內容感知型DLP是近年來熱門的資安產品,售價較高、導入過程也較為複雜,其中最困難的就是設定Policy,這也是影響導入成效的關鍵。
數位資安總經理蘇隄認為,Policy設定的成功要素在於有沒有監控驗證機制。內容感知型DLP在設定Policy時,不外乎以下幾個重點:哪些是需要被保護的資料?這些資料如何被使用?被誰使用?使用頻率?企業在第一次設定時,難免會有與實際狀況不符之處,例如:將非機密性資料列入保護對象,因此必須持續監控系統記錄,累積至少1個月以上的資料量之後,再回頭去檢視資料使用狀況,並據此調整,如此週而復始地循環,才能讓DLP Policy愈來愈貼近實際作業需求。
賽門鐵克大中華區首席安全顧問林育民則提建議企業採用漸進式的做法。初期設定的Policy要寬鬆、抓大放小,例如:客戶資料筆數超過500筆以上的檔案,才會被系統擋掉,同時搭配管理手段,在抓到洩密者時,必須刊登類似以下的公告訊息:XX洩露公司機敏個資,予以記過或開除處分,如此才能達到殺雞儆猴的效果。
接下來就是讓Policy愈來愈嚴格,拉高限制檔案外傳的門檻,延續之前的例子來看,就是客戶資料筆數由500縮減為100筆,此時會抓到更多疑似洩露資料的事件,但在幾次之後就會慢慢變少,因為員工擔心被懲處,在使用上就會更謹慎,不敢隨意使用公司資料,之後,企業就能慢慢地把Policy調校到可以控制資料外洩風險的程度。
林育民強調,企業的文件使用政策應該是漸進式的調整過程,每隔1~2週就要進行教育訓練與宣導,尤其在開放式作業環境裡(即企業對網路使用沒有太多限制),更需要透過口頭勸導及宣揚公司安全政策,建立員工的安全觀念,舉例來說:某竹科公司就不斷向員工倡導「RD資料和公司股價有關,股價和個人薪水有關」的觀念,要求員工遵循企業政策,宣導後若出現違規使用的狀況,再開始處罰,如此才能將資料外洩風險控制在一定程度裡,但若在員工違反政策時,企業沒有任何處理,就沒有威嚇效果。
就Policy調校時間長度來看,林育民認為不宜太快,速度慢一點可以降低內部反彈聲浪,但也不是越慢越好,調校時間拉得太長,反而會沒有威嚇效果,一般企業約利用90天的時間進行調校,少數會花上6~9個月的時間,但整體而言3~6個月的長度最恰當,既能把Policy收斂到一定程度,又可以達到威嚇效果。