2011年,很多人稱之為個資法啟動年,因為在2010年三讀通過,各企業隨時都在想著如何讓IT環境符合個資法,從2010年開始到2011年4月份的台北國際資訊安全科技展,與個資法相關的研討會已經火熱到不行,不管任何廠商任何解決方案,都想盡辦法跟個資法沾上邊,但各廠商所推出的解決方案,真的能適合企業嗎?
在《資安人》74期「四大資料應用情境 選擇不同DLP做防護」文中提到,DLP是泛指一個名詞,並非一個單一解決方案,當然廠商只能概括統稱,而企業更是不懂DLP所涵蓋的範圍,所以將錯就錯,DLP解決方案一詞也就定型化了。
DLP解決方案是什麼?
DLP解決方案是什麼?端點週邊控管嗎?Yes,檔案存取控制嗎?Yes,甚至IM管理?全部的答案都是Yes,因為DLP的重點核心,就是防止資料外洩,而這些解決方案也都具備這樣的功能。
或許很多人會問,這些解決方案不都是以前就有的嗎?沒錯!現在只要跟個資法沾上邊的解決方案,都能讓企業的眼睛亮了起來,任何能夠符合個資法要求的解決方案,企業都會有興趣,但我們應該把資料外洩這件事擴大範圍來談,因為個資法的規範對象只有個人資料,所以在資料外洩後,必須透過LM解決方案來進行查證避免被罰,但如果是企業的機密資料外洩,那就不是查證了事而已,有效防止外洩才是最根本的方法。
回過頭來看,如果對DLP的定義是,只要有一點符合防止資料外洩功能的解決方案都可以稱作DLP,那麼企業現在只要盤點IT控管機制,就會發現「原來我們也有DLP!!」。
不過,這些機制我們只能稱之為勘用,並非完全失效,現今的DLP解決方案,不外乎就是把網路、端點、主機三種資料可能存放或經過的位置進行控管,不過這裡要提到的一個重點,那就是這三種可以視為同一種解決方案,而早期卻可能要購買二或三種以上解決方案才能有效防止資料外洩,另外還有一點就是管理性,企業購買眾多的解決方案,雖然可以預防資料外洩風險,但在管理上,或是查找事件及證據時,卻可能要花不只一倍的時間進行交叉比對分析。
可能,有些企業會反駁說:「我們IT分工細,需要多人分別執行管轄業務」,當然,這在管理面是沒有問題的,但若要進行交叉資料比對,那麼該由誰來負責Event收集與分析?在資訊安全組識裡,如果沒有明訂工作職責,那這份工作將是個無止盡的迴圈。
也因此,目前的DLP解決方案,提到二個重點就是:一、單一管理介紹,並且分權管理,二、事件單一窗口,可由稽核統一查核,這樣除了提高管理效率外,也有效達到外洩事件的快速舉證。
主機\網路\端點DLP 基礎要求大不同
在企業決定採用目前DLP主流產品時,可能需要考慮的大方向有以下三點:
第一、個資在哪裡?
第二、開放哪些網路通訊協定?
第三、有哪些端點設備?
個資在哪裡?
我們先來思考第一個問題,其實這個問題在各個企業都有類似的情況,怎麼說呢?大部份的個資存放位置不外乎在以下三個環境:1.資料庫、2.檔案伺服務器、3.端點(包含儲存媒體)。
當個資分散在這些環境裡,我該如何佈署DLP?首先,採用主機DLP功能,將IT環境裡疑似存有個資的主機進行掃描清查,但什麼才是企業認定的個資?除了一般常見的可識別資料外(身份証字號、信用卡號),絕大多數都是企業自主認定,所以自訂掃描欄位及類別將是企業要求廠商的標準功能,此外,對於主機掃描進行排程或一次性掃瞄也是必要,以避免在進行掃瞄時影響到主機的效能(大部份主機都是核心系統),而在端點的掃描也是必要的政策,若要避免使用者查覺IT人員在進行檢查,可定期在中午休息時間,或透過郵件通知方式,要求同仁在週五下班時禁止關閉電腦以便進行掃瞄。
開放哪些網路通訊協定?
再來就是網路通訊協定,防火牆的保護是第一要務,也就是正面表列,只將必要的通訊協定打開使用,不過還是有企業使用負面表列,亦即全部打開,再把不需要的通訊協定關閉。當企業只開啟必要通訊協定後,接下來要佈署網路功能DLP就容易多了,有很多企業會採購硬體式的DLP,原因在於安裝容易,且有專屬設備,比一般軟體式DLP的效能要強,唯功能受限,所以多半把它歸類於網路安全設備。
雖然企業已只開啟必要的通訊協定,但現今資料外洩的管道,以網路最為常見,尤其網頁更是首要管道,所以在Web保護上,著重在網頁郵件防堵,網路功能DLP是否能偵測到任何行為,包括:將個資貼於Web Mail編輯頁面、將個資檔案變成附加檔案、甚至啟用加密協定(Https),以上這些功能都是基本必要條件。另外,部份企業會使用Proxy Server,網路功能DLP能否整合再允許使用者流量通過,還有企業的電子郵件主機,也是員工常用的網路服務,這些都是選購時要考量的面向。
除了上述的行為外,還要避免使用者透過壓縮、加密、更改檔名等行為竊取資料,網路功能DLP要能針對這些行為進行管制,倘若企業內部份檔案有特定副檔名,DLP也要具備分析識別能力,以避免只有表列支援副檔名可以偵測預防外洩。
有哪些端點設備?
最後談到的端點,也是各企業最難管理的一個環節,除了上述所提定期掃瞄端點主機外,在端點DLP時還要考量以下四個因素:1.作業系統平台的支援度(Windows、Mac等);2.移動式設備的支援度(智慧型手機、平板電腦);3.媒體管控能力(USB、燒錄機、Card Reader);4.輸出裝置的管控能力(印表機、藍牙、紅外線)。
因為端點各種平台都在各個企業裡,涵蓋率是考量的因素,有些時候,DLP會因為不支援某些平台,導致有安全漏洞產生,這些也是企業必須要注意的方向。
DLP評選 管理功能同樣重要
最後要談的是DLP管理面,除了分權管理外,對於報表的呈現簡單易懂,也是在採購評估過程中考慮的方向之一,包括了是否可以自訂顯示欄位、資料外洩趨勢、事件發生後處理流程狀態等,這些都是企業管理資料外洩事件的好幫手,表1為DLP採購評估表,詳列DLP應有的功能要求,方便企業評比不同廠牌DLP的功能,從中選出最適合自身的產品,也希望本文能幫助企業對於評估採購DLP,有新的思維與方向。
表1、DLP採購評估表
功能要求 |
符合 |
部份符合 |
完全不符合 |
能否透過網路資料掃描的功能找出是否有敏感性資料儲存在主機、個人電腦、Exchange Server、Notes或檔案伺服器中並且可以自行定義掃描頻率。 |
□
|
□
|
□
|
端點程式可以安裝在Windows任何平台,包括(32 bit or 64 bit)、MAC和虛擬平台(VM)、Mobile Device、平板電腦。 |
□
|
□
|
□
|
端點佈署可使用背景安裝及自訂服務名稱,以避免使用者查覺。 |
□
|
□
|
□
|
端點程式可以識別並阻擋USB可移除式媒體、無線網路(Wi-Fi)、3.5G網路卡、紅外線、藍牙等輸出裝置。 |
□
|
□
|
□
|
端點程式支援在線與離線政策,用以避免非固定式座位人員。 |
□
|
□
|
□
|
可識別避免使用者透過更改檔名之方式躲避系統偵測。 |
□
|
□
|
□
|
可識別出並阻擋網路端透過那些通訊協定管道所傳送的個資或其他機敏資料,並且可自訂通訊埠偵測。 |
□
|
□
|
□
|
可支援多網段監聽。 |
□
|
□
|
□
|
管理者可分權登入並支援HTTP/HPPS管理頁面。 |
□
|
□
|
□
|
可自訂報表顯示欄位及過濾及事件趨勢分析。 |
□
|
□
|
□
|
是否有事件稽核記錄,表示此一外洩事件已解決。 |
□
|
□
|
□
|
發生外洩事件是否可以自訂分層通報。 |
□
|
□
|
□
|
是否內建台灣身份証格式識別,並且可自訂格式識別。 |
□
|
□
|
□
|
除支援標準副檔名偵測外,可自訂檔案格式偵測。 |
□
|
□
|
□
|
可建立指紋檔識別企業內重要資料。 |
□
|
□
|
□
|
(本文作者現任職於資安公司)