上篇提及到重新審視資料安全防護從不同的企業單位考量點不盡相同,本篇將要分享給大家~資料防外洩產品的選購重點建議。
雖說一般的資安設備、管理制度、稽核紀錄都能從旁協助「防範資料外洩」,但真正第一線負責面對及處理進行中的資料外洩事件的還是資料防外洩產品,資料防外洩產品又大致分為三類:網路DLP、端點DLP、DRM。
網路DLP 於網路閘道端架設DLP閘道器,以In-line或Mirror方式過濾各種通訊協定上的聯外通訊內容是否含有受保護機敏資料,再加以阻擋。
端點DLP 於端點上安裝軟體監控使用者欲寫入周邊裝置的檔案是否含有受保護機敏資料,更進階一點的是可以在筆電離開公司網路後對該筆電上網的網路通訊作離線的網路DLP。
DRM檔案權限管理 底層採用密碼學技術將受保護檔案加密,再根據使用者授權範圍開發檔案的各種使用權限(開啟/存檔/列印/螢幕擷取/…),並可與外部人員進行檔案交換。
針對前段所歸納的資料種類、威脅及弱點來選擇控制項目時,有以下7點建議可供參考:
1. DLP產品最重要的功能就是能夠「發現傳輸或使用中的資料為受保護的機敏資料,然後依據政策進行放行、阻擋或紀錄」,若僅是保護個人資料檔案,使用正規表示式、關鍵字的簡易作法還算堪用,產品也都會事先說明有誤判的機率就看使用單位能否接受;但若保護對象是營業秘密的話,還是建議採用具有指紋特徵碼偵測技術的DLP產品才能支援各種檔案,而且即使檔案被分割、部分擷取、壓縮都還要能夠準確偵測出來。
2. 因為越來越多的Web都採用SSL通訊加密保障網站訪客安全,所以解析HTTPS加密通訊內容已經算是網路DLP的必備功能,原理是透過內建的代理伺服器居中進行憑證置換,閘道器檢查過上傳內容不含機敏資料後再將資料透過第二段的HTTPS外傳。有些高檔的防火牆也可提供HTTPS解密(一樣透過Proxy技術),把中間解開的封包透過ICAP拋給DLP作資料過濾,但此功能也是要額外採購授權。SSL加解密相當耗費運算資源,所以在評估硬體規格的時候記得要考慮進去。
3. 加密是資安常用的手段,但同時也是資安的敵人,因為DLP系統無法看到事先經由其他加密系統所加密的檔案是否含有個資,所以如果在導入DLP之前已經導入了一般文件加密系統或DRM的話,不管是資料盤點工具或是網路DLP碰到這些加密檔案也是沒轍,一般建議作法是直接阻擋看不懂的加密檔案外傳,以避免員工規避DLP系統的檢查。
4. 那如果同時有DLP跟DRM的需求的話怎麼辦? 那就得考慮有跟DRM模組搭配的DLP產品,可以在資料盤點發現到機敏資料檔案時,設定自動套用DRM加密,而不是單純依賴檔案Owner手動將重要檔案加密。
5. 選購加密產品時記得要避開僅對檔案表頭加密的加密軟體,因為這樣其實只要把加密檔案用簡單工具以十六進位方式開啟,就可以直接看擷取到未加密的主體內容,完全不用高深的駭客技巧就能破解,所以還是請選擇對全檔案加密的軟體。
6. 若分階段實施,導入順序建議: 網路DLP > 端點DLP > DRM,原因是網路DLP導入較快速,可藉由觀察記錄來將資料政策調整成最佳的狀態;端點DLP和DRM對於使用者的日常操作的影響比較明顯一些,所以延後導入可以適度減少使用者的反彈。
7. 若分階段實施,請留意各模組間的整合程度,如果各模組都是不同廠牌自然不能強求,但若是同廠牌各模組之間也未對政策、事件、指紋特徵、報表等功能進行整合的話(併購自不同家的產品),寧可選擇性價比更好的不同產品來搭配。
結語
說實在,功能較完整的資料防外洩產品的價格有一定門檻,企業在評估TCO的時候再把每年的維護費用(也有產品是每三年要負擔的維護金額等於原合約價,幾乎是每三年就重買一套)也算進去以後,真的不是國內多數中小企業可以負擔得起的,問題是根據經濟中小部企業處2013年的統計,國內136萬多家企業中,中小企業就佔了133萬多家,佔比97.6%,這麼多的中小企業還是有資料防外洩的需求存在,近期如果能有一套價格合理的雲端DLP的租用方案,提供必要的DLP功能又不必負擔設備建置、折舊,重點是能滿足管理安全性、服務可用性的高標準,相信會是中小企業的福音。
(本文作者目前任職於叡廷股份有限公司 產品經理一職)