選擇數(shù)據(jù)丟失防護(hù)解決方案時(shí)不可不知的9個(gè)注意事項(xiàng)

責(zé)任編輯:cres

作者:David Balaban

2021-02-22 10:09:28

來(lái)源:企業(yè)網(wǎng)D1Net

原創(chuàng)

數(shù)據(jù)丟失防護(hù)(DLP)系統(tǒng)已經(jīng)變得更加復(fù)雜了,而且每個(gè)系統(tǒng)都有各自不同的發(fā)展。本文敘述了如何根據(jù)所需功能及其防止數(shù)據(jù)泄漏的實(shí)際能力來(lái)選擇DLP系統(tǒng)的方法。

數(shù)據(jù)丟失防護(hù)(DLP)是企業(yè)信息安全團(tuán)隊(duì)工具包中日益流行的解決方案。然而,選擇DLP系統(tǒng)的標(biāo)準(zhǔn)往往是模糊的,就像是購(gòu)買(mǎi)防腐劑的清單一樣。因此,他們會(huì)選擇一個(gè)使用了更具侵入性的廣告和承諾附加功能的品牌,并且所有這些都會(huì)帶有一個(gè)吸引人的價(jià)格標(biāo)簽。
 
需要注意的是,這些系統(tǒng)提供了許多營(yíng)銷(xiāo)手冊(cè)中沒(méi)有列出的功能。在這里,錯(cuò)誤選擇的成本要比錯(cuò)誤購(gòu)買(mǎi)家用化學(xué)品的成本要高得多。信息安全專(zhuān)家最好仔細(xì)檢查這些特性,而不是對(duì)可用功能進(jìn)行一個(gè)形式上的比較。
 
如今,許多DLP系統(tǒng)都提供了不同的復(fù)雜程度以供選擇。比較表中所提到的額外功能總是一種誘惑,但它并不一定意味著額外的優(yōu)惠將能夠滿(mǎn)足客戶(hù)的期望。在匆忙推出產(chǎn)品的過(guò)程中,一些軟件發(fā)行商可能會(huì)忽視了對(duì)產(chǎn)品質(zhì)量、用戶(hù)體驗(yàn)和可靠性的保證。
 
技術(shù)上成熟的企業(yè)解決方案的主要優(yōu)勢(shì)是供應(yīng)商可以適當(dāng)?shù)鼐S護(hù)它并發(fā)布新的功能。DLP系統(tǒng)通常是基于三年或五年的規(guī)劃期來(lái)選擇的,因此符合當(dāng)前需求并不是唯一的選擇標(biāo)準(zhǔn)。你需要了解供應(yīng)商的發(fā)展方向,并預(yù)測(cè)貴公司未來(lái)可能面臨的任務(wù)和問(wèn)題。
 
在理解解決方案有多好以及你的投資是否會(huì)為你帶來(lái)完全符合基本企業(yè)軟件標(biāo)準(zhǔn)的產(chǎn)品方面,以下考慮將為你指明正確的方向。
 
內(nèi)容攔截
 
DLP系統(tǒng)旨在阻止由員工失誤或惡意軟件所引起的數(shù)據(jù)泄漏。主動(dòng)終止可疑操作是實(shí)現(xiàn)此目標(biāo)的唯一方法。然而,一些公司會(huì)選擇在監(jiān)控模式下利用這些解決方案,而不是直接篡改數(shù)據(jù)移動(dòng)。
 
與此同時(shí),所有信息都是存儲(chǔ)在檔案之中,安全高管經(jīng)常是在事后才會(huì)對(duì)泄漏做出反應(yīng)。也就是說(shuō),對(duì)內(nèi)容屏蔽功能的需求可能會(huì)失去優(yōu)先權(quán),因?yàn)樗鼈儗?duì)主動(dòng)使用是沒(méi)有計(jì)劃的。
 
通過(guò)采取侵入性較小的監(jiān)控路線(xiàn),信息安全專(zhuān)業(yè)人員也可以嘗試避免DLP系統(tǒng)的誤報(bào)或故障。例如,如果解決方案通過(guò)中斷電子郵件或其他同等重要的服務(wù)而對(duì)可疑事件反應(yīng)過(guò)度,其后果可能反而會(huì)超過(guò)數(shù)據(jù)泄漏的后果。
 
這種缺陷通常是那些提供了稀缺配置選項(xiàng)的不成熟DLP系統(tǒng)所固有的。由于缺少阻塞模式而發(fā)生的數(shù)據(jù)泄露可能會(huì)非常繁瑣,而且恢復(fù)起來(lái)成本高昂。此外,越來(lái)越多的國(guó)際法規(guī)(如歐盟的GDPR)也已經(jīng)開(kāi)始要求組織使用內(nèi)容屏蔽來(lái)防止數(shù)據(jù)泄漏,公司可能會(huì)因?yàn)檫`規(guī)而需要支付巨額罰款。
 
由于技術(shù)原因,DLP工具所監(jiān)督的一些通信機(jī)制可能無(wú)法被阻塞。例如,由于Telegram和WhatsApp所使用的數(shù)據(jù)加密技術(shù)的特殊性,被動(dòng)監(jiān)控將是它們的唯一選擇。然而,當(dāng)檢測(cè)到異?;顒?dòng)時(shí),如果DLP系統(tǒng)不支持阻止電子郵件、打印機(jī)、USB端口以及基于HTTP/HTTPS的網(wǎng)絡(luò)服務(wù),它將是低效的。
 
政策和內(nèi)容分析
 
并不是所有現(xiàn)在的DLP系統(tǒng)最初都是作為成熟的保護(hù)工具來(lái)設(shè)計(jì)的。一些開(kāi)發(fā)人員從一開(kāi)始就整合了一個(gè)安全層,并補(bǔ)充了額外的控制措施,以便能夠在稍后監(jiān)視其余的通信通道。由于原始模塊的限制和獨(dú)特特性會(huì)要求必須與后續(xù)的架構(gòu)增強(qiáng)保持一致,因此結(jié)果可能與最終產(chǎn)品的預(yù)期效率不相一致。
 
因此,DLP系統(tǒng)如何實(shí)現(xiàn)內(nèi)容分析的特性或許可以為你提供關(guān)于其發(fā)展起點(diǎn)的線(xiàn)索。例如,如果受監(jiān)控設(shè)備上的端點(diǎn)代理使用了SMTP協(xié)議來(lái)將數(shù)據(jù)提交給DLP服務(wù)器進(jìn)行分析,則可以安全地推斷該解決方案在初始階段可能僅包含了電子郵件檢查模塊。在這種情況下,代理可能不會(huì)從服務(wù)器接收分析結(jié)果。如果是這樣,則在打印文件或?qū)⑽募4娴津?qū)動(dòng)器的情況下,內(nèi)容屏蔽是不可能的。
 
這種實(shí)現(xiàn)的另一個(gè)薄弱環(huán)節(jié)是,它需要依賴(lài)于與服務(wù)器的永久連接,這意味著網(wǎng)絡(luò)擁塞可能會(huì)中斷該過(guò)程。檢查DLP解決方案是否可以區(qū)分網(wǎng)絡(luò)流量的優(yōu)先級(jí)是一個(gè)好主意。
 
使用經(jīng)過(guò)深思熟慮的體系結(jié)構(gòu),內(nèi)容分析就能夠在策略生效的位置、端點(diǎn)代理級(jí)別執(zhí)行。這樣,就不需要通過(guò)網(wǎng)絡(luò)提交大量的數(shù)據(jù),而且流量?jī)?yōu)先級(jí)問(wèn)題也不會(huì)是安全問(wèn)題的一部分了。
 
沒(méi)有連接到企業(yè)網(wǎng)絡(luò)
 
除了實(shí)現(xiàn)內(nèi)容分析和應(yīng)用企業(yè)策略外,DLP代理還需要向服務(wù)器發(fā)送事件日志、不同文件的影子副本和大量其他信息。如果服務(wù)器的數(shù)據(jù)存儲(chǔ)庫(kù)不可訪(fǎng)問(wèn),這些有價(jià)值的細(xì)節(jié)就不應(yīng)丟失。通常,這些信息會(huì)保留在本地磁盤(pán)上,并需要在連接恢復(fù)后立即提交給服務(wù)器。
 
根據(jù)服務(wù)器連接狀態(tài)的不同,應(yīng)該采用不同的策略。它們需要在建立連接、通過(guò)VPN服務(wù)連接端點(diǎn)或連接關(guān)閉時(shí)進(jìn)行指定。這一點(diǎn)在持有公司發(fā)行的筆記本電腦的員工不在辦公室時(shí)將尤其重要,例如在出差或在家遠(yuǎn)程工作時(shí)。
 
便利性
 
對(duì)于系統(tǒng)使用和管理的便利性,不同的用戶(hù)可能有不同的觀點(diǎn)。有些人更喜歡使用命令行來(lái)管理DLP,而其他人則更喜歡通過(guò)腳本語(yǔ)言來(lái)設(shè)置策略和規(guī)則。在許多情況下,一個(gè)精簡(jiǎn)和直觀的界面的可用性可以被解釋為一個(gè)高質(zhì)量產(chǎn)品的標(biāo)志,因?yàn)樗闹匾K也可能同樣設(shè)計(jì)良好。
 
當(dāng)談到界面的用戶(hù)體驗(yàn)時(shí),要考慮幾個(gè)細(xì)微差別。首先,最好是一個(gè)一體化的管理儀表板。網(wǎng)絡(luò)控制臺(tái)現(xiàn)在是最常見(jiàn)的。它們能夠在不同的平臺(tái)上得到支持,不需要任何額外的軟件,而且在移動(dòng)設(shè)備上也很容易使用。
 
如果一個(gè)產(chǎn)品提供了單獨(dú)的控制臺(tái)來(lái)處理不同的模塊,這就意味著它不是作為一個(gè)單一的、全面的系統(tǒng)來(lái)創(chuàng)建的。這些組件有可能是被不同的軟件工程團(tuán)隊(duì)或供應(yīng)商集成到解決方案中,然后在開(kāi)發(fā)周期中相互鏈接的。
 
一個(gè)精心定制的系統(tǒng)的另一個(gè)方面可以歸結(jié)為所謂的“全渠道”政策。舉個(gè)例子,如果你需要設(shè)置一個(gè)策略來(lái)管理法律合同,那么你可以只設(shè)置一次,然后指定它應(yīng)該包含的頻道(電子郵件、USB驅(qū)動(dòng)器、web服務(wù)等)。
 
而在一個(gè)設(shè)計(jì)粗糙的DLP系統(tǒng)中,你將必須為每個(gè)通道分別創(chuàng)建類(lèi)似的策略。雖然起初這看起來(lái)沒(méi)什么大不了的,但隨著保單數(shù)量的增加,情況就可能會(huì)變得一團(tuán)糟。當(dāng)它們有幾十個(gè),并且它們的規(guī)則定義了包括時(shí)間框架和用戶(hù)組在內(nèi)的多管齊下的條件時(shí),讓它們保持同步就會(huì)變得非常麻煩。
 
服務(wù)器數(shù)量的要求
 
DLP設(shè)計(jì)不成熟的另一個(gè)跡象是系統(tǒng)正常運(yùn)行所需的服務(wù)器數(shù)量過(guò)多。例如,如果一個(gè)多達(dá)100名員工的試點(diǎn)項(xiàng)目需要一臺(tái)以上的服務(wù)器時(shí),這樣的架構(gòu)就可能需要改進(jìn),并且很可能在生產(chǎn)階段就需要額外的資源。
 
一流的解決方案可確保進(jìn)行全方位的均衡擴(kuò)展。對(duì)于大型組織,應(yīng)該有一個(gè)選項(xiàng)來(lái)隔離一些系統(tǒng)組件,并為每個(gè)組件分配單獨(dú)的服務(wù)器資源。但是,對(duì)于較小的計(jì)算機(jī)網(wǎng)絡(luò)來(lái)說(shuō),保持DLP系統(tǒng)平穩(wěn)運(yùn)行的服務(wù)器數(shù)量不應(yīng)該不成比例。
 
靈活實(shí)施
 
一個(gè)值得稱(chēng)道的DLP系統(tǒng)應(yīng)該在實(shí)現(xiàn)機(jī)制方面提供足夠的回旋余地。這不僅使解決方案與現(xiàn)有數(shù)字基礎(chǔ)設(shè)施的結(jié)合變得更加容易,還允許你在功能和處理負(fù)載之間取得平衡,同時(shí)保持對(duì)多個(gè)通道的控制。
 
如果跨DLP頻譜的幾個(gè)系統(tǒng)提供了在端點(diǎn)代理級(jí)別控制所有信道的選項(xiàng)。供應(yīng)商就可以通過(guò)減少開(kāi)發(fā)時(shí)間和軟件工程支出來(lái)從這樣的工具中獲益。
 
這種架構(gòu)不太符合企業(yè)級(jí)的標(biāo)準(zhǔn)。因?yàn)樵诰W(wǎng)關(guān)層管理網(wǎng)絡(luò)通道將更有意義。對(duì)于大規(guī)模的DLP部署來(lái)說(shuō),這可能是唯一合理的選擇。除了使用端點(diǎn)代理來(lái)作為控制數(shù)據(jù)移動(dòng)的來(lái)源之外,一個(gè)有效的DLP工具還提供了以下可選的實(shí)現(xiàn)方式:
 
•郵件服務(wù)器集成。這種策略還允許你監(jiān)控你的內(nèi)部電子郵件。
 
•選擇從技術(shù)郵箱接收郵件通信。
 
•使用互聯(lián)網(wǎng)內(nèi)容適配協(xié)議(ICAP)來(lái)與現(xiàn)有的互聯(lián)網(wǎng)網(wǎng)關(guān)集成。
 
•獨(dú)立的郵件傳輸服務(wù)器。
 
主要供應(yīng)商提供了他們自己的代理服務(wù)器,這些服務(wù)器可以與DLP系統(tǒng)無(wú)縫集成,以監(jiān)控HTTP和HTTPS流量。
 
云基礎(chǔ)設(shè)施
 
由于許多公司正在轉(zhuǎn)向遠(yuǎn)程工作模式,也會(huì)同時(shí)希望能夠節(jié)省安全服務(wù)方面的費(fèi)用,因而云DLP解決方案的質(zhì)量和數(shù)量肯定會(huì)得到增長(zhǎng)。如今,通常會(huì)需要將DLP系統(tǒng)的服務(wù)器組件也保存在云中。這種情況通常會(huì)發(fā)生在試點(diǎn)項(xiàng)目或小型組織當(dāng)中。
 
DLP系統(tǒng)的存檔通常會(huì)包含所有的公司機(jī)密,沒(méi)有多少企業(yè)主愿意將其置于不受控制的環(huán)境當(dāng)中。但是,如果DLP系統(tǒng)不支持在云中托管服務(wù)器模塊的選項(xiàng),就可能會(huì)在某個(gè)時(shí)候產(chǎn)生不利后果。
 
而想要控制云存儲(chǔ)和服務(wù)也會(huì)存在一些問(wèn)題。例如,當(dāng)組織在使用Google Workspace (更名為G套件) 或Office 365郵件服務(wù)時(shí),就可能會(huì)發(fā)生這種情況。這里有很多細(xì)微差別。例如,要訪(fǎng)問(wèn)郵件服務(wù)器,你可以同時(shí)使用瀏覽器和經(jīng)典客戶(hù)端(如Microsoft Outlook)。而對(duì)于每個(gè)選項(xiàng),你都必須應(yīng)用不同的協(xié)議。
 
此外,在組織中使用云存儲(chǔ)時(shí),有必要確定DLP系統(tǒng)能夠定期的掃描所有的云文件夾,以監(jiān)控存儲(chǔ)在那里的機(jī)密信息。為了解決這些問(wèn)題,一個(gè)全新的解決方案集群--云訪(fǎng)問(wèn)安全代理(CASB)--將應(yīng)運(yùn)而生。就正在解決的任務(wù)而言,這些系統(tǒng)在概念上會(huì)接近于DLP。
 
與其他企業(yè)安全系統(tǒng)的集成
 
在這種情況下,我并不意味著是指與Microsoft Active Directory的集成,因?yàn)槟J(rèn)情況下,這應(yīng)該是當(dāng)前任何DLP系統(tǒng)中所內(nèi)置的功能。相反,我指的是與以下類(lèi)型的解決方案的集成:
 
•安全信息和事件管理(SIEM)。這可以說(shuō)是公司安全生態(tài)系統(tǒng)中最常見(jiàn)的兼容性缺陷之一。每個(gè)信息安全專(zhuān)家都希望DLP中的事件能夠與SIEM集成。盡管絕大多數(shù)現(xiàn)代SIEM系統(tǒng)都能夠從DLP數(shù)據(jù)庫(kù)下載數(shù)據(jù),但如果DLP解決方案能夠支持像Syslog和CEF這樣的現(xiàn)成協(xié)議,這種串聯(lián)將會(huì)更加有效。如果是這樣,你就可以配置DLP系統(tǒng),使其始終處于SIEM數(shù)據(jù)庫(kù)中的信息之上。
 
•企業(yè)數(shù)字版權(quán)管理(EDRM)。這些類(lèi)型的系統(tǒng)補(bǔ)充了DLP解決方案,反之亦然。當(dāng)兩者結(jié)合在一起時(shí),只要進(jìn)行適當(dāng)?shù)呐渲茫蜁?huì)形成一個(gè)堅(jiān)固的保護(hù)層。在這個(gè)場(chǎng)景中,DLP沒(méi)有解釋EDRM策略的問(wèn)題,并且可以在自己的策略中使用它們的一些規(guī)則,這些策略將涉及生成報(bào)告或搜索存檔等活動(dòng)。此外,DLP系統(tǒng)也可以根據(jù)預(yù)定義的原則充分利用一些EDRM策略。
 
•數(shù)據(jù)分類(lèi)系統(tǒng)。最好的DLP工具應(yīng)該能夠處理由Titus和Boldon James等數(shù)據(jù)分類(lèi)系統(tǒng)所嵌入文檔中的標(biāo)記和標(biāo)簽。如果臨時(shí)服務(wù)已經(jīng)完成了這個(gè)冗長(zhǎng)的過(guò)程,那么就可以在數(shù)據(jù)分類(lèi)方面采取捷徑。
 
多平臺(tái)兼容性
 
一個(gè)好的DLP系統(tǒng)應(yīng)該兼容不同的端點(diǎn)平臺(tái)。最基本工具的功能可能會(huì)僅限于Windows的支持。不過(guò),這可能是不夠的。誰(shuí)知道呢,也許有一天我們會(huì)需要大規(guī)模的轉(zhuǎn)向Linux。好消息是,一些DLP系統(tǒng)已經(jīng)為Windows、Mac和Linux提供了代理模塊。
 
此外,還應(yīng)該提到運(yùn)行iOS和Android的移動(dòng)設(shè)備。由于技術(shù)原因,目前幾乎不可能為智能手機(jī)和平板電腦來(lái)創(chuàng)建一個(gè)完全成熟的代理,尤其是蘋(píng)果所制造的智能手機(jī)和平板電腦,它們也受到了各種攻擊。在這種情況下,web控制臺(tái)將是在旅途中與DLP交互的最佳方式。因此,在實(shí)施自帶設(shè)備戰(zhàn)略時(shí),你可以(也應(yīng)該)使用移動(dòng)設(shè)備管理(MDM)解決方案。它將允許你使用移動(dòng)操作系統(tǒng)內(nèi)置的功能,創(chuàng)建隱私策略,并將數(shù)據(jù)泄漏的風(fēng)險(xiǎn)降至最低。
 
DLP系統(tǒng)的發(fā)展是異構(gòu)的。這一因素會(huì)影響到它們的完整程度、良好協(xié)調(diào)的功能以及支持單個(gè)信息分發(fā)渠道的能力。在現(xiàn)代社會(huì),這對(duì)解決方案的價(jià)格和隨后的維護(hù)成本也會(huì)產(chǎn)生影響。然而,一個(gè)可靠的DLP是值得投資的,因?yàn)樗梢越鉀Q不同的安全問(wèn)題。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)