觀點

四大資料應用情境 選擇不同DLP做防護

2012 / 05 / 28
廖珮君
四大資料應用情境  選擇不同DLP做防護

社會型態改變,駭客獲利方式也跟著轉變。從資訊安全CIA三要素來看,早期的駭客攻擊以破壞可用性(A)為主,應用各種方式癱瘓網路或主機,並藉機向企業勒索,如今則非如此,駭客看中的是企業內部機密資料,可能是客戶個人資料,也可能是產品研發檔案,駭客攻擊影響的是機密性(C),非法獲利金額更為可觀,這種轉變也影響了企業資安的投資方向,由設備防護走向內容防護,勤業眾信副總經理萬幼筠曾經指出,以前企業重視的是網路安全,現在則開始重視內容防護,如何保護資料、避免外洩?成為企業新的資安投資重點。

目前,市場上具有防制資料外洩功能的解決方案相當多,比較常聽到的就是以內容感知技術為主的DLP(Data Loss Prevention, DLP),但是DLP一詞不像防毒、防火牆、WAF一樣,專指某一項資安設備,它其實也是一種觀念,任何產品都可能具備DLP功能,因此有不少端點安控軟體、UTM、Web Gateway、加密或DRM等廠商,也都宣稱自己的產品具備DLP功能。為了避免混淆,本文在提到DLP時,指的乃是防制資料外洩的概念,至於市場上常聽到的DLP產品,則以內容感知型DLP謂之。

解決方案無數種 個個都可做到DLP

精品科技技術總監賴頌傑表示,資料防護分為兩個層面,一個是完全不讓資料外流,另一個則是資料加密處理,對應到資安解決方案來看,前者就是DLP,主要是限制檔案的使用與傳輸,包括端點安控軟體、內容感知型DLP、或是具有DLP功能的設備(如:UTM、Web Gateway等)皆屬此類,後者則是資料加密/DRM軟體,則是針對文件本身進行加密處理。

DLP比較:機密資料辨識精確性

傳統用來識別敏感資料的方式為關鍵字、或正規化表列,這兩種作法雖然簡單,但容易出現誤判或是影響系統效能的情況,之後市場上又發展出比較精細的內容感知技術,作為識別敏感資料的依據,相關資訊在《資安人》69期「內容感知的DLP技術探討」一文中有詳細介紹,在此不多做解釋。

目前,端點安控軟體或是具有DLP功能的設備,多半採用關鍵字或正規表列的技術,賽門鐵克大中華區首席安全顧問林育民表示,此與內容感知型DLP的差異主要在於機密檔案的辨識精確度:

第一、容易誤報
關鍵字的判別方式為,檔案中任何一個字詞與關鍵字相符合,就會被列為機密文件。舉例來說,身份證字號的特徵為1個英文字母+9個數字,只要文件中出現符合這個特徵的字串,就會被列為機密文件,但有些時候,符合特徵的字串不一定就是身份證字號,也許只是產品編號而已,當系統無法做更精細的判斷,就容易出現誤判情況。此外,如果DLP產品誤報頻率過高,有些企業因為擔心影響作業效率,甚至引起使用者反彈聲浪,於是把判別規則設得比較寬鬆,反而容易造成資料外洩的漏洞。

第二、無法辨識出經過重新編排的機密文件
關鍵字技術只使用少數幾個關鍵字作為判別依據,如果使用者把文件重新編排,讓系統無法辨識出關鍵字,同樣可以傳送出去,但是內容感知型DLP通常有指紋匹配/相似度匹配的技術,即便使用者重新編排文件,系統仍會與原始文件進行比對,只要相似度達60%,就會被列入機密文件。

DLP比較:資料流完整性

除了辨識精確性外,在資料流完整度上也有所差異。在發生資料外洩事件時,最重要的是回溯追查功能,企業必須檢視以下記錄,避免資料外洩損失再擴大,這些記錄包括:(1)這個檔案平常是誰在看、誰在維護;(2)這個檔案曾經被誰看過;(3)洩密者曾經看過哪些檔案。一般來說,內容感知型DLP可以追蹤出完整資料流,除非故意刪除系統Log,否則企業一定可以查出完整資料。

數位資安總經理蘇隄認為,監控管理機制是內容感知型DLP的最大優勢。由於記錄了完整的資料流向,可用來驗證Policy設定成效,企業在第一次設定Policy時,難免會有與實際狀況不符之處,例如:將非機密性資料列入保護對象,因此必須持續監控系統記錄,累積至少1個月以上的資料量之後,再回頭去檢視資料使用狀況,並據此調整,如此週而復始地循環,才能讓DLP Policy愈來愈貼近實際作業需求。

而端點安控軟體著重在記錄使用者行為,資料流的追蹤比較不完整,至於具有DLP功能的Web Gateway或UTM設備,其管理功能就更為薄弱,通常沒有自動化管理功能,最多只能作到報警,但企業無法知道有誰來處理/通知事件發生。另外,其管控範圍上也比較小,Web Gateway主要針對http、https流量進行分析,UTM也是如此,但部份UTM產品可以管控到FTP、即時通訊、電子郵件的內容,這兩者可說是簡化版DLP產品。

 

DLP比較:管控範圍與深度

在機密資料辨識精確度及資料完整度上,內容感知型DLP雖然優於端點安控軟體,但在管控範圍上卻略遜一籌。

思訊電腦專案經理陳兆祥表示,內容感知型DLP控管的對象是資料與檔案,至於端點安控軟體則是使用者行為管理,不僅可以管理使用者對檔案的複製、編輯、列印、儲存,還包括其他電腦使用行為,例如:網路或即時通訊軟體的使用、對硬碟\網路芳鄰\光碟燒錄的防護機制,也因此,企業可以從端點安控軟體的報表中,去評估部門績效、員工生產力、員工使用電腦的狀況(如:XX員工30%的時間在工作,70%的時間在做私人事情),以及有無資料外洩事件。

倘若進一步與端點型內容感知DLP做比較,其差異在於單一項目的管控深度。賴頌傑指出,端點安控軟體的USB管控有7~8種不同模式,包括:可讀取不能寫入資料、可以寫入資料但必須加密、可以寫入資料但要經過主管審核等等。另外,端點型內容感知DLP目前多為國外廠商的天下,國外廠商在開發軟體時比較不會重視自身防護,但是台灣廠商在開發軟體時,會設法讓軟體隱藏起來,避免被使用者破壞或移除,這是受到民族性影響所造成的差異。

加密與DRM

在資料加密處理上,企業可以選擇的是加密或DRM產品。優碩資訊產品經理陳品翰指出,DRM主要是管控行為模式,也就是使用者對檔案的複製、列印、修改等行為,管理者可以知道使用者開了幾次檔案、開啟時間、用哪台PC開啟檔案等資訊,至於加密產品則是對內容做加密,其目的就是防止機密資料外流,即便資料不慎外洩時也無法得知檔案內容,有些DRM產品會結合加密技術,不僅可以為檔案加密,也可以管控「加密檔案」開啟後的行為,避免有權限的人有意洩露資料,雖然沒有辦法做到百分之百防堵,但其導入過程比內容感知型DLP簡單許多。

林育民表示,導入加密產品的好處有二個,一是降低資料在外遺失的風險,對於經常應用USB/NB攜出資料的企業而言,加密產品可以做有效管控,二是降低資料傳輸或儲存時的外洩風險,即便資料在Mail Server 或傳輸過程中被竊走,企業也不必擔心資料外流。

但缺點是必須要有人或程式去加密,這二種作法都各有盲點。由人去判斷此份文件是否需要加密,這會受到個人主觀認知的影響,每個人對機密文件的認知不完全相同,若由應用程式類型或文件類型,作為是否要加密的依據,則會產生另外一個盲點,就是如果有人照著文件內容重新登打一遍,並儲存成沒有被規範的文件格式,或貼在沒有被規範的應用程裡中,如:Webmail、即時通訊軟體,加密程式就管控不到,此時最好能搭配DLP,強化防制資料外洩的功能,因為DLP是針對資料內容做分析,只要是機密性內容,系統就偵測得出來。

如何選擇DLP解決方案

面對市場上林林總總的資料外洩防護設備,企業該如何選擇?最簡單的做法就是從預算來評估,在小型或資料比較不敏感的環境,例如:員工數只有10~20人,管理手段不必太複雜,導入端點安控軟體即可,但中大型環境或資料比較敏感的環境,例如:研發、財務分析、稽核、帳務等資料,又或者是需要追蹤出完整資料流的環境,例如:國防等,最好採用內容感知型DLP。

從應用環境來評估

此外,林育民建議可以從應用環境來選擇(表1)。

表1 不同應用環境的DLP選擇方式

應用模式 說明 適用解決方案
嚴密控管環境 對於工作環境設有嚴格管控措施的企業,例如:不淮訪客攜帶USB、手機或NB 文件加密
資料頻
繁交換
內部 資料經常在跨部門流通 內容感知型DLP
資料頻
繁交換
外部 經常與合作夥伴或上下游供應商進行資料交換 文件加密或DRM
文件版本多 文件本身有比較強的版本控制需求,且在文件產生的當下就要做加密,例如:公文、研發資料、教材等 DRM
網路實體隔離環境 使用者不能連上外部網站或使用即時通訊軟體的環境 端點安控軟體

製表:資安人 2011/3/16

 

第一、 嚴密控管環境 VS. 文件加密

對於工作環境設有嚴格管控措施的企業,例如:不淮訪客攜帶USB、手機或NB進入,最常見的就是科學園區,此類應用環境的特色是外界溝通比較少,機密資料不容易被複製、攜出,但合法使用者攜出資料的風險很高,例如:設備遺失等狀況,此時需要的是文件加密產品,以免資料外洩。

陳品翰進一步補充,企業如果有累積多年、不常異動的文件資料,也適合使用文件加密產品,以免使用者藉離職機會一併攜出資料。

第二、 資料頻繁交換 VS. 內容感知型DLP

在交換頻繁、資料經常在不同部門或不同合作夥伴間流動的環境下,若要防止資料外洩,比較適合使用的解決方案為內容感知型DLP,因為內容感知型DLP是針對內容去分析,進而判斷此文件是否為機密資料,避免員工人為疏失而洩露資料的風險。

不過,台灣微軟系統管理技術經理簡志偉對此則有不同看法,他指出在資料交換頻繁的環境下,應該使用文件加密或DRM的解決方案,內容感知型DLP會影響作業效率,對此,林育民認為,影響作業效率指的應該是以下兩種情況:第一、系統過濾速度太慢、文件送出太慢;第二、誤報頻率過高、需要配合人為檢查才能放行,就目前的內容過濾技術來看,這兩種都不是問題,前者只要擴充系統容量就可以,後者則是選擇辨識精確較高的產品即可。

其實,企業也可以視資料交換的對象來選擇解決方案,如果是在內部不同部門間流動,可以選擇內容感知型DLP,但若是外部交換,亦即與合作夥伴或上下游廠商交換資料,則使用加密或DRM的產品較為恰當。

第三、 文件版本多 VS. DRM

如果文件本身有比較強的版本控制需求,且在文件產生的當下就要做加密,例如:公文、研發資料、教材等,就適合使用DRM解決方案,讓使用者在被規範的環境裡閱讀,比較不適用加密產品,第一個原因是使用者只要握有解密的Key,在企業外部也能閱讀,二來是萬一使用者在傳送過程中輸入錯誤的收件者,即便是加密之後再傳,結果同樣是傳出去了。


第四、 網路實體隔離環境 VS. 端點安控軟體

除了上述3點之外,陳品翰提出第四點看法,在網路實體隔離的環境(如:銀行),亦即使用者不能連上外部網站或使用即時通訊軟體的環境下,適合使用端點安控軟體,因為企業把網路及Web-mail都鎖住了,不必擔心資料從閘道端流出去的風險,但會有複製至USB或竊取硬碟的風險。

應用ISO 27001規範來評估

除了應用環境以外,賴頌傑認為,資安軟體的選擇,還是要依據ISO 27001規範來選擇比較恰當:
第一、瞭解自身弱點:首先是應用IT資產盤點程序,瞭解弱點在哪裡,假設公司擁有大量NB,弱點就是資料隨著NB一起遺失的風險,如果公司透過網站經營業務,弱點就是被駭客攻擊的風險。

第二、取得高層支持:制定公司的資料外洩防護文件或守則,及可以容忍的風險範圍,並在高層支持下要求全體員工遵循守則,如:為了維護資料安全,希望員工不要帶USB至公司。

第三、選購資訊安全產品:依據可以容忍的風險範圍及資安弱點,選購資訊安全解決方案,每一家企業對內容防護的方向不同,所需要的產品也就不一樣,每種產品都有強項及弱點,例如:Gateway型產品對3G設備,就完全沒有防護能力,企業只能視自身預算及風險承受度,評估資安防護要做到何種程度。

蘇隄進一步強調,企業在規劃資安預算時,應該先評估資料外洩可能造成的損失,設定自身可以承擔的損失額度,再來編列購買資安設備的預算,而不是一開始就喊沒有預算。

 

單一工具非萬能 相互搭配效果加倍

企業防制資料外洩是個複雜的議題,並不是單靠某一種資安解決方案就能辦到,不同解決方案的相互搭配,不僅可以縮短產品導入時間,還能發揮雙重效果。

以內容感知型DLP與加密為例,兩者相互搭配的好處是,內容感知型DLP管控可以涵蓋到加密管轄不到的應用程式,例如:即時通訊軟體、Web mail等等,如果有人照著加密文件的內容重新登打一次,並儲存成沒有被規範的文件格式,就會內容感知型DLP偵測出來,至於加密產品則能簡化內容感知型DLP Policy的設定工作,讓Policy收斂過程更加快速,例如:內容感知型DLP Policy可以設定哪些員工擁有寄送加密文件的權限,一旦DLP偵測到沒有權限的人卻試圖傳送加密文件,就會立即攔阻下來。

有些導入DLP的公司,因為業務性質特殊,經常與上下廠商交換資料,或是業務員在外拜訪客戶需要使用文件,此時,企業若仍限制檔案不能複製至USB或傳送,反而造成使用上不方便,比較恰當的管控做法是搭配加密軟體,員工可以將檔案複製至USB,但前提是該檔案必須經過加密處理。

另外,閘道型內容感知DLP也可以和端點安控軟體搭配使用。陳品翰表示,閘道型內容感知DLP具備方便與彈性,好處是集中管控公司所有電腦、內部資料流通順暢、完整Log記錄,缺點是無法管控非經由公司網路的資料傳輸行為,所以有些企業選擇將端點安控軟體搭配閘道型內容感知DLP使用。

結論

其實,無論企業採用哪一種解決方案,都能達到防制資料外洩的目的,只是程度多寡的差異,然而,比採購設備更重要的就是管理,林育民指出,企業若沒有落實文件管控政策,或指派人力監控系統記錄,無論導入哪一種資安設備都不會太大的成效。

舉例來說,內容感知型DLP最擔心誤判/誤報的情況,如果頻率太高,代表MIS經常要去做放行的動作,反而增加作業負擔,除非能適時修正Policy、降低誤判/誤報的頻率,但很多企業在導入系統後就不予理會,連系統Log都不看,根本沒辦法進行Policy調校設定,自然也不可能降低誤判/誤報的機率。

陳品翰認為,就防制資料外洩來看,教育訓練是比資安工具更有效的方法。從過往企業資料外洩事件來看,有很多是因為內部員工的疏失、無意間洩露資料所造成,透過系統性地資安訓練課程、演練、及測試,提昇員工的安全意識,降低因好奇而開啟垃圾郵件或含有病毒/木馬附件檔的機率,不失為降低資料外洩風險的好方法。

企業必須明白,任何一種資安工具都沒有辦法做到百分之百的保障,防制資料外洩解決方案亦是如此,它沒有辦法達到百分百不會洩密的目的,但至少可以發揮嚇阻作用,讓員工在使用公司文件時能夠更加謹慎,降低企業資料外洩的風險。

 

賽門鐵克大中華區首席安全顧問林育民表示,企業若沒有落實文件管控政策,或指派人力監控系統記錄,無論導入哪一種資安設備都不會太大的成效。 

思訊電腦專案經理陳兆祥指出,內容感知型DLP控管的對象是資料與檔案,至於端點安控軟體則是使用者行為管理,不僅可以管理使用者對檔案的複製、編輯、列印、儲存,還包括其他電腦使用行為。

精品科技技術總監賴頌傑強調,資安軟體的選擇,沒有一定的標準,企業應該依據ISO 27001規範來評估較為恰當。

優碩資訊產品經理陳品翰認為,就防制資料外洩來看,教育訓練是比採購資安工具更有效的方法。 

數位資安總經理蘇隄表示,企業在規劃資安預算時,應該先評估資料外洩可能造成的損失,設定自身可以承擔的損失額度,再來編列購買資安設備的預算。