https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

考量軌跡資料運用度 DLP未被看見的舉證潛力

2012 / 11 / 21
吳依恂
考量軌跡資料運用度  DLP未被看見的舉證潛力

對於個資法的舉證,目前並沒有明確的規範,即使要設立標準,看來在短期內也無法準備完成,各家企業對於要做到何種程度的舉證,莫衷一是。因此對於將來資安解決方案的廠商,如防制資料外洩的DLP、安全閘道監控設備等,應該如何滿足「數位證據同一性」,以提供軌跡資料的佐證?行政院科技會報方面表示,此事已納入規劃,不過目前仍處於計劃階段。不過,仍有積極主動的企業,希望能夠尋找出最佳解,因此本篇文章也希望能夠透過一個較具整合性的解決方案來提高未來舉證的可靠性,而並非單點式的解決方案。


尋找從防禦、側錄到舉證的解決方案

在此我們也探討到目前各種資安防禦、側錄設備,能夠做到的舉證(或與記錄管理類產品整合)程度為何?該不該整合?是否可以達到數位證據同一性?現行又有哪些解決方案可提供?甚至是在採購相關解決方案時,應如何達到未來舉證的擴充性。

 

過去有不少金融單位採購記錄管理解決方案,其主要原因在於之前詐騙活動猖獗,主管機關針對此提出一些控制措施,要求金融單位需作到存取控制稽核(註),儘管並非強制要求,但有這樣的機制對稽核來說是相當方便且靈活的作法。此外,若為了後來因應個資法的需求,亦有電子商務、網路銀行等產業,將含有大量個人資料檔案的設備或資料庫進行Log的集中管理與監控,但是否要再往下佈署到內部伺服器,在法規尚未有明確標準與成本衡量之間,企業仍多有遲疑。

 

軌跡資料指的是個人資料在蒐集、處理、利用過程中所產生,非屬於原蒐集的個資本體之衍生資訊,包括(但不限於)資料存取人之代號、存取時間、使用設備代號、網路位址(IP)、經過之網路路徑等,可用於比對、查證資料存取之適當性。過去的個資法施行細則將個資保護範疇包含了備份及軌跡資料,不過根據消息來源指出,基於企業成本與系統考量等,最新一版的個資法施行細則已不含軌跡資料,也就是說,個資的定義並不包含這些Log資料,已不再要求將軌跡資料當作個資來保護,而主要是將軌跡資料做為將來舉證的材料之一。因此軌跡資料或許不用大規模的全數蒐集,卻必須是被有效的運用。

 

先從存取控管看舉證

若從舉證的角度來考量,企業必須能夠看到從人、事、時、地、物的內容,來做整理、記錄,甚至是後續的佐證資料,至於如何管控則是遵照企業政策。敦陽科技資深行銷經理汪啟江建議,可以先把人事時地物的存取控管做好,再來做像DLP這種比較詳細的檢查。就如同一棟大樓裡有七、八個出入口,如果要鉅細靡遺的檢查將會耗費過多成本,所以做好存取控制有點像是把出入口限縮且只有員工能出入,這時再來做金屬探測或是檢查出入人員攜帶的內容物,負擔就小了。

 

存取控制建議大概可分做人、事、時、地、物-

人:例如網路設備都有IP位置可表示,透過微軟AD(Active Directory)IT設備的整合、認證,就可以知道是誰在使用網路 IP存取記錄,也包括權限的控管,例如哪個帳號可以進入到哪個伺服器。因此在每個人登入後,Log就可以做好集中保存控管,至於是否作事後的關連分析,則又是另外一件事。

 

事:過去的閘道端設備都是辨識port 80,但現今越來越多商用、娛樂的應用程式、Web mail都必須透過支援第七層應用程式的網路設備辨識出來,不僅是IP位址,而是串連起應用程式與AD,如此便能透過產出記錄去發掘,什麼人正在用什麼樣的應用程式,例如透過E-mail往外傳機敏資料或是到惡意網站去下載惡意程式。

 

時:注意管制的設備必須與Time Server統一對時,無論是防火牆、IPS等眾多網路設備,產生的Log都會有時間標記,這些設備的傳輸都是以毫秒計,時間誤差即使是幾分鐘,都可能會判定成另外的事件,因此造成關聯分析時的誤差,屆時若需舉證則有公信力問題。

 

地:有些攻擊流量會從奇怪的地方來,例如一直非業務區塊來的網路流量存取,一樣可從Log來看存取IP、來源IP

 

物:傳什麼資料?許多Gateway端設備,如下一世代防火牆大部分都沒有側錄功能,如果傳輸出去的資料有夾檔的話,頂多是記錄到檔名,所以如果有搭配側錄內容的解決方案,則在發生問題時就更可以拿來做為數位鑑識佐證之用。

 

這些資訊都分散在各個平台上,必須要有個共通平台來看這些資訊,早期會透過網路管理平台或系統管理平台來管理,但這只是設備管理,並沒有辦法看到細節的資訊。若要真正的連動,則必須要看各家SI可以做到什麼程度。並且除了在各式各樣設備之上,日誌管理系統(Log Management LM)蒐集資料可能需要客製化之外,由於許多IT設備本就是針對系統資訊蒐集資訊,所以LM本身對於個資欄位收集也有缺乏深度的疑慮。

敦陽科技資深行銷經理汪啟江指出,LM若要與相關閘道側錄設備整合可能需要客製化,看各家SI可做到甚麼程度。

DLP不只可防禦也可提供舉證

若要符合現階段個資舉證的要求,主要是看軌跡記錄的機制,精誠資訊資安顧問林文腕說,在很多人的觀念裡DLP被認為是拿來作防止外洩的工具,而軌跡記錄就是LM,他說,其實不然,有許多我們稱之為外洩的軌跡記錄,其實都在DLP裡面可找到。因此若從資料外洩的佐證來看,DLP或許就可以提供這方面的需求,或許透過與LM的整合,資安人員可以更方便查詢,但光是從組織層面上來看,要做到這方面整合也並非易事。

精誠資訊資安顧問林文腕表示,DLP就可提供資料外洩的佐證,透過與LM的整合,可讓資安人員更方便查詢。

 

舉例來說,無論是製造業或金融業,許多掌管DLPLM解決方案的都是不同承辦人,LM可以分權限登入,所以應用程式開發、系統、網路、資安各部門都可登入進去一個集中式的面板,檢視各自的監控記錄。而DLP本身對外洩事件的蒐集也做得相當完整,甚至連原始存檔記錄都有,由於太過機敏,最大的外洩風險甚至可能就在IT人員身上,所以應該由風險控管或稽核單位的人來管理,IT僅負責建置、維護即可。

 

前面提到,過去可能已經有些企業買了LM用做稽核或控管之用,此時我們思考,是否需要將DLPLM做整合?DLP收集了主要外洩事件,但LM可能也收集了其他主機事件的外洩。DLP的資料產出可分Syslog與原始檔案,後者如WordExcelPDF類的檔案,無法被收集Syslog欄位的LM產品所囊括。林文腕說,其實Syslog吐出的欄位有限,並不完整,多是一行一行的文字檔儲存,若最原始的DLP欄位有20個,則部分夾檔內容,不管是截取到畫面或是防禦了什麼,是無法以Syslog形式產出的。

 

Websense 台灣區技術總監莊添發也表示,LM目前收集的內容多為連線記錄,沒有針對資料內容分析的資訊,DLP 能夠補強這一塊的不足。過去許多資料外洩事件, 透過日誌分析找出了原因, 但卻缺乏資料傳送的記錄。因此企業可先建置DLP,並一併考量集中收集日誌的管理。

 

另外像是對DLP本身的操作記錄也並非獨立,所以是否有哪個稽核或管理員對系統安全等級變動過? 或是開了檔案?可能都是一個死角。林文腕建議,為求便利性,可以在Syslog裡面加上連結欄位,當收到LM的警示信後,發現有問題便可LinkDLP的監控台,直接看到該起資安事件的完整畫面。

 

此外,也看LM是否支援DLP,若不支援則可能需要客製化,但又不可能全部客製化,莊添發認為這可能會事倍功半,LM的客製化必須設定欄位定義,要自己產生報表、交叉關連分析也需客製化,而負責客製化的人員也不一定對Log了解,除了要一個欄位一個欄位定義, 還得先訂義多少種類別,再定義到LM的邏輯、欄位的屬性等,可能會花許多工夫但仍不完整。

 

結論

回到最先我們探討的問題,各種資安防禦、側錄設備,能夠做到的舉證程度為何?該不該整合?是否可以達到數位證據同一性?簡單說,僅是DLP或許也可提供明確的資料外洩舉證資料,但仍需注意其他未盡資料,因此亦可再透過LM資料的集中控管,蒐集其他佐證資料。

 

 

註:100年度金融機構主要檢查缺失(http://www.feb.gov.tw/ch/home.jsp?id=91&parentpath=0529&mcustomize=onemessages_view.jsp&dataserno=201203010001&aplistdn=ou=dataou=disclosuresou=oneou=chineseou=ap_rooto=fscc=tw&toolsflag=Y)