上回,如何不買DLP,一樣做到DLP? (上篇) 文章中提及了2 點資料外洩防治方式, 1. 定期現況查核 杜絕不當設定 2. 落實用戶監控 防堵洩資漏洞 , 接續與大家分享第三點。
3. 收集有效資訊 精準反應處置
前面我們談到,避免輕忽不當的設定導致資料受到不當人士的取用,更進一步提到, 即使是針對有合法權限的使用者,也要落實監控其資料使用到最後一哩;但我們卻不能忽略,這種將監控機制向下落實到用戶端的佈建,將會大大增加監控解決方案的事件量,導致分析或稽核人員眼花繚亂,從而無法追查真正有威脅性的資料外洩行為,並針對該行為建案追蹤處理。
筆者常見的狀況是,執行監控管理的單位,將Windows 平台內建的事件儲存機制 (Event)作為採集的目標,試圖利用物件稽核選項所產生的事件,來分析使用者對已取得資料的後續使用行為,殊不知,這些Windows event 非但數量龐大,又語焉不詳,不易與真正的操作行為作結合,以很單純的讀取檔案為例,僅僅一個點擊檔案開啓的動作,在Windows 事件檢視器中至少會留下十個細部參數不同,但是名稱全部叫做”物件存取稽核成功”的事件,這樣的資料形態,若再加上前面提到的大量向下部署,必然會對分析人員或稽核人員造成極大的困擾。
而企業面對這樣的兩難,可行的做法是,採用能脫離日誌層級,精確反應使用者操作行為,並能調節監控政策的解決方案,只針對真正有資料外洩之虞的事件,進行記錄與收集;例如檔案被寫入USB 儲存裝置,或是特定檔案被郵件軟體讀取(附件檔夾帶行為),甚至特定檔案被雲端硬碟程序讀取(上傳分享行為),如此就能將分析及監控作業的調查時間最小化,反應處置的速度最大化。
綜整前面幾個案例分析,提供實務採買設備或規劃DLP建議如下:
(1) 常態性針對內部環境的分析管理至為必要,透過相關報表檢閱各種帳號的合宜性,以及人員與資料的匹配關係是否合理,是強健企業資料保護體質的第一步,也是無法一蹴可及的基本功。
(2) 存有企業機敏資訊的各種平台(ex. 檔案伺服器、電子郵件、資料協作平台等)應建置完整的物件稽核解決方案,作為基礎的資料外洩防堵/預警措施。
(3) 物件稽核解決方案除部署在資料聚集的平台以外,應落實到資料應用的最後一個環節-使用者身上,才不至於在資料一離開其存放的平台之後,管理單位就對其流向及使用束手無策。
(4) 物件稽核解決方案應脫離陳舊的的日誌分析概念,收集到的事件必須能精準反映使用者操作行為,及資料被應用/處理的方式,才能進行最有效率的處置及反應。
本文作者目前任職於NetIQ Taiwan技術顧問
閱讀: (上篇) 資料外洩防治123 – 如何不買DLP,一樣做到DLP?