像是內線交易等特定概念的概念分析(conceptual analysis),以及預先設定像是個人身分資訊(PII)、HIPAA以及PCI分類的比對。
內容註冊技術依靠你提供給系統的資訊,系統會將這些資訊轉換成政策。這些技術包含完整或部分文件比對,會使用檔案的雜湊值來辨識內容;資料庫特徵(database fingerprinting),雜湊執行中的資料庫內容進行關聯比對;以及統計技術(statistical techniques),使用大量的相關內容來辨識出一致性並建立政策。
所有的領導品牌產品都可以結合多種不同的分析技術來完成單一各政策以增進正確性。
所採用的內容分析技術將會直接的影響購買的產品候選名單,但是不要忘記確定這些技術還能夠滿足未來的需求。雖然某些統計指出目前市場上有90%的產品都是針對個人身分資訊提供保護,但是使用這些產品的組織大約30%~40%的比例對於保護非結構化的資料感到有興趣。它們一開始是使用DLP來保護個人身分資訊降低遵循上的風險,然後才慢慢增加其他的內容,通常都是增加商業機密以及智慧財產的內容來讓DLP保護。

網路監視小秘訣
監視對外連線的效能需求比預期中來得低。

當針對防制資料外洩而購買網路監視工具(network monitoring tools),不要迷失於追求高效能。即使企業是使用gigabit乙太網路,也只會監視小部分的封包,尤其是會只特別關注於對外傳輸的資料。
大型企業通常最多需要監視大約300 MB/s到500 MB/s的資料量,中型企業則下降到低於100 MB/s的範圍,而小型企業則低於5 MB/s。
當然,還需要確定產品的監視器是能監視所有的協定還是只有一部分協定,以及是否需要hard-code port以及協定的綜合或者是否可以偵測非標準通訊埠的流量。功能更齊全的工具還能偵測像是包裝在HTTP中的即時通訊這類通道中的流量。
RICH MOGULL

架構與整合
保護位於何處的資料內容會定義出不同DLP架構:流動資料(data-in-motion)網路監視、靜態資料(data-at-rest)檔案儲存媒體掃描,以及端點使用中資料(data-in-use)監視。全套的解決方案會包含所有以上這些領域的元件,而非全套的解決方案工具只會涵蓋一部分領域,像是某個端點DLP工具就只是實做了針對電子郵件的閘道器。不過還有些單一功能的產品以及非DLP的工具會內建一些DLP功能,例如像是一個會負責阻擋含有信用卡號碼訊息的電子郵件閘道。以長程來看尤其是大型企業的大部份組織會傾向使用全套的解決方案,但是非全套的解決方案以及提供DLP功能的工具可以滿足進行全盤考量時不被需要的戰術需求。
DLP市場是由針對偵測像是電子郵件、即時通訊、FTP以及HTTP傳輸通道的資訊洩漏的被動式網路監視工具開始的。這些簡單的監視以及警訊工具逐步發展成更為成熟的解決方案,像是針對網頁、FTP以及即時通訊增加了電子郵件整合以及閘道器/代理伺服器整合。這樣就可以允許組織在資料流失之前就進行封包的阻擋,而不再只是在資料已經流失的時候發出警訊。
針對電子郵件,DLP廠商嵌入了一個電子郵件轉換代理(MTA;mail transport agent),在電子郵件傳送路徑上增加一個查核點來進行阻擋、隔離、加密或者甚至是回傳訊息給使用者。由於電子郵件是一個儲存並傳送(store-and-forward)的協定,所以這些整合是非常容易進行的。有一些工具可以整合進Exchange與其他電子郵件伺服器來針對內部電子郵件提供類似的功能。
其它像是網頁、FTP以及即時通訊的傳輸通道由於是使用同步協定導致較難以進行封包的阻擋。透過與代理功能(proxies)的整合,可以在資料被外傳前利用session 分析來重建與評估。只有少數的DLP工具有提供代理功能,大都是採用大廠商的閘道器/代理伺服器或者是使用網際網路內容調適協定(ICAP, Internet Content Adaptation Protocol)來取代。當使用整合代理功能的工具來代理SSL流量,您就擁有可以監聽加密資料的能力。
靜態資料DLP工具所取得的效益通常是不會低於進行網路監視所取得的效益。這項功能被稱為內容探索(content discovery);這些工具會掃描企業的儲存資料與檔案分享來找出敏感內容。想像一下套用這項工具可以了解儲存著信用卡資料的伺服器上的身分資料,以及是否這個資料曾被非法修改過。
內容探索可以區分為3種分類:網路掃描(network scanning)、用戶端代理程式(local agents)以及應用整合(application integration)。以網路掃描來說,DLP工具會連線到檔案分享處進行分析,這項功能涵蓋了最大的資料範圍但是效能卻是很有限的。一個區域代理不會透過網路而是直接在伺服器上進行本機掃描,這樣對於大型的儲存媒體來說可以擁有較好的效能但是卻要花費更多的管理成本。某些工具直接整合文件管理系統以及其他的儲存媒體來提供更好的功能。
最後一個DLP解決方案的主要元件是端點代理程式(endpoint agents)會負責監視使用者在桌面環境中所使用的資料。一個「完整的」代理程式理論上應該要能監視網路、檔案以及像是複製/貼上這類的使用者行為,但是現實上很少有工具能做到完整的功能。大部分的產品都是針對端點資料內容探索進行監視並且偵測與阻擋被傳輸到可攜式儲存設備的敏感資料。相對於完全的禁止使用USB姆指碟來保護資料,組織可以使用這些工具來依據資料內容去進行檔案的傳輸。
端點DLP工具已經開始增加更多先進的保護功能,像是受限制的剪下與貼上、偵測像是加密工具這類非授權工具上處理的敏感資料以及根據資料內容來進行加密。假以時日,這些工具將會有越來越多各種類型與數量的政策,讓它們可以更深入的整合進一般的端點應用程式中。


DLP廠商

以下列出提供資料遺失預防產品的代表廠商列表。

全套的解決方案(Full-suite solutions)

EMC (去年八月收購了Tablus)

www.emc.com

Orchestria

www.orchestria.com

Reconnex

www.reconnex.net

Symantec (去年十一月收購了Vontu)

www.symantec.com

Vericept

www.vericept.com

Websense

www.websense.com

 

部分套件的解決方案(Partial-suite solutions)

Code Green Networks

www.codegreennetworks.com

GTB Technologies

www.gttb.com

McAfee

www.mcafee.com

Workshare

www.workshare.com

 

 

網路專屬的工具(Network-only tools)

Clearswift

www.clearswift.com

Fidelis Security Systems

www.fidelissecurity.com

Palisade Systems

www.palisadesys.com

Proofpoint

www.proofpoint.com

 

終端點專屬的工具(Endpoint-only tools)

NextSentry

www.nextsentry.com

Trend (acquired Provilla last October)

http://us.trendmicro.com

Verdasys

www.verdasys.com

 規劃管理與工作流程
DLP解決方案專門解決企業辨識與保護敏感資訊上的問題。理想上,一家企業會想要建立單一的政策來進行資料保護並將之套用到整個環境中-這也是專門的DLP解決方案相較於提供DLP功能的安全工具的主要優勢。DLP套件會針對橫跨網路、儲存媒體與端點的事件處理提供統一的工作流程,並且針對技術與非技術的事件處理人員提供使用者介面。許多組織發現遵循、法律與人力資源部門就和IT安全一樣只是在扮演政策實施的角色。
中央政策管理(Central policy management)允許一個使用者去定義受保護的資料內容-像是客戶身分號碼,然後依據違反政策的發生位置來進行不同的強制行動。您首先定義出資料的內容,然後就依據這個內容來建立各種規則。這些政策就會被分派到包含網路、儲存媒體與終端點的DLP基礎架構中。不同的使用者會套用不同的政策,政策也有不同的敏感階層、違反的門檻計數,並且可以被指定給特定的企業單元或事件處理者。
舉例來說,一條政策可以被這麼設定:「客戶關係小組是被允許電郵一個帳戶號碼給一個接收者,但是禁止大量帳戶號碼被任何使用者透過任何通道被傳送。只有客戶小組成員可以儲存大量帳戶號碼到他們的電腦中,但是這些資料必須是被加密後才能被儲存。帳戶號碼不能被傳送到可攜式設備,只能在被准許的特定伺服器上才能進行將資料傳送到可攜式設備的行為。」
為了實施這個政策可能需要整合企業的目錄服務(directories)與動態主機配置協定(DHCP)伺服器來辨識使用者的位置(系統與IP位址)-在評估過程中這是必須被留意的重要特徵。角色型管理(Role-based administration)以及階層式管理可以消除管理的負載,而這在大量的佈署時是尤其重要的。
違反DLP政策是很敏感的問題而且經常需要特定的工作流程來處理。不同於病毒感染或者入侵偵測系統警訊,違反DLP政策的事件可是會造成員工被資遣或面臨法律行為。DLP管理系統的核心就是事件處理佇列(incident handling queue),這裡是事件處理者觀看指派給他的違反政策事件、採取行動與管理調查工作流程的地方。一個良好的工作流程介面可以協助找出重要的事件並減少事件處理時間、管理負載與企業的總成本。
去年,有一個DLP客戶依據工作流程來選擇產品。然後將選擇縮小到兩家提供相同技術功能的廠商,公司最後選擇其工作流程和介面較受非技術使用者(法律、人力資源、遵循)喜愛的產品。
除了政策管理與事件處理,還可以尋找能夠和現有基礎架構良好整合並且包含有事件檔案保管、備份並進行監視的管理功能的工具。由於高階管理者與稽核師可能會對DLP行動感到興趣,針對這些非技術的讀者與遵循的資源就需要強健的報表功能。

測試與佈署
在列出了可購買的廠商列表後,在將範圍縮小到3~4個產品進行運行的概念證明(proof-of-concept)試用。最佳的方式是運行工具中對網路進行被動監試的功能來測試重要的政策。這樣可以讓使用者直接的比對偵測結果的錯誤警訊與缺點,但是對於端點工具來說就比較難進行這樣的測試。當然還要測試實施的行動以及和基礎建設的整合,尤其是與目錄服務的整合。最後將工作流程套用到組織單位中來確定這項實施是否符合他們的需求。
大部份組織說佈署DLP時的安裝相對於其他的安全技術要來的容易一些,但是DLP的佈署卻需要花費大約6個月以上的政策調適與工作流程調整,時間的長短全取決於佈署的複雜度。許多企業發現只需要部分資源就可以進行事件管理,不過這還是要取決於政策的複雜度與詳細度。平均來說一個5,000人的組織只需要半工制(half-time)的事件處理者和管理者來管理事件並維持系統的運行。

未來趨勢

DLP工具還只是發展中的產品,這表示雖然這些工具提供了良好的價值但是卻還沒有其他成熟產品一樣的耀眼。如果您有資料保護的需求,這個解決方案不應該會使您的佈署減緩下來,但是您必須記住這些工具會快速的變革。雖然這個市場已經從專注在插入設備造成威脅的資料遺失預防轉移到被設計在資料的生命週期中進行保護的更強健的資料內容監視與保護(CMP, Content Monitoring and Protection) 。
CMP最後將成為安全領域中最重要的工具之一。Unisys安全創新的主設計師 Chris Hoff預言下一世代的以資料為主的安全偵測與預防解決方案將會專注於以資料的內容來決定「資料路徑(information routing)」。
「透過連結端點與應用邏輯控制,當CMP從遺失/洩漏預防變革成整體資訊為中心的管理,我們可以開始預見對資訊從端點到資料庫中整個資料生命週期進行監視、控制與保護的能力。」 Hoff 說。

DLP