https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

建置篇:導入DLP的10大建置對策

2013 / 02 / 18
馬立強、編輯部
建置篇:導入DLP的10大建置對策

個資法上路,許多擁有大量個資的企業正擬訂個資保護管理計畫以及進行解決方案評選,而擁有研發機密資料的製造業也持續改進資料保護管制措施。不管企業是佈署網路DLP、端點DLP、檔案加密或資料庫加密,必須同時作好以下建置對策準備,才能提升導入成功率,發揮最大ROI。

對策1. 我該先買哪一個模組
DLP大致上分為三個模組(網路、端點、掃描),建置過程中雖然可以一次到位,但耗時耗力最後反而沒什麼成果,IT單位可能還被罵的滿頭包,這不是我們導入DLP希望看到的結果。應依企業的特性來考慮先建置哪個模組,待建置完畢後再進行下一階段,雖然建置工時可能會被拉長,但階段性來看,一個模組完成導入後,代表企業對機密資料的防護就提高了一層,例如個資散落在企業各主機或各電腦上,這時就該先以掃描模組進行盤點後再進行防禦,而如果原本個資就只存放在特定的主機或個人電腦中,這時就可考量端點模組,但如果企業內部使用者已被限制網路服務使用,可先透過網路模組進行出口封包管制,導入的時程也比較快進到下一階段。

專家觀點

賽門鐵克資深技術顧問張士龍認為,須先確認企業是否已經完成個資盤點與資料分類?了解重要的資料放在哪裡?是否有資料誤放的狀況?有哪些資料是需要被保護?當企業已經清楚內部資料重要資料型態與內容後,接下來就可以針對資料外洩防護開始著手進行。一般來說為了能立即產生效果,也避免影響端點運作,許多企業會選擇從網路端作為 DLP 導入第一步,等到政策調整與運作逐漸符合內部需求後,才會開始第二階段端點導入。趨勢科技資深技術總監戴燊指出,企業將視自身的個資應用類型、可能外洩管道與人而決定先買哪個DLP模組。例如,某些政府單位有內外網的區分,重要業務相關的資訊系統放在內網,外網則用來存取外部網路資源,此時防護重點在於內網連到外網的機率,網路 DLP意義不大,端點DLP比較符合需求,另外像金融業有Web ATM主機,除了對外部客戶提供服務,也需要連回內部主機存取資料,此時就需要考量網路DLP。

McAfee技術經理許力仁建議同時進行比較好,但若基於預算考量以階段性進行時,可參考以下原則:1.若企業對於要保護甚麼標的物,是要防內賊或防外部沒有明確想法時,可先採用DLP掃描的工具對檔案伺服器或是用戶端電腦進行尋找,或是放置網路DLP設備進行靜默側錄,以協助定義保護標的、範圍與採用的政策與工具。2.若是筆記型電腦居多的環境,由於使用者經常移動,固定在公司的網路DLP設備無法隨時保護移動設備,這時端點DLP效果較好。3.若希望減少管理與部署代理程式的負擔,網路DLP則是最快看到成效的建置模式。許多時候企業進行個資保護專案若一開始就使用掃描模組,一掃掃出上千萬個個資檔案,數量之大往往讓人無所適從。這時若先放網路DLP工具,讓它自動學習,會較快看出導入成效。此外,若專案中有管理顧問先協助進行個資業務流程的分析,大幅縮小掃出個資的範圍,也可讓企業較順利進行下一步。

精品科技稽核許樹龍副理、資安顧問許祐福認為,造成企業嚴重損失的重大洩密事件,多數來自內部人員所造成。因此建議先從網路芳鄰及端點防護著手。而騰泰科技認為,個資法已經上路,最快且直接的防護方式是將資料加密,先防洩再逐步完善其餘部分。企業可根據需求尋找加密解決方案,例如網路資料居多者就選資料庫加密、員工多在外面工作者則選硬碟加密、業務郵件寄發往來頻繁者可選擇郵件加密,文書儲存資料多且資料分散者建議用檔案加密。而檔案加密又分為自動與被動,以外洩防護來說,檔案自動加密能夠同時防範內部員工竊取機密,防洩效果較佳。


對策2. 政策我該用內建的嗎
很多DLP廠商對於個人資料的組合方式已有一套演算法,使用內建的政策的確可以加快上線時程,但符不符合組織內的需要,還是要依產業特性而訂,例如:金融業對內建個資的政策一定非常喜愛,只要微調一些細節即可上線,但如果是製造業,保護的標的可能是以RD文件為主,這時個人資料的政策就不是主要重點,此外政策的討論其實是一門學問,尤其如果是個資議題,更要求是否有符合當地法規,例如:金融業除了個資相關資料外,可能會考量帳戶演算原則、而汽車業可能會考量車籍資料(車號、引擎號碼)、電子商務業者可能會考量交易資料(物流單號、金流資料)等。

專家觀點
戴燊認為這與企業的個資使用習慣與流程有關,每個企業都有不同答案,例如金融業業務種類複雜,不同部門員工有不同使用權限,內控機制也相當嚴謹,這時就需要自行設定政策,才能配合現有作業流程,但若是沒有內控機制的企業,也許使用DLP內建的政策範本即可。

許力仁認為,內建政策通常是通用的關鍵字或是正規表示式(Regular Expression),如果剛好符合需要就可直接使用,但是由於企業的經營模式、組成人員、流程與文化都不同,許多部份必須依照需要自行調整或建立。因此解決方案須因應需要修改預設政策以符合實際狀況,以減少雜訊的出現影響DLP設備的事件判斷。然而許多專案負責人一開始也無法明確定義政策,這時解決方案應有將過去所有搜尋過濾的內容蒐集捕捉(capture)的能力,以協助自訂客製化政策。

Websense技術總監莊添發指出若單用正規表示式比對誤判率高,例如郵件中的簽名檔含有email等個資卻不需阻擋。必須搭配指紋比對檔,從資料庫把個資資料抓出來,把它做成不可逆的one way hash來比對。要降低誤判,良好的偵測技術非常重要。此外,對保險業來說,保單資訊等以PDF或圖片格式儲存的資料,若其中夾雜有機密資料,容易成為外洩管道,能整合OCR光學辨識的解決方案管控較為全面。

GTB亞太區業務經理趙泓叡指出,許多解決方案都有指紋比對技術,然而若要提升比對偵測率,以資料庫來說,應能將政策細緻化到針對欄位與欄位間設立指紋檔,不只針對單一欄位,這樣更可降低誤判。精品科技建議實際運作時,先觀察實際上線以後取得的行為記錄,比對企業的資安政策,辨別那些屬於正常行為,那些屬於異常行為,並且對內建資安政策進行部份微調,逐步調整成符合實際企業運作的資安政策。


對策3. 該不該整合帳戶原則
各家DLP都有整合AD、LDAP等方式將組織帳號結構整合至DLP,優點在於發生事件時,通知的對象可以依組織發送通知至主管甚至稽核人員,且AD帳號結構有變動時,DLP也因同步的關係,更新至組織內最新的結構,但在建置這樣的方式時需考慮幾項重點
A. 企業內是否有AD或LDAP的帳號結構
B. 對於帳號結構是否有依人事系統、專案臨時組織方式設計
C. 組織變動的頻率及變動時是否有即時同步至DLP
這樣的功能固然好用,但如果原有的帳號結構已先天不良,可以考慮用人工匯入的方式來因應,待帳號基礎架構已完善後再行整合。


4. 誰該登入管理後台

IT單位在指派登入權限時一定很頭大,原因在於DLP事件的保存都有大量個人資料或公司的機密資料,IT部門是主機的管理者,但DLP的管理者就不一定是IT人員,所以在權限的設計上可以分為幾層:
A. 管理者,需要進行系統調校、政策調整、權限設定、報表調整
B. 稽核人員,對於事件進行細部查核及等級判定
C. 單位主管,對於部門內同仁有發生事件進行檢核及統計事件之查核
然而在權限設計上如果過於分工,可能會讓企業主認為IT部門想卸責,將責任轉嫁至稽核單位,其實IT部門最重要的責任是對於DLP系統的日常維運,所以權限初期可以設定三類,例如DLP管理者(系統維運與政策調整)、稽核單位人員(事件追蹤與事件等級確認)、OP人員(事件分派)。

專家觀點
趨勢科技技術顧問吳宗霖認為,權限設計儘管可分成3級,但是並非每一家企業都需要做這麼精細的權限設計,例如中小企業並沒有這麼多的管理人力,或像是製造業者把DLP當成工具(類似防毒軟體找出病毒並予清除的概念),只要能阻擋當下違規的行為,沒有太多的管理需求,此時只要能接收報表就可以。精品科技建議,依權限最小化原則,應僅給予不同角色所需的後台管理權限。例如稽核,只檢查政策是否符合公司資安管理制度,但不用看到詳細軌跡記錄;而IT負責設定政策和確保系統運作,也不應看到詳細軌跡內容。所有登入管理後台的時間和操作行為應留下完整記錄。

5. 在線事件保存年限
DLP在建置初期一定有非常多的誤判或過多的資訊事件,需經過長時間的調校或降低事件等級,才能讓有效事件數降低。然而每一事件有可能依據不同產業的特性,將外洩檔案或掃出符合個資的檔案存留附本於DLP中,進而產生過大的事件檔案。企業往往在導入前未考量到事件量佔據儲存空間的比例(其實就算做POC也難估事件儲存精準量),所以不要等到空間要滿了才考慮將DLP的空間進行瘦身。除了考量主機的事件量外,也需考量在線事件的保存年限,有些主管機關要求7年,有些則為10年,依不同產業而定,所以在建置的階段應考慮更有彈性的儲存方式,例如區域儲存網路(SAN)、虛擬環境,都可因儲存空間不足時動態進行增大,但增大並非無限上綱,還是要考量到保存期限,進行事件減量的動作。

專家觀點
許力仁認為,若是依規則而觸發的事件,這類事件應該都是明確違反使用的情況,建議至少保存3-5年,另一種是網路流量的暫存資料,通常用來進行網路行為分析、未知洩漏事件查找、協助定義與調整規則、驗證規則的正確性與資料探勘等,這類事件因為資料量龐大,如果要存放數年將會對儲存空間產生極大的壓力,另外大資料量的搜尋也相當耗費資源和時間,因此建議以先進先出方式保存一段時間,數個月時間的暫存量是滿合適的選擇。

莊添發建議存放半年到一年,可透過解決方案archive歸檔機制,將meta資料用檔案加密方式儲存起來。由於附件是分開存放,沒有寫進去DLP系統,所以這部分不用佔用儲存空間。


6. 個資盤點該如何導入
個資盤點是目前很多企業為了符合個資法的首要作業,顧問服務方式不在此討論,使用DLP的個資盤點模組是最快速有效的方法,尤其針對一些企業有上百甚至上千台的個資主機(資料庫、檔案伺服器等),可以在最短時間內完成盤點,可使存放在個人電腦上的個資讓員工再次確認:是否有已靜止過久的資料,可移除或移入統一存放個資的主機上?此外為了進行盤點的有效性,可依主機的特性、數量、存放的網路位置,進行時程盤點,不管是各部門主管要稽核用,主管機關要求提供盤點報表,都能提供最新的盤點資料。

專家觀點
張士龍指出,在做個資盤點時,最大的問題是企業在掃描完內部資料或檔案之後,會意外發現某些檔案被放在錯誤的地方,但是卻不清楚到底是誰放錯檔案,因此掌握檔案資料的擁有者,或是最常使用、存取的使用者是誰,對企業來說很重要。解決方案應該具備整合檔案存取權限日誌記錄的功能,能有效記錄檔案的擁有者、存取權限,或是記錄最常使用、前一次更改資料的使用者是誰,如此一來,便能增加對檔案的了解。

DLP掃描設備可以協助檔案伺服器的檔案造冊、分類自動化,許力仁認為對於大量資料的盤查建議先造冊後掌握檔案數量與格式分布的狀況後,再進行對內容的比對,將有興趣的資料分類出來。此外也建議以小局部或是指定位置的方式進行盤點工作,比較容易掌握進度與結果的產出。第一次盤點後,建議對找到的結果進行調整,對於必要存在且經常變化的位置定義排程掃描作業,每隔一段時間複檢。趙泓叡認為,一般企業很清楚要保護的客戶/員工原始檔案存放在哪些系統中,可以直接建立檔案指紋掃描檔或資料庫指紋檔做為Baseline來進行個資盤點,除非是中小企業的資料散佈在業務營運流程的不同部門中,這時才建議先以掃描工具的方式來導入。


7. 報表統計資訊
DLP所包含的報表非常多樣化,管理者在初期一定使用內建居多,在觀察一段時間後,才會依自己的需求進行調整,例如依不同的通訊協定進行統計,依部門進行統計,依電子郵件外洩比例統計,甚至針對主機存放的個資筆數進行統計,端看使用者的需要來進行調整。此外各部門主管一定不會操作DLP系統,如果要查閱部門內外洩狀況,還需DLP管理者進行人工產生報表,如可以以排程方式讓各部門主管上班時收到前一天統計的狀況,除自動減低DLP管理者的登入操作外,也能馬上了解部門的異狀並進行下一步的改善動作。

專家觀點
報表統計資訊是導入DLP後最重要的事情,張士龍認為透過階層式報表(Hierarchy report),可依照不同的階層來呈現、分類違規事件,可以產生對企業更友善的報表。管理人員可以選擇自己想要的屬性,並可根據員工部門、員工姓名、部門別或是辦公室地點等屬性做統計數據。精品科技認為DLP報表工具應依據原始記錄,轉化成圓餅圖或長條圖,甚至拉長時間軸,得出資安趨勢走向圖,呈現給主管掌握現況。最好也要能設定操作行為的合理門檻值,例如上網時間,或是列印張數,在惡意行為的發生初期就能獲得預警。

莊添發也認為報表做為一種管理工具,對資料保護相當重要。不僅如此,流程管理的方便性也須考量在內。當各部門主管收到系統自動發出的通知信,必須在檢視信件內容,確認沒有外洩之虞,就可立即回覆予以放行,才不會增加管理者負擔。趨勢科技在報表統計上,除了內建標準範本外,亦可依照企業簽核流程設計客製化報表,此外若從報表中看出某些異常事件屬於營業行為所造成,就可以進一步去思考調整政策的必要性。



8. 主機分流
每家企業規模不同,網路架構也是如此,DLP在建置時,也許只要一台網路端點監控即可,隨著流量變大、監控的VLAN變多、甚至在進行個資盤點的主機可能也跨越路由器,此時就該考慮在監控點佈署一台DLP監控主機,以利收集該區段之事件後,再統一回流至DLP主機,這樣除了可以減低網路流量可能處於滿載的情況外,對於網路或安全設備管理者,設定上也會簡便許多。

專家觀點
張士龍認為,大型的組織適合透過階層式的方法來做。以單一階層來說,可以將管理平台跟監控系統放在一台機器;如果是多重階層(multi-tier)的方式,則可以將管理平台放在一台機器,監控主機另外放一台機器;另外,全方位分散式架構則是將資料庫、管理平台與偵測主機全部分開。許力仁建議可在HTTP、SMTP佈署監控主機,若觸發則通知中央管理主機,中央管理主機能夠統一管理端點、掃描、網路的DLP機制。

精品科技建議,除了要能在各分點佈署一台DLP監控主機,以利先收集該分點之事件記錄。最好還要能分別設定回傳至中央DLP主機的時間點。例如高雄晚上11點開始回傳,上海半夜1點開始回傳,深圳半夜3點開始回傳。這樣就能充分利用離峰時段的頻?,在不影響原有業務效率的情況下達成中央控管需求。


9. 災難復原
DLP主機上所儲存任一事件都是極為重要的,當主機有可能因為硬體故障等因素造成服務中止,回復系統就是一件大工程,所以平時就必須做好相關的措施,例如備份系統、備援主機等,也須定期進行系統復原演練,以避免真正發生災難時措手不及,然而如果DLP有內建備援機制,例如備份至離線的事件可以直接掛載查詢、減化重建相同環境即可調閱歷史資料、安裝減化措施(一鍵安裝),更讓災難復原的時間更為短暫。
專家觀點
精品科技認為在導入資安管理時,會利用風險評估及營運衝擊分析來確認企業重要營運系統,並據以作為建立災害復原程序。由於資安防護軟體,除了防護功能外,尚包含記錄重要事件之功能。因此在災害復原考量的內容與一般ERP系統無異,皆須包括軟體、硬體、資料、人員及復原程序。許力仁也認為中央管理主機管理所有的DLP機制,為了避免因為意外而喪失功能,可以透過Active/Standby 架構做到故障時立刻接手的效果,或是定期備份設定與資料庫,當發生災難時可用來復原使機制繼續運作。


10. 教育訓練及服務
良好的系統也必須有完整的教育訓練,除了有完整的技術文件手冊外,如廠商能提供完整的產品教育訓練服務,也能讓管理者比較快上手,另外依不用角色提供不同的操作訓練,更能符合客戶的需求,因為DLP系統不像一般的設備,只要有廠商定期來維護即可,是須要花心思才能有效達成功效,此外廠商的後續服務也很重要,除了軟硬體有定期套件的更新外,是否也能協助客戶討論政策、報表、權限的咨詢服務更為重要,此外技術服務力甚為重要,因為廠商總有人力汰換的情況發生,新人無法接手的情況時有所聞,慎選建置及維護廠商也是值得考慮的因素。

以上提出DLP系統在導入建置時應該注意的10大重點,下一篇則探討系統上線後的持續改進與優化。