儘管過去採行「主外」的防護策略,如今各家企業已漸漸開始將重點移防駐點在內部安控與稽核上。不僅如此,一個完善的資料外洩防護機制絕不能限縮在單一產品上,而會朝向協同防禦及內外兼具的方向發展。為了因應今後來自內外部的資料攻擊威脅,企業到底該如何打造完備有效的整體性資料外洩防禦攻勢,就當前資安業界14位專家的寶貴意見後[ 詳請參閱此篇文章: 14家資安專家- 分享資料外洩防護導入分析與建議 ],特別匯整成原則面與整合面兩大面向的建議供讀者們參考。
資料外洩防護 2大面向、9大建議
原則面的建議
1. 盤點各種可能的外洩管道
當前企業的外洩管道非常多元,除了實體隨身碟及外接式硬碟外,從傳統的電子郵件、即時通訊、網站,再到當前熱門的Line、行動App、雲端儲存與各類型手持裝置全都是資料外洩的可能管道。企業應該就自身環境與員工需求,來評估這些管道的風險程度,並在預算允許或另行爭取的狀況下,給予不同層級的安全控管及防護。
此外,企業必須加固隨身碟、網路及郵件等常見外洩管道的安全控管機制。在駭客與內賊的因應上,企業應具備郵件與Web雙向進出管道內容的檢測機制,才能杜絕任何內外資料竊賊的不軌之舉。
2. 重點優先再循序漸近地擴大導入
由於資料外洩防護的面向太廣,即使預算再充足,恐怕也無法做到百分之百的完善部署,更何況大部分企業限於經費有限,自然必須先就自身的狀況與需求,而將有限資源先放在最急迫的安全防護點上,然後再循序漸近地進行其他防護面向的加強工作,進而逐步完善整體資料外洩防護的能力。
針對所有敏感性資料,企業必須就產出、人員處理、權限管理與資料外洩防護等議題釐清出重點,並訂定資料安全政策。針對DLP方案的部署策略,不妨先從閘道端的網路DLP開始部署,在成效顯現,同時全公司上下大致奠定良好的資料安全與隱私權意識後,便可以逐步擴大到端點DLP的導入,如此便可降低端點使用者的反彈與日常作業上的影響。
總而言之,同樣的策略也可適用於其他產品的逐步導入上,不論是由外而內,還是從閘道到端點的部署策略,除了全視企業自身需求或經一番評估而定外,最重要的就是先從重點項目開始,再循序漸近而為,如此才是最穩當的做法。
3. 資安政策的擬定、宣導、培訓與稽核
面對資料外洩的各種威脅就宛如作戰一般,所以光有精良的武器,卻沒有整體戰略與中心思想是無法打贏勝仗的。所以除了導入良好的資料外洩防護方案外,更重要的,莫過於敏感資料保護政策的擬定、宣導,培訓與稽核,否則將會流於形式,就如同驚爆食安問題背後的每家廠商都拿到優良食品GMP標章一樣諷刺。
另外需要強調的是定期現況稽核的重要性,唯有如此才能避免輕忽或不當的建置與設定,否則花了預算與心力,結果仍引起資料外洩事件的發生,如此悲慘的結果恐非一句得不償失所能道盡。
4. 從組織面、流程面及技術面三管齊下
儘管企業囿於經費無法一開始就做好全面性的資料外洩防護或個資法規遵循,但仍必須具備全公司資料外洩防護整體全貌的了解,唯有如此才能擬定出循序漸近逐步達成的總體戰略。
對此,可從組織面、流程面及技術面三管齊下來逐步做好全面性的資料外洩風險管控。其中組織面涉及所有內部人員、合作夥伴人員、各種軟硬設備與裝置,以及本地端、分公司、合作夥伴處、公開場所與家庭等不同環境,換言之,資料外洩防護所要保護並偵測的對象,並不僅止於內部員工及企業內部而已,合作夥伴與公司防火牆之外的地方都要儘量顧及才行。
再就流程面而言,則涵蓋所有內部工作流程,以及合作夥伴及上下游供應鏈之間作業流程的管控。至於技術面,則包括採購、部署策略及總體安全政策的擬定、員工資安意識與安全人員能力的強化、內控與稽核的全面落實,乃至於採購決策分析機制的建立等。
整合面的專家建議
1. 建立內外兼具的整合性資料外洩防護機制
雖然長久以來,企業內賊一直被視為是資料外洩的最大元兇,但隨著APT攻擊的出現,其在資料外洩上的影響程度與破壞力已然不輸內賊。所以對於企業而言,不論外部惡意攻擊或有心內賊竊密所造成的威脅不分軒輊、同等重要,企業實有建立內外兼具與整合性之資料外洩防護機制的必要。
值得強調的是,單純只靠DLP並無法有效解決資料外洩問題,對此,必須從源頭著手然後配合監測、阻絕及還原機制,如此才能在不斷循環性地調整資安政策與管控措施下,達到完整有效的資安防護機制。
儘管當前DLP有很多類型,如網路DLP、郵件DLP與端點DLP,但即使全都導入,仍無法應付得了來自內外部的竊密攻擊,這中間必須同時搭配IDM、DRM、SIEM、NAC、資料庫安全及MDM/MAM等方案,才能共同組成完備的資料外洩防護網。
2. 能與既有系統整合
當前整合性資料外洩防護機制有另外值得注意的發展趨勢,亦即以往的單兵作戰做法發展至今,已經逐漸轉變成為協同防禦模式,換言之,企業除了以協同整合的思維搭配建置各種全新資料外洩防護方案外,對於企業既有的安全方案,也應該一併納入到整體資料外洩防護的協同體系之中。
畢竟企業會有預算上的限制,既有系統的整合與協同自然變得很重要,如此才能打造一個完整且對使用者影響性最小的資安環境。另外要提醒的是,企業在採購新的資料外洩方案時,也要考量其與企業既有方案或業界其他產品的相容性與整合性。
3. 強化SSL封包檢視能力
當前純粹的DLP方案並無法對加密流量進行檢測,就以Web DLP來說,該方案必須搭配Proxy先將HTTPS流量解密之後,再透過ICAP通訊協議將明碼資料傳遞給Web DLP進行檢測。換句話說,舉凡Network DLP與Email DLP都必須搭配Proxy設備或SSL可視性專屬設備才能看得見加密資料,進而建立對所有SSL或非SSL流量進行有效政策執行與控管的完備部署架構,如此也才能因應法規遵循上的要求。
隨著Google、Yahoo各項服務均採用HTTPS後,當前HTTPS流量已佔企業網路流量的40-50%,企業資安機制若無法解析HTTPS,等於只管了一半的流量,唯有透過SSL Proxy的部署,才能控管100%的Web流量。除此之外,原本用來確保網站真實性並保護傳輸內容安全的SSL傳輸加密機制,反而造成一般DLP設備內容分析上的障礙,但坊間SSL解密設備的價格與授權費不菲,不妨可以選擇支援通透模式SSL Proxy的DLP設備。
4. 因應巨量資料之精準資料外洩防護機制
隨著巨量資料時代的到來,意味著當前企業在內部資料越來越多的情況下,資料安全管理也會隨之更加嚴峻,換言之,企業需要建立一套更「精準」的數位資料防護機制。
畢竟身處巨量資料中,企業想進行機密資料的探勘、分析、分類及盤點,都免不了要「大海撈針」一番,不但增加資料盤點的難度,也妨礙資料外洩防護的即時性與時效性,致使原本該立即加以保護的機密資料仍處於高風險的狀態下。或許今後企業可選擇具備巨量資料分析功能的資料外洩防護方案或搭配性機制以為因應。
5. 行動化及雲端的因應
眾所周知的,安全與方便往往背道而馳,所以在行動化、BYOD及雲端運算開始大行其道後,其為端點使用者所帶來的方便性與工作效率雖然有目共睹,但對於資安防護的困難度與負荷的增加也是史無前例的,如何在確保工作效率與彈性度的同時,又能滿足資料外洩防護與法規遵循的要求,正考驗著當前企業與資安產業的智慧。
如今雲端與行動化所帶來的工作行為的改變,正劇烈改變企業今後發展的模式與方向。如何讓使用者可以享受行動化帶來的便利,同時仍可確保資料的安全性,會是下一階段的重大課題。或許具備針對雲端與行動化需求的端點DLP與MDM/MAM會成為必備解決方案。
延伸閱讀: [現況大直擊]14位資安專家- 分享資料外洩防護導入分析與建議