觀點

長期內、外抗戰 – DLP 資料外洩防範

2014 / 10 / 02
詹鴻基
長期內、外抗戰 – DLP 資料外洩防範

前幾年資安界話題最為熱門的不外乎是個資法議題。個資法從草案到而後的正式條文公布,其間爭議不斷,各界對於條文細則都有不同的意見及解讀方式,同時各產業與政府單位因應狀況落差仍大,各主管機關界定亦不明朗,因此個資法確實落實於各產業及政府單位則顯現得更為謹慎。

對於企業而言,在法案施行前的一兩年實為難熬的一段時光,因為在施行前企業需要找到因應的措施,以免個資法正式上路後因違反法令而造成莫大損失,而個資法實施這兩年來, 企業一開始時會擔心投資方向錯誤,因此做法上相對保守,以往比較偏向單一特定做法,如DLP (Data Loss Prevention, DLP)資料外洩防範 , 加密或軌跡紀錄…等。另外企業主以往都是拋出一個”需要做資料保護”的大議題給資安人員或是廠商,在此階段企業主對於資料保護方仍然是處在一個”知道要做”的階段但並未審視企業內部本身的資安問題根本出在哪裡。

隨著個資法實施這兩年後,企業對於打造企業資安有明顯的進步及不同於過往的做法。企業開始著重在不同解決方案的搭配,除了整個不同層面的產品或技術來達到資料保護的目的外,同時也思考企業內部流程以及搭配行政命令或教育訓練來確保整個企業環境的資訊安全。例如,郵件方面的個資保護來說, 相當多的企業做了Archiving之後,可以提供郵件的事後稽核及調閱,也開始針對外寄郵件的個資來導入DLP的機制,防止使用者有意或無意的將資料外洩,並且也結合加密的解決方案,將這些需要外寄的個資信件進行加密。

簡而言之,以往的單兵作戰已經轉變成協同防禦,同時思考如何將新的解決方案整合成現有的資安保護機制,打造一個完整且對使用者影響最低的有效資安環境。

防止資料外洩或是資料保護是一個不容忽視且長存的問題,需要長期抗戰。因此企業的防護重點應該是加固現有的控管機制,如隨身碟, 網路及郵件等傳統的漏洩管道。在政策的定義上,相關的資安策略也需要視情況或時間不同來進行適當調整。除了單純使用DLP的解決方案來防堵, 也應該要思考攜出的檔案都要加密, 以確保資料不慎遺失後並不會被有心人士將資料盜用。

企業開始思考導入企業配給行動裝置給員工,或是開放員工自備的行動裝置到企業內部使用,這些行動化所帶來的工作型態改變對企業資安政策衝擊其實相當大,因為使用者操作的端點是越來越多的不同平台作業系統, 加上雲端的興起,如何讓使用者可以享受行動化所帶來的便利且仍然可以確保資料的安全性則是下一個階段重要的課題,不論是在MDM(Mobile Device Management,MDM) 行動裝置管理的解決方案或是在檔案上面的加密都是企業不可忽視的一環。

最後,防止資料外洩的做法和解決方案目前大多是以內部員工有意或無意的角度來思考,但惡意程式所造成的資料外洩反而是企業這段時間所忽略的一點。惡意程式的威脅從傳統的病毒到現在進階威脅攻擊APT (Advanced Persistent Threat, APT)仍舊會是未來資料保護的一個隱憂,越來越多變的木馬、後門程式透過各種方式潛伏在企業內,透過這種方式所漏洩的資料對企業來說殺傷力的作用與內部員工有意或無意的漏洩資料都是不容小覷。

資訊安全的打造沒有速成的方式,資訊安全的防禦機制應該是層層堆疊,每個企業所需要的資安係數不盡相同,如何檢視目前企業內部的資安風險及漏洞,並思考如何結合不同的解決方案來確保資料安全同時還需兼顧使用者操作的可用性都是接下來這幾年企業們所需要密切留意的重要課題。

<作者目前任職於 Sophos台灣 技術經理 >