停止資料外洩

2006 / 04 / 10

Kevin Beaver 譯 ■ 路克

對於企業資安經理而言，最頭痛的問題可能不只要擔心駭客入侵公司網路，還得注意工程部門的小哈利、業務部門的史堤夫，還有可能是產品部的莘蒂小姐變成內賊。公司的員工可能會把一些具有機密性的智慧財產，透過電子郵件寄到競爭者的信箱裡，還有敏感的客戶資料也可能不小心洩漏出去。員工在不知情或不小心的情況下洩漏機敏資訊，對公司會造成莫大的威脅，許多公司都低估了這項風險。這種資料外洩的狀況，可能會讓公司賠上好幾百萬美金的損失，以及對商譽造成無法逆轉的永久傷害。
根據美國密勤局與卡耐基大學軟體工程學院，在2005年針對關鍵基礎設施內部資安事件的研究中發現，超過81％的內部資安事件會導致財務上的損失，依嚴重程度損失從500到幾千萬美金。其次，有28％參與研究的單位表示，企業的形象與商譽因此而受損。
隨著電腦網路環境日益複雜化，在企業內網路逐年擴增的狀況下，相對發生問題的漏洞數量亦隨之成長，更加深了內部威脅的嚴重性。以往以企業網路邊界為主的資安防禦措施，已被應用程式、行動辦公者、商業伙伴及客戶間編織成錯綜複雜的大網給淹沒。
還有分散式的資訊儲存點及跨多重應用系統的資料庫，亦導致許多難以追蹤的問題。像是EXCEL檔案、WORD文件經常是分散儲存於員工的電腦中，再透過各種訊息傳遞介面與行動裝置傳遞這些檔案，要針對這些資訊進行存取控管，儼然是個不可能的任務。
就現況而言，對於網路管理者、業務經理等，擁有足夠權限可以進入內部系統的狀況，這些內部潛在的威脅未被鑑別出來且缺乏可衡量的存取控制，而且管理層級態度仍然停留在不了解、漠不關心，更不用說請廠商提出鑑別內部威脅的方案。在內部網路還沒出現漏洞之前，本文列出幾種科技，讓企業中有價值的資料更為安全。
檢視資料傳輸管道
監控網路傳輸的內容過濾產品已行之有年，提供深入地檢視網路行為並找出可能用偽裝方式傳輸的內容。內容過濾產品可監控電子郵件、網頁與其他系統活動，對外阻止惡意軟體進入內部網路，對內阻擋或標示出不恰當的網路活動，確保員工的工作產能。此類新興科技可以協助你窺視有哪些資料進到內部，同樣的也可以偵測、阻擋資料外洩的可能。
在網路內容監控產業中，相關廠商超過數十家，其產品功能涵蓋監控網頁、即時訊息、P2P、串流影音資料與其他流量。透過預先設定的規則與客製化特殊網路協定規格，以及封包特徵與通訊串流中的檔案類型，藉以辨識出安全問題與不當的網路行為。還有部分工具提供字彙與不當字彙的群組分析，因為檔案名稱與附檔名可輕易地被修改、移除或以其他方式偽裝，因此必須深入檢視檔案內容判斷是否有問題，同時可藉由機敏檔案的特徵值作為過濾條件，而非僅使用檔案類型或附檔名作為判斷依據。還有一些產品提供分析整個網路流量中的特徵值，將最高風險的電腦、使用者、各種大流量的通訊協定列出，提供管理人員一個完整的可疑行為報告。
Burton Group 的資深分析師Trent Henry表示，網路內容過濾科技採用複雜的語意分析引擎，比起單純使用正規表示與關鍵字搜尋分析，前者可以分析出更深入的衍生議題。這些工具已經具備自動化內容探索功能，減輕管理者必須自己維護過濾條件的工作。採用關鍵字與正規表示法搜尋，可以獲得相對較高的效率，管理者可以依據企業特性，定義要過濾的機敏資料關鍵字以及相對的監控政策。採用自動化內容探索機制，系統必須先學習企業的檔案目錄架構，並輸入使用者跟群組的設定，它就會在企業網路的範疇中自動探索。通常以重要機密檔案系統、文件管理系統和資料庫為標的，辨識出要保護的機敏資訊。
許多以網路基礎的內容過濾產品，採用被動式的監聽網路流量，過濾出有問題的行為並通知管理者；部分產品可以做到主動式防禦，一旦發現可疑行為則立即阻擋網路流量與隔離檔案，預防各種資訊外洩的可能，這種類似IPS的功能可以隔離有問題與惡意的行為。有些IPS中附加內容過濾、安全政策符合性檢測、法規依循度管理等功能，可以說是最有價值的長期投資。
目前已經有不少產品內建可以客製化的法規依循、安全政策符合度檢驗，可依照各企業網路環境、營運需求的差異進行調整。依據沙賓法案(SOX)，保存系統稽核紀錄是營運上必須的要求，企業在安全產業中被要求要做到稽核檔的保存，多數的內容過濾監控系統均可提供各種網路活動的稽核紀錄。另外一種偵測內部惡意行為與電腦誤用的方法是主機型內容監控（host-level content monitoring），利用安裝於用戶端的代理人程式追蹤電腦、作業系統、應用系統，以及檢驗安全政策的落實，在用戶發生違規行為時跳出警告訊息。目前提拱此類產品的廠商有ControlGuard、Orchestria、Oakley Networks與Verdasys。
此類產品剛開始發展時，市場普遍認為單機型控管軟體難以部署，比起網路型產品來得需要更多的管理資源。不過這種產品最大的優點在於，可以監控使用者在電腦上最初始的、不規則的行為模式。最理想的狀況下，當然是單機與網路型兩者兼具，在不同的戰線上保護單機上的行為與網路的傳輸內容。相關產品為Tablus與PortAuthority。
根據Henry的說法，單機型的行為分析工具可以看到資訊未加密、偽裝前的明文訊息；相較之下網路型的內容過濾工具則無此優點，難以偵測出經過加密之後的資訊。許多廠商試圖提出對於加密訊息的檢測，卻難以突破。
(防止資訊外洩方案與產品表）

替代方案
其他的安全產品所強調的防止資訊外洩方案，與上述內容監控產品有所差異，但是仍然具備保護機敏資訊的功能。包括網路訊息防火牆類，Akonix L7、IMLogic IM Manager、CipherTrust IronMail與NetIQ MailMarshal，提供針對流入與流出的電子郵件、即時訊息的內容，檢查是否含有機敏資訊的標籤，不過，這類產品並無法偵測使用者誤用及其他網路系統、傳輸協定的事件，但話說回來，透過檢測即時通訊，亦可許多資訊洩漏及誤用的事件。
相關產品還包括具備電腦網路鑑識分析、封包重製功能，如：Niksun NetVCR與NetDetector、Sandstorm Enterprises NetIntercept。這些工具不但可以監控整個企業網路的安全、分析可疑系統活動，還可以記錄下網路所有流量作為電腦網路鑑識的最佳來源，偵測出異常活動與連線內容重製功能。
不要高估將機敏資料加密儲存的效果，尤其是重要的資料庫、行動裝置上的檔案，如筆記型電腦的硬碟與 PDA。不要因為天花亂墜的說詞而認為加密可以解決一切的問題，內部威脅通常是可以合法存取存取機敏資訊的員工，有時加密措施是無法完全發揮效用的。在傳輸過程中加密對於最終還是要解密存放於內部系統而言，似乎發揮不了太大的保護效果。事實上，將傳輸資料加密有時反成為惡意內部威脅的絕佳掩護。
就技術觀點而言，整合單機型與網路型的入侵偵測系統是可行的，透過事件關連系統的整合能力，可以得到與內容過濾方案類似的資訊保護效果。

（資訊保全政策表）

監控方案的優缺點
為了使多數的資安政策得以落實，我們必須強制導入技術上的保護措施。過濾與監控方案提供想保護機敏資訊的企業產生顯而易見的成效。爭取、投入預算購買此類產品可以幫助企業完成以下任務：
◎協助稽核人員、管理者與人事部門，準確地了解電腦與網路被誤用的趨勢。
◎追蹤可疑或惡意的電腦活動與使用者行為。
◎提供完整且有效的稽核紀錄與證據，必要時可用於揭露員工可疑的惡意活動。
◎提供電腦鑑識調查時一份受害者的內容與情境資料。
◎幫助企業在機敏資料外洩時的法律責任歸屬最小化。
◎偵測未經授權的加密通訊內容以及該加密而未做到的事件。
內容過濾監控產品可以保護網路的應用層，提供企業能夠套用並落實其資安政策的功能。這些產品還有一個優點，就是協助企業因應各種不斷新增的安全法規以及隱私權保護的法規面需求。
正如大多數的科技，這些產品仍舊有些限制。最大的問題在於成本，全功能的內容過濾監控產品價值不斐，從數千到數十萬美金不等，計價方式通常以單一設備、遠端代理程式或偵測節點以及用戶數來計價。其他的限制如下：
◎誤報以及漏報的狀況，幾乎是所有相關產品難以避免的問題，因此還是佔用部分人工管理資源。
◎投資報酬的週期較長。
◎網路型的安全弱點難以被發現，多少都有一些配置上、政策缺漏等，需要人工進行分析。
◎與其他科技整合上的問題。包括遠端存取、身分識別、LDAP、目錄服務、IDS/IPS與安全事件監控等，整合度就得看該產品是否支援多種標準而定。
◎管理者必須權衡安全與便利使用上的平衡點。讓這些產品發揮功效，同時員工還是可以正常的工作。
最後與讀者分享一個經驗，透過分類、整理機敏資料的方式可以得到非常好的保護效果。不論是人工進行分類，或者藉由一些自動化的資產盤點工具，如：Google搜尋系統、StoredIQ的資訊分類與管理平台。不常使用的機密資料應該上鎖，將合理的縱深防禦措施應用於作業系統之上，包括強韌的存取控制、嚴謹的檔案權限設定以及使用者權限的最小原則。

資料安全是不可忽視的營運問題
「本公司並無太大的風險」，這是最常聽到管理階層講的一句話。其實他是說「我們無法修補我們不知道的弱點」、「我們不知道那些完全不懂的領域」。
不管內部員工是惡意的或不經意的犯錯，你要管理的是存放大量公司機敏資料的網路，是不容許被入侵的。公司的營業交易秘密、財務報告、員工資料與客戶資訊，一旦遭竊就別想全身而退。雖然嚴重的安全意外總是出乎意料外地出現，而且多數企業是承受不起一滴點的資訊外洩，但是要記住科技是無法自動幫你解決所有問題的。
面對內部威脅保護公司資產的過程絕對不輕鬆，必須要尋求管理階層買單，透過高層宣示網路用戶的責任以及可歸責性，取得老闆的支援大力鼓吹安全政策，才是有效地與員工溝通的不二法門。不斷地提醒告訴員工要照章辦事，內容過濾科技可以達到許多目的，卻不是資料保護措施終點站。只要能夠合理的應用這些科技，至少它提供強有力的監控功能，確保企業重要資料不會一溜煙地從網路上溢出。