個資法通過,資安市場出現一片DLP熱潮,不過,RSA大中華區技術顧問黃惠美表示,DLP是資料保護的最後一道防線,企業必須先做好基礎防護,確定業務流程及資料流向,之後才能談DLP導入,同時要結合SIEM平台,才能符合個資法的舉證要求。
機密資料外洩不一定是員工非法行為,也可能是因為電腦中毒的緣故,DLP雖然可以偵測管轄範圍內的IP有沒有在傳遞機密資料,卻無法偵測電腦是否中毒,如果整合SIEM平台,IT管理人員便可根據SIEM所收進來的Log,確認外洩資料的電腦有沒有中毒,又若真是員工惡意洩露,IT管理人員也可以在SIEM平台,以IP來搜尋這個人的所有行為,降低企業損失。
此外,企業因為營運不中斷的緣故,可能無法即時上Patch,必須等到下班之後才能作業,而SIEM在這段期間所收進來的Log,如果發現駭客利用這些漏洞進行攻擊,也可以經由DLP決定上Patch的順序,由DLP決定Server存放資料的重要等級,再決定哪幾台伺服器必須先上Patch,在不影響營運的情況下修補程式漏洞。
黃惠美指出,新版個資法規定企業應負起舉證責任,最直接的做法就是導入SIEM平台,再由Log去檢視業務流程,並擬定改善之道,最後才是引進DRM、DLP等資料安全防護的解決方案。