從2011年開始,個資及機敏資料外洩的事件層出不窮,涵蓋範圍從服務業、金融業、學校、甚至政府機關也都淪陷。有鑑於此,企業為維護其商譽、確保永續經營及社會道德觀感,開始尋覓可針對資料進行監控保護的資安相關解決方案,因此資料外洩防護(Data Loss Prevention, DLP)產品在台開始熱銷。
自去年(2012)十月個資法正式上路後,符合資料外洩防護或是個資法法規的產品,詢問度更是大增。以下根據中小企業導入DLP的經驗,提出在採購產品前的3個建議。
建議一:應不應該做個資盤點?
企業最常提出的問題是「有需要做個資盤點嗎?」或是「除了DB和Server之外,如果不確定個資及機敏資料還散落在哪些地方,這樣還可以監控資料外洩嗎?」。
其實,很多企業對資料保護或外洩防護的定義是模糊的,多數尚未釐清自身到底需要何種程度的防護,又或是企業的資安政策並未規範到資料防護,所以必須進行多次討論才能確認需求。至於那些已經確認資料保護需求的企業,因為公司部門多且業務流程繁複,考量到人工進行個資盤點的效果有限,所以多半希望先透過個資盤點軟體了解個資及機敏資料放在哪裡,好讓管理者據此設定個資及機敏資料的使用政策。
就目前已經完成初步盤點(紙本或電腦)的企業來看,多數反應是資安或IT人員看到一台電腦盤點出來就有400~500筆個資及機敏資料了,若要確認並統計每一台電腦的盤點結果,可能要花更久的時間,所以他們盤完後也不太想繼續追查下去,再加上這些資訊盤出來之後,也不曉得到底該怎麼運用比較好,從而喪失了進行個資盤點的意義。
其實,個資盤點對企業來說有以下3個好處,企業如果省略這個流程,當然也可以進行資料保護,但可能要花費比較多的時間與人力:
(1) 確認存取個資及機敏資料的業務流程為何:藉著盤點幫助公司重新評估在業務流程上,什麼時間點哪位同仁從後端資料庫中存取哪些個資及機敏資料,存取的次數有多頻繁,盤點結果可以協助管理者重新審核目前的業務流程中是否有可以改善加強資料保護之處,進而調整。
(2)確認個資及機敏資料放在哪裡:目前許多公司開始透過VM或是Thin Client的方式提供員工上班時處理公務,作業所需檔案看似存取在本機磁碟中,其實都是存放在後端File Server裡,照理來說終端不應該有任何個資及機敏資料。但凡事總有例外,透過盤點可以把這些存放在終端的檔案找出來,確認是否有留存之必要。若無,請立即刪除,若有,請評估是否有必要儲存在後端資料庫以外的地方。
(3)作為資料外洩防護政策的建立依據:資料外洩防護政策並不好設定,尤其當公司規模越大、部門單位越多、業務流程越複雜的時候,該怎麼防範、政策要怎麼設定就是一門很大的學問。如果要管理者立即設定政策,其實困難度是很高的,因為不同部門對個資及機敏資料的定義不同,會存取的個資及機敏資料也不一樣,不經過考量就直接設定的政策很容易造成使用者困擾,建議可以從盤點統計結果搭配群組設定做起,為企業各部門制定適用的資料外洩防護政策,徹底落實資料保護。
建議二:想清楚導入DLP產品的需求為何
DLP產品是因為個資及機敏資料外洩及個資法的議題受到眾多矚目,販售方式大致可分為:端點(Endpoint)、網路(Network)、及針對資料庫及檔案伺服器之主動式防護(Discovery)等三種解決方案,可分別提供企業對於重要資料不同程度的保護。
目前會採購的企業多半是為了符合個資法規範,再來就是因應不同主管機關針對所屬產業別進行的資安審查,但也有部份企業是因為本身擁有過多的個資及機敏資料,擔心發生資料外洩事件導致企業形象受損,無法永續經營,所以才會購買DLP產品。
多數中小型企業負責人對DLP產品往往抱持著一魚多吃的期望,既可以防止資料不當外洩,最好還能做認證授權(整合使用者及檔案存取權限),如果還能結合流程控管和數位版權控管(Digital Right Management, DRM)就更棒了。換言之,他們希望DLP產品可以有很多功能,且價格不要太貴,最好落在自身因應個資法所需增列的資安預算之內,只是這實在不可能,功能強大又好用的資安產品,費用一定會比同類型產品貴上許多,在無法看到立即效應的情況下,企業主便開始質疑是否有必要花這麼多錢做資料外洩防護。其實換個角度想,新版個資法調高了罰鍰和刑期的部分,最高可求償兩億元罰金之金額,兩相比較下,此類資安軟硬體設備的建置費用,還是相對值得投資的。
目前筆者所接觸到的中小企業客戶中,基於員工人數不多規模較小,大多採購端點型解決方案,此類DLP產品通常以User數來計價,且價格比採購網路型解決方案來得便宜。至於大型企業員工人數雖多但管理人員不多,這種狀況安裝端點型DLP,後續處理及維運作業容易增加管理人員負擔,因此傾向安裝網路型產品,在不改變現有架構情況下,減輕管理負擔。
對企業而言,倘若預算充足,建議同時導入端點及網路型DLP,雙管齊下的佈建方式,確保企業個資及機敏資料不管在內網還是外網,都能得到完整防護。
建議三:如何解決或避免導入時會遇到的問題
針對導入不同類型的DLP產品,需要做的準備也不同,企業本身規模架構、需求、可採購的預算上限、維運及管理人力的安排,都是導入此類產品前需要考量的因素。
倘若安裝的是端點型DLP,最大困擾是如何把Agent安裝在端點電腦上,還要有效管理確認該軟體已經被安裝,建議請DLP廠商提供企業員工可於內網自行下載安裝軟體的網頁,搭配上網控管的方式,未安裝該軟體者便無法上網,成功安裝並通過認證者則無此限制,透過這種方式完成產品安裝。
若能配合電腦資產管理系統一併使用,先確保終端是否有安全漏洞(例如:防毒軟體沒裝、Windows Update尚未更新…等),修復弱點後再安裝DLP產品,進而保障公司數位資產安全,但目前市售DLP產品多半著重於微軟Windows作業系統之防護,僅有少數廠商提供對異質平台如:OS X、Linux..等作業系統的DLP防護,選項十分有限。
此外要特別注意端點型DLP的Agent與現有應用程式之間相容性的問題,是否會因為應用程式改版或微軟patch更新導致無法或過度防護,加上企業客戶端常有許多客製化或自行開發的軟體,是否會因此導致相互干擾或無法併行使用,採購前最好先要求進行產品試用,確保上述問題不會發生。
若客戶傾向不改變現有運作架構,則建議佈署網路型DLP於企業內部,由此監控所有連結至此網路之端點,可減少維運管理的人力負擔,由於企業規模大小及其內部網路架構複雜程度不一,加上此類型產品多半以硬體Appliance方式販售,採購成本較高,所以採購前需要確認:是否提供多種網路佈署方式(Mirror、Bridge、Proxy)、且該產品在不同架構可支援的網路流量為何、提供哪些網路協定的防護(例如:HTTP、SMTP、FTP、TFTP、Telnet、Instant Messenger),是否需要整合第三方網路設備才能提供即時防護,也就是當使用者透過網路傳送含有機密資料之文件或訊息時,可即時中斷其網路傳輸行為,避免資料外洩,而非只提供事後稽核機制。
總結來說,企業在導入DLP產品前應該做好以下3點評估:
1. 為什麼要導入DLP產品?又該導入哪種類型的DLP產品?
依照企業需求,確定導入的目的為何?要保護的標的是什麼?並蒐集市售DLP產品資訊,訂出企業本身所需的功能,以確認該產品是否符合自身的需求。
2. 是否已界定企業資料類型、使用頻率與方式、及完成個資盤點?
確認導入產品前的前置作業是否已經完成,以便制定資料外洩防護政策。
3. 產品導入的規劃為何?
若同時採購多樣DLP產品,建議先導入網路型,在不影響既有架構下,可先以Mirror模式進行資料外洩的分析,做為調整政策的依據,經由企業員工適應期後,再開始採用阻擋方式防護。建議網路型導入時間最少半年之後,再倒入端點型,以達到完整資料外洩防護。
簡而言之,事前完成產品評估規劃前置作業,事中透過DLP達到資料外洩防護監控,事後藉由稽核資訊進行檢討或舉證保存,透過以上建置經驗分享,希望能幫助企業順利導入DLP產品、強化資料外洩能力。
本文作者現為中華電信研究院資通安全研究所研究員。