觀點

資料外洩防治123 – 如何不買DLP,一樣做到DLP ? (上篇)

2014 / 09 / 22
李民偉
資料外洩防治123 – 如何不買DLP,一樣做到DLP ?  (上篇)

 綜觀近年來的資安事件,可以發現一個明確的趨勢,對企業資訊環境進行攻擊的目的,已從中斷/破壞服務,進而達到特定宣示或勒索,轉為針對更有經濟價值的目標-商業機密、營運資料的竊取;而在日益增加的資料外洩事件中,則揭露了另外一個事實,那就是在為數眾多的資料外洩事件中,雖然由外部發動的攻擊可說是無聲無息、分秒不間斷的持續在進行,但真正能造成破壞性成果的,卻都主要來自企業的內部。

分享3點資料外洩防治方式。

 

 1. 定期現況查核 杜絕不當設定
資料外洩的第一步,在於資料的取得;而看多了影視媒體描述駭客竊取資料時神乎其技的場面,可能會覺得,非得要有天大本領,才能破解層層防禦,取得各種不為人知的機密資料,殊不知,以筆者的實務經驗來看,最常發生的資料不當取得,其實都源自於”輕忽”所造成的初級失誤;例如,對使用者帳號疏於控管及橫向聯繫,人員離職之後,在大多數應用系統上都記得將其帳號清除,卻獨獨漏了SSL VPN 的權限,造成幽靈帳號存在,使得企業IT 環境門戶大開;更有甚者,檔案伺服器的分享資料夾權限繼承錯誤,導致不該有存取權限的使用者,輕鬆在幾個點擊之後就發現機敏資料,或業務不相關的作業文件,這些都是不需要什麼高深手法,卻能對企業資料安全造成極大隱患的缺失。

要杜絕上述的缺失,第一步就要從勤於查管開始,首先落實帳號的生命週期管理,不論是利用文件SOP,或是單一簽入解決方案加以管理,必須確保任何人員從到職/調動到離職,在不同的應用系統上,其帳號都可以得到正確的啓用/變更及消滅;而確立了帳號的管理之後,接著就是相對應資源的妥善設定及查核,例如定期利用報表工具,檢核/判讀每個檔案伺服器上的共享目錄,或是資料庫的特定表格,是否都設定了正確的權限。

總而言之,以上措施,就是要避免不當或過於輕易的機敏資料取得,而這並不需要太過昂貴或複雜的採購/佈署,只要有心,任何IT 單位都能利用基礎的工具落實檢核,在資料管理上,先立於不敗之地。

2. 落實用戶監控 防堵洩資漏洞
在杜絕使用者輕易取得不屬於自身業務相關的資料後,企業接下來要防範的,是最不願面對卻仍一再發生的,針對自身業務所屬資料的監守自盜行為,當企業花了大筆投資,部署了各種監控/阻絕作為在伺服器端,為什麼卻仍然不能讓這類事件在社會新聞版面絕跡?

讓我們來看一個大家都不陌生的例子,這樣的事件在資安史上不知發生幾回,卻還是不斷重演(可以預見的是,將來也還會再發生);當使用者透過合理的帳號及權限設定,從資料庫或是檔案主機,下載其業務所屬資料到公司配發的電腦,接著把電腦帶回家,將這些業務資料透過USB 儲存裝置流出,或是個人郵件帳號夾帶寄出,甚至雲端硬碟方案直接上載,隔天又沒事般地繼續回到公司上班,重複這些行為直到事件爆發,企業營運及商譽受到慘痛的影響,而這段期間,所謂的監控/阻絕解決方案卻沒能發揮任何成效,因為從伺服端的角度來看,至少取得資料的過程全都是合法的;這些血淋淋的例子告訴我們,當企業過於將重心放在資源集中的伺服器端,卻經常忽略,真正經手這些資料外洩的管道,絕大多數都不在伺服器端,而是用戶端;一言以蔽之,如果不能在資料離開伺服器,甚至離開企業實體環境之後,仍然繼續監控資料的流向與使用者的存取行為,那所謂的管理措施,只能說做了一半!

而有效的補強作為,就是將這些監控機制落實到用戶端,利用可以大量派送(最好還是可在背景執行,讓惡意使用者不致警覺,而移除或中斷其服務)的解決方案,在使用者及配發資產離開企業的實體管控範圍後,仍然繼續記錄其可疑的資料外洩行為,至少在相關資產回到企業網路後,這些被記錄下的事件可回傳供稽查人員分析及預警,若是能有條件將監控解決方案的監聽回傳機制,開放到公開網路上,則更可收到即時通報之效。 

本文作者目前任職於NetIQ Taiwan技術顧問

閱讀: (下篇) 資料外洩防治123 – 如何不買DLP,一樣做到DLP?