隨著巨量資料時代的到來,公司資料已達泛濫程度,加上外洩管道百百種,涉及機密專案與資料的人員日益複雜,而行動化與BYOD潮流更讓裝置管理的難度攀升,這些都是導致資料防護戰線愈來愈擴大的重要因素。所以想要打贏權限者資料外洩防護戰役,必須先縮小戰場、集中火力,才能看到事半功倍的曙光。
既然攻防的重點都在資料身上,企業首要工作莫過於資料大普查,亦即搞清楚企業內部資料的位置、數量與類型,然後進行資料機密等級的分類與定義,畢竟當前資料那麼多,多到連企業都必須藉助巨量資料技術才能從中挖掘到想要的商業智慧與洞見。所以資料不預先做好定義及分類,致使防護範圍太大,只會讓防護機制無從防起,最後落得花了錢卻跟毫無防護機制一樣的下場。
資料定義完之後,牽涉智財等機密檔案當然非防不可,其明確性無庸置疑,但除此之外到底要不要防,則是企業必須要界定清楚的。再者,隨著個資法推行,員工資料自然也成為外洩防護的重點,尤其要建立針對內賊(例如人資或內部活動舉辦人員)藉由職務之便竊取其他員工個資的防範措施。
更重要的,既使特定人員有權存取其他員工或客戶資料,但企業也可透過限制其一次可以存取的數量並輔以異常行為監控機制,儘可能地將風險限縮控制在最低程度。最後則是資料的稽核追蹤,亦即加強掌握所有資料狀況的能力,舉凡資料在何處及何時被複製或傳輸,同時確保DLP、加密或SIEM等安全機制能夠適時到位地發揮作用。
建立縱深防禦的總體整合戰略與防護網
總之針對權限者的資料外洩防護,絕非單一資料外洩防護的產品所能因應,企業必須從以下幾個面向切入才能建立整合式的完善資料外洩防護機制,這也是今後資料外洩防護的明確發展方向。
1. 資料本身(DLP + 加密):資料探勘、定義及分類,再針對機密資料進行資料加密與DLP保護。
2. 使用者本身(身分識別管理 + 存取控制):前者主張有什麼權就做什麼事,但只能防範非法存取,合法權限會有防護漏洞;後者重點在於外部威脅。不論如何,至少可讓最機密的資料,僅限少數最高權限者才可存取。
3. 行為及事件本身(SIEM、員工上網行為或SOC):可區分出正常合法與異常非法之行為,搭配DLP等其他方案,可對異常行為儘可能地「即時」判斷與告警。
4. 裝置本身(BYOD政策 + MDM或MAM + VDI):可將分散各地的行動裝置納入到安全控管與安全政策分派的範疇內,至少可防止因裝置遺失或遭竊所引發的資料外洩,同時或許也可稍稍防止行動裝置及App成為有心內賊的外洩管道。再者,透過虛擬桌面,可以集中控管所有端點系統、桌面環境、應用程式與資料,在員工只能線上存取而無法直接複製資料的情況下,多少可降低資料外洩風險。
5. 應用程式本身(應用控管):可杜絕不當應用成為內賊外洩的管道,但應用控管原本目的仍是針對外部攻擊。