最近全球企業接二連三發生資料外洩事件,例如遊戲商全球七千多萬個帳戶的資料外洩,導致身分盜用、金錢及其他損失。一直備受企業關注的網路安全問題,在高層會議桌上出現的次數日益頻繁,所談論的面向也愈來愈深入。事實上,除了電腦病毒肆虐於企業網路外,隨著企業的資料逐日遞增,可擷取企業資料的管道愈來愈多,洩漏資料的風險亦隨之而激增,令管理層及IT人員非常頭痛。
一般來說,擷取企業資料的管道大致分為以下三種:
· 實體:如遺失USB隨身碟或筆記型電腦、螢幕列印(Print Screen),複製轉貼;
· 網路:包括Web HTTP、上傳檔案(FTP)、無線上網(WiFi);
· 應用程式:電子郵件、即時通訊、檔案分享(P2P)、螢幕截圖(Screen capturing)工具等。
此外,企業亦應留意裝入木馬或後門程式、社交工程(Social Engineering)、和看準漏洞來惡意盜取企業資料的風險。由此看來,要妥善管理和確保資料不會從多樣化管道遺失實在不容易。
摒棄舊有資料外洩防護態度和概念
連串安全漏洞導致個人隱私資料洩漏事件發生,顯示企業對於資料外洩防護(Data Loss Protection, DLP)的意識非常薄弱,管理層還未正視資料外洩的危機,更為企業內部或其客戶帶來嚴重深遠的影響埋下伏線。雖然,政府、警方與資安廠商均有積極舉辦活動,闡釋資訊安全及隱私保護的重要性,可是企業對相關法律還未有透徹了解,對於資料保護仍以「頭痛醫頭」的方法處理,甚或採取觀望態度,對落實保護資料政策走「拖字訣」。
這也反映了無論企業還是公營機構,仍然持有傳統甚至過時的DLP態度和概念,被動且零碎。在電腦及網路犯罪手法層出不窮的情況下,企業必須抱有「資料外洩事件有機會發生」的態度,不應存著可僥倖避開的心態,以主動、全面的DLP概念保護資料安全,防範於未然。
傳統DLP之所以被動,是因為只有在用戶已經設下保護策略(Policy)的範圍,資料才會受預設指令所保護。而McAfee的方案則採取主動,捕捉並記錄所有進出網路的資料,檢察其使用目的以及時作出對應保護指令,同時保留資料外洩發生的實證記錄。McAfee DLP揉合了主機及網路的保護方案,以涵蓋所有最常洩漏資料的場景,不論是遺失筆記型電腦,以至內部人員未經允許而傳輸資料都可以受到保護。
主動出擊 將防護策略推廣及提升
企業也需要對資料保護具備周全的概念,從「見招拆招」、流於網路層面的資料保護策略,推廣至主動尋找在儲存或終端裝置各方面潛在的資料外洩風險。資料外洩不再只局限於網路上的資料被盜取,即使員工一時大意,遺失存有資料的行動裝置,如USB隨身碟、智慧型手機、平板電腦,也有機會置企業最重要的財產「資料」於危險當中,以密碼或加密方法保護這些裝置絕不能忽略。
此外,資料保護策略亦應提升至在資料狀態、使用目的之層面採取防護措施。如下圖所示,資料可分為儲存、使用中、或傳輸中三個狀態,不論資料的使用目的是作複製備份、修改、列印或上載,從這更高的層次提前辨識漏洞所在並開始主動監控,保護效果更為全面。
總結來說,企業不應對於DLP策略仍抱有隔岸觀火、紙上談兵的態度。面對全球各地資料遺失外洩的個案不斷湧現,不論是大型機構還是中小企業,必需假設有機會發生資料外洩事件,認真、主動去評估企業或機構內部的資料外洩潛在風險,以防範於未然。McAfee可為客戶提供免費風險評估服務,協助客戶從系統上找出有哪些資料外洩的風險、漏洞位置,並按嚴重性排列,好讓客戶有實在的資料來制定實施DLP策略。只要從根本入手查找問題,以更高、更廣的層次保護可擷取企業資料的各種管道,實施全面DLP方案,就是保護企業重要財產「資料」的最佳上策。