f0de82b24a3e1455aca6c1392b0ca8fe

DLP在企業(yè)的安全團隊的工具當中正在成為越來越受關(guān)注。然而,選擇DLP系統(tǒng)的標準卻往往非常模糊,甚至有時候看上去像是在買殺蟲劑。而最終結(jié)果,企業(yè)最終會選擇的品牌往往都有著大量的廣告加成——包括價格層面的。

但是,這些系統(tǒng)可能有很多沒在市場手冊上列出的功能。DLP的選擇錯誤造成的損失遠遠高于買個殺蟲劑造成的損失。安全專家們最好對這些功能進行一些正式的測試來對比。

如今,許多DLP系統(tǒng)都會給出不同的復(fù)雜分級供選擇。對比表格中的一些附加功能往往極具誘惑性,但是它不代表這個選項會達到客戶的期望水準。為了快速發(fā)布自己的產(chǎn)品,一些開發(fā)商會忽視質(zhì)量、用戶體驗和可靠性等因素。

一個技術(shù)上成熟的企業(yè)級解決方案,應(yīng)該能夠適當?shù)剡M行迭代升級。DLP系統(tǒng)往往會基于三到五年的計劃進行選購;因此,滿足當下的合規(guī)需求并不是唯一標準。企業(yè)應(yīng)當理解廠商的發(fā)展方向,并且預(yù)估自己企業(yè)未來會面臨的任務(wù)以及挑戰(zhàn)。

以下九條建議可以作為評判一個解決方案的參考,同時也能衡量你的投入是否能真正完全滿足基礎(chǔ)的企業(yè)軟件標準。

? 內(nèi)容攔截

DLP系統(tǒng)的基礎(chǔ)能力之一,就是防范因員工疏忽和惡意軟件而導致的數(shù)據(jù)泄露;而主動終結(jié)一個可疑的操作是達到這個目標的唯一方式。然而,一些企業(yè)會選擇將這些解決方案調(diào)整成監(jiān)控模式,而非直接阻斷數(shù)據(jù)移動。

與此同時,所有信息都儲存在檔案中,而安全官往往事后才能進行響應(yīng)。這也就意味著,由于內(nèi)容攔截功能的使用本身并沒有在計劃之中,其優(yōu)先級被大大降低。

在使用比較不侵入式的監(jiān)控模式同時,信息安全人員也需要控制DLP的誤報率與漏報率。舉例而言,如果解決方案反應(yīng)過激,對可疑事件采取了中斷郵件或者其他關(guān)鍵服務(wù)的行為,引發(fā)的后果反而會比數(shù)據(jù)泄露更嚴重。

內(nèi)容攔截的問題同樣存在于一些提供極少配置選項的非復(fù)雜DLP系統(tǒng)中。由于缺乏阻斷模式產(chǎn)生的數(shù)據(jù)泄露事件會很棘手,并且需要花費大量的金錢去修復(fù)。另外,越來越多的國際法規(guī)要求組織使用內(nèi)容攔截防止信息泄露;企業(yè)如果不合規(guī)就會面臨支付高額罰款的風險。

一些通信機制因為技術(shù)問題只能被DLP工具監(jiān)控而無法阻斷——比如Telegram和WhatsApp因為數(shù)據(jù)加密技術(shù)就只能進行監(jiān)控。不過,如果一個DLP系統(tǒng)無法支持在檢測到異常行為時,阻斷郵件、打印機、USB端口、HTTP/HTTPS網(wǎng)站服務(wù),那顯然這個DLP沒做到自己的基礎(chǔ)工作。

? 策略與內(nèi)容分析

并非市面上所有的DLP系統(tǒng)最早都是出于完全防護的效果進行設(shè)計的。一些開發(fā)者只是從最開始加了一層安全能力,然后之后再補充其他管控能力。由于最初模型的限制以及其獨特的功能需要和之后的結(jié)構(gòu)相匹配,最終產(chǎn)品的性能往往會成問題。

因此,DLP系統(tǒng)進行內(nèi)容分析的方式特點反而可以給企業(yè)作為思考其演化進程的起點。舉個例子,如果一個被監(jiān)控設(shè)備的終端探針用SMTP協(xié)議將數(shù)據(jù)提交給DLP服務(wù)器進行分析,那么就可以推測這個解決方案可能誕生時只有郵件檢查組件。這樣一來,探針可能就不會從服務(wù)器端收到診斷信息。一旦探針無法獲取診斷信息,那么文件在被打印或者轉(zhuǎn)存到一個便攜式設(shè)備的時候就無法被阻斷。這種部署模式的另一個問題是需要一直和服務(wù)器進行連接,那么網(wǎng)絡(luò)堵塞會中斷分析的流程。因此,最好能看一下DLP解決方案能否優(yōu)化網(wǎng)絡(luò)流量。

如果整個DLP的架構(gòu)是精心設(shè)計而成的,內(nèi)容分析應(yīng)該處于一個能實現(xiàn)策略的位置,比如終端探針的位置。這樣就不需要通過網(wǎng)絡(luò)提交大量數(shù)據(jù),而流量優(yōu)化也不再是需要考慮的問題之一。

? 未連入企業(yè)網(wǎng)絡(luò)情況

除了進行內(nèi)容分析和應(yīng)用企業(yè)的策略之外,DLP探針還需要給服務(wù)器發(fā)送事件日志、不同文件的卷影副本等其他信息。這些重要的細節(jié)信息即使在服務(wù)器的數(shù)據(jù)倉無法接入的時候,也不該遺失。一般情況下,這些信息應(yīng)該存儲在本地,然后在連接恢復(fù)后盡快上傳給服務(wù)器。

針對服務(wù)器不同的連接狀態(tài),應(yīng)該有不同的策略應(yīng)對,比如連接建立的時候、終端通過VPN連接、或者連接中斷。這點在員工帶著企業(yè)下發(fā)的筆記本離開辦公室的時候尤為重要,比如出差或者遠程辦公的時候。

? 便利性

不同用戶會對系統(tǒng)使用和管理的便利性看法不一。有些人喜歡用命令行來管理DLP,有一些卻更偏向于用腳本語言設(shè)置策略和規(guī)則。在許多時候,有一個流程化的界面可能會意味著是一個關(guān)鍵模組都被完美設(shè)計的高質(zhì)量產(chǎn)品。

在評估界面的用戶體驗的時候,有幾個小點需要進入考慮范圍。首先,最好有一個全合一的管理板。時下最多的應(yīng)該是Web操作面板。這一類面板可以跨平臺支持,不需要額外的軟件,而且也能在移動設(shè)備上被使用。

如果一個產(chǎn)品為不同模組提供不同的控制器,這就意味著它一開始設(shè)計的時候就不是一個單一完整的系統(tǒng)。這些組件可能是由不同的軟件工程團隊或者廠商制作然后集成到一起。

另一個顯示出設(shè)計優(yōu)秀的點是所謂的“全渠道”策略。比如需要一條策略管理合法文件的話,可以只進行一次操作,然后選擇所有需要覆蓋的途徑(電子郵件、USB、網(wǎng)站服務(wù)等)。

在一些設(shè)計得不怎么樣的DLP系統(tǒng)里,相關(guān)人員可能就需要對每個途徑創(chuàng)建類似的策略。盡管一開始這看上去可能不是什么大事,但一旦策略數(shù)量增長就會讓情況一團糟。當有幾十條策略,而且要根據(jù)時間和用戶組進行不同的設(shè)定的時候,讓這些策略同步就會變得異常困難。

??服務(wù)器數(shù)量要求

DLP系統(tǒng)不成熟設(shè)計的另一個點在于過多需要運維的服務(wù)器數(shù)量。舉例而言,如果一個大約100人的試點工程需要超過一臺服務(wù)器,這樣的架構(gòu)可能需要一些改進,然年在生產(chǎn)階段很可能會需要更多資源。

一個頂尖的解決方案會保證在多個方向進行平衡。對大型組織而言,應(yīng)該有一個選項,將一部分系統(tǒng)組件分離,然后每個都分配不同的服務(wù)器資源;而對于一些較小的網(wǎng)絡(luò)來說,DLP系統(tǒng)所需的服務(wù)器數(shù)量不應(yīng)該過多。

??靈活部署

DLP系統(tǒng)在部署機制層面應(yīng)該有足夠多的調(diào)整空間。這樣不僅能快速融入現(xiàn)有的數(shù)字化架構(gòu),還能在保持多個渠道控制的情況下平衡功能性和負載能力。

DLP圖譜中的多個系統(tǒng)可以提供不同選項,管理所有渠道的終端探針。廠商可以使用這些工具,來減少開發(fā)時間并降低軟件工程上的開銷。

不過這個架構(gòu)并不滿足企業(yè)級標準,只能說在網(wǎng)關(guān)層對網(wǎng)絡(luò)管理比較有效。對于大規(guī)模的DLP部署,這可能是唯一合理選項。除了使用終端探針作為控制數(shù)據(jù)移動的來源外,一個有效的DLP工具也會提供以下其他部署方式:

  • 郵件服務(wù)器集成。這個方式可以監(jiān)控內(nèi)部郵件。
  • 從一個技術(shù)特制的郵箱進行收件。
  • 通過ICAP集成現(xiàn)有網(wǎng)關(guān)。
  • 一個分開的郵件傳輸服務(wù)器。

主流廠商會提供他們自己的代理服務(wù)器,和DLP系統(tǒng)無縫集成,監(jiān)控HTTP和HTTPS流量。

? 云架構(gòu)

由于越來越多的企業(yè)正在轉(zhuǎn)入遠程辦公室模式,同時又希望在安全服務(wù)上節(jié)省開支,云端DLP解決方案必然會有質(zhì)與量的雙重提升。現(xiàn)在已經(jīng)有很多在云端有DLP系統(tǒng)服務(wù)器組件的需求。這種情況往往在試點項目或者小型企業(yè)中存在。

DLP系統(tǒng)的檔案中存在著各種企業(yè)的機密,為數(shù)不多的企業(yè)家會愿意把它放在一個不受控制的環(huán)境中。然而,如果DLP系統(tǒng)無法支持云端主機模組,有時候就會產(chǎn)生一些不好的后果。

云存儲控制和服務(wù)同樣會有問題,比如企業(yè)使用Google Workspace或者Office 365郵件服務(wù)的時候會在一些細節(jié)上面出現(xiàn)情況。舉個例子,在接入郵箱服務(wù)器的時候,可以使用瀏覽器或者Microsoft Outlook這樣的客戶端——對每個選項,都需要使用一種不同的協(xié)議。

另一方面,在組織中使用云端存儲的時候,需要確保DLP系統(tǒng)會定期掃描所有的云端文件夾來監(jiān)控存儲的機密信息。在這種需求下,CASB技術(shù)應(yīng)運而生;從需要解決的任務(wù)來看,CASB有點類似于DLP。

? 與其他企業(yè)安全系統(tǒng)的集成

DLP還需要和以下的安全系統(tǒng)進行集成:

  • SIEM:這可能是企業(yè)安全生態(tài)中最常見的兼容性缺口了。每個安全專家都希望DLP里的事件能夠集成進SIEM,而大部分的 SIEM系統(tǒng)能夠從DLP數(shù)據(jù)庫下載數(shù)據(jù)。如果DLP解決方案能夠支持Syslog和CEF之類的協(xié)議,這個流程能夠更加有效;而且安全人員還能在SIEM中將來自DLP的數(shù)據(jù)的優(yōu)先級調(diào)到最高。
  • EDRM:這些系統(tǒng)一般都會配備DLP解決方案,當然也可能是DLP配備EDRM。當兩者結(jié)合到一起時,只要配置得當,就能成為一個堅如磐石的防護層。在那樣的場景下,DLP可以完美和EDRM的策略結(jié)合,然后將其中的一些規(guī)則作為自己的策略——比如生成報告,或者搜索存檔。另外,DLP系統(tǒng)還能基于一些提前預(yù)定的規(guī)則完整實現(xiàn)一些EDRM策略。
  • 數(shù)據(jù)分級系統(tǒng)。最佳的DLP工具應(yīng)該有能力處理文件中被數(shù)據(jù)分級系統(tǒng)標記的內(nèi)容。如果數(shù)據(jù)分級這一冗長復(fù)雜的內(nèi)容已經(jīng)被完成了,這一功能可以省去大量的時間和精力。

? 多平臺兼容性

一個好的DLP系統(tǒng)應(yīng)該能夠和多種端點平臺兼容。最基礎(chǔ)的能力至少要支持Windows。那這顯然是不夠的,畢竟沒準哪一天我們就會大規(guī)模轉(zhuǎn)向Linux系統(tǒng)。不過,現(xiàn)在已經(jīng)有多家DLP系統(tǒng)提供Windows、Mac和Linux的模組。

運行iOS和安卓的移動設(shè)備也需要被考慮到。出于技術(shù)原因,當前幾乎不可能建一個針對智能手機平板完全有效的探針——尤其是蘋果的設(shè)備。在某些情況下,通過一個Web控制器和DLP交互是個不錯的選擇。因此,當采用BYOD模式的時候,企業(yè)還需要啟用MDM解決方案。MDM能夠進行嵌在移動操作系統(tǒng)內(nèi)的安全能力、創(chuàng)建隱私策略,從而減小數(shù)據(jù)泄露的風險。

DLP系統(tǒng)的發(fā)展路徑各不相同。這一點會決定他們的完整度、功能協(xié)調(diào)度、對不同的信息傳播渠道的支持能力等。在現(xiàn)代社會,這一類解決方案的價格和之后的維護成本會有很大的區(qū)別。不過,穩(wěn)定的DLP依然是一個值得進行的安全投入,因為它能夠解決多種不同的安全問題。

因GDPR產(chǎn)生的罰單越來越多,企業(yè)對于數(shù)據(jù)防泄漏的重視迫在眉睫。但是具體DLP需要做什么,如何根據(jù)自身的環(huán)境選擇適合的DLP解決方案卻是一個問題。市面上不同的DLP廠商很多,宣傳內(nèi)容方面很多也同出一轍,但是其基于的技術(shù)模式、部署情況等卻大相徑庭。企業(yè)在選購DLP解決方案的時候,不僅僅需要關(guān)注于DLP“能做什么”,更要關(guān)注DLP“如何做到”。

來源:數(shù)世咨詢