近期國內外均發生離職員工竊取企業資料的新聞,美國知名券商高盛公司一位離職的電腦程式設計師涉嫌破解並複製高盛的自動交易軟體程式碼,以及台中某資訊公司一名離職的經理帶走前公司電腦描繪稿並另起爐灶搶生意。可見內部員工不當存取的問題有越來越多的趨勢。然而在已佈署DLP方案的企業中,僅約1/6採取立即阻擋的政策。
研究機構Ponemon Institute的調查也指出,80%的外洩事件都是由內部擁有存取權限的人員所造成。市面上有各種防制資料外洩方案,企業佈署比例不低,包括網頁內容過濾、郵件過濾閘道器等。趨勢科技資深技術顧問戴燊認為,透過資料外洩防護方案(DLP)來集中控管並統一監看,企業較能夠達到全面防護。
對於防制資料外洩,不少人希望能夠做到對可疑的外洩動作即時阻擋,趨勢科技技術行銷部技術顧問吳宗霖指出,只要公司管控政策明確,工具都能滿足,然而事實上,許多企業搞不清楚究竟什麼資料/動作需要立即阻擋。因此,當市場上解決方案種類多時,工具不是重點,具有導入輔導經驗的廠商才是關鍵。例如,以晶圓廠來說,防制資料外洩的重要管控點是在IC Compiler前,compiler完後其實問題比較不大。
至於是否需要做到立即阻擋,則視每家企業導入的決策層級而定。吳宗霖指出目前其客戶群僅約1/6會在系統中設定對可疑動作立即阻擋,多數企業仍採取先記錄再配合事後管理動作。「因為擔心阻擋到高階主管的工作」他說。
DLP解決方案過去由於專案複雜度高、導入時程久,因而影響企業導入意願。新版LeakProof 5.0內建可直接套用的法規遵循範本,不像先前版本需先設label、分數、類別等才能運作,10分鐘可建立2,000個檔案的資料DNA。目前可支援的軟體/研發檔案包括,C/C++、Java、C#、Perl、Cobol、VB等。至於使用者若使用加密軟體將機密檔案加密後傳輸,則可將該檔案加密前、後予以備份留存log。
任合一套資安解決方案若能設定明確的管理目標,從Policy設定到log檢視確實落實,要發揮到90分以上的成效不是難事。因此提報DLP計劃時,應先明確企業主、各高階主管對於資料外洩防護的目標、風險承受等級。否則設備越買越多,發揮成效有限,恐怕IT績效也將大打折扣。