數(shù)據(jù)丟失防護(DLP)是企業(yè)信息安全團隊工具包中日益流行的解決方案。然而��,選擇DLP系統(tǒng)的標準往往是模糊的,就像是購買防腐劑的清單一樣����。因此,他們會選擇一個使用了更具侵入性的廣告和承諾附加功能的品牌�����,并且所有這些都會帶有一個吸引人的價格標簽�。
需要注意的是,這些系統(tǒng)提供了許多營銷手冊中沒有列出的功能��。在這里�����,錯誤選擇的成本要比錯誤購買家用化學品的成本要高得多��。信息安全專家最好仔細檢查這些特性����,而不是對可用功能進行一個形式上的比較�。
如今,許多DLP系統(tǒng)都提供了不同的復雜程度以供選擇�。比較表中所提到的額外功能總是一種誘惑�,但它并不一定意味著額外的優(yōu)惠將能夠滿足客戶的期望����。在匆忙推出產(chǎn)品的過程中,一些軟件發(fā)行商可能會忽視了對產(chǎn)品質(zhì)量���、用戶體驗和可靠性的保證�。
技術(shù)上成熟的企業(yè)解決方案的主要優(yōu)勢是供應商可以適當?shù)鼐S護它并發(fā)布新的功能���。DLP系統(tǒng)通常是基于三年或五年的規(guī)劃期來選擇的�,因此符合當前需求并不是唯一的選擇標準����。你需要了解供應商的發(fā)展方向,并預測貴公司未來可能面臨的任務和問題����。
在理解解決方案有多好以及你的投資是否會為你帶來完全符合基本企業(yè)軟件標準的產(chǎn)品方面,以下考慮將為你指明正確的方向�。
內(nèi)容攔截
DLP系統(tǒng)旨在阻止由員工失誤或惡意軟件所引起的數(shù)據(jù)泄漏。主動終止可疑操作是實現(xiàn)此目標的唯一方法��。然而�����,一些公司會選擇在監(jiān)控模式下利用這些解決方案,而不是直接篡改數(shù)據(jù)移動�。
與此同時,所有信息都是存儲在檔案之中�����,安全高管經(jīng)常是在事后才會對泄漏做出反應����。也就是說,對內(nèi)容屏蔽功能的需求可能會失去優(yōu)先權(quán)�,因為它們對主動使用是沒有計劃的。
通過采取侵入性較小的監(jiān)控路線�����,信息安全專業(yè)人員也可以嘗試避免DLP系統(tǒng)的誤報或故障��。例如��,如果解決方案通過中斷電子郵件或其他同等重要的服務而對可疑事件反應過度���,其后果可能反而會超過數(shù)據(jù)泄漏的后果�。
這種缺陷通常是那些提供了稀缺配置選項的不成熟DLP系統(tǒng)所固有的����。由于缺少阻塞模式而發(fā)生的數(shù)據(jù)泄露可能會非常繁瑣,而且恢復起來成本高昂���。此外���,越來越多的國際法規(guī)(如歐盟的GDPR)也已經(jīng)開始要求組織使用內(nèi)容屏蔽來防止數(shù)據(jù)泄漏,公司可能會因為違規(guī)而需要支付巨額罰款�����。
由于技術(shù)原因���,DLP工具所監(jiān)督的一些通信機制可能無法被阻塞���。例如,由于Telegram和WhatsApp所使用的數(shù)據(jù)加密技術(shù)的特殊性����,被動監(jiān)控將是它們的唯一選擇。然而����,當檢測到異���;顒訒r,如果DLP系統(tǒng)不支持阻止電子郵件�、打印機、USB端口以及基于HTTP/HTTPS的網(wǎng)絡服務����,它將是低效的。
政策和內(nèi)容分析
并不是所有現(xiàn)在的DLP系統(tǒng)最初都是作為成熟的保護工具來設計的��。一些開發(fā)人員從一開始就整合了一個安全層��,并補充了額外的控制措施��,以便能夠在稍后監(jiān)視其余的通信通道�。由于原始模塊的限制和獨特特性會要求必須與后續(xù)的架構(gòu)增強保持一致,因此結(jié)果可能與最終產(chǎn)品的預期效率不相一致�����。
因此����,DLP系統(tǒng)如何實現(xiàn)內(nèi)容分析的特性或許可以為你提供關(guān)于其發(fā)展起點的線索。例如���,如果受監(jiān)控設備上的端點代理使用了SMTP協(xié)議來將數(shù)據(jù)提交給DLP服務器進行分析�,則可以安全地推斷該解決方案在初始階段可能僅包含了電子郵件檢查模塊���。在這種情況下�����,代理可能不會從服務器接收分析結(jié)果�。如果是這樣����,則在打印文件或?qū)⑽募4娴津?qū)動器的情況下,內(nèi)容屏蔽是不可能的����。
這種實現(xiàn)的另一個薄弱環(huán)節(jié)是,它需要依賴于與服務器的永久連接���,這意味著網(wǎng)絡擁塞可能會中斷該過程��。檢查DLP解決方案是否可以區(qū)分網(wǎng)絡流量的優(yōu)先級是一個好主意����。
使用經(jīng)過深思熟慮的體系結(jié)構(gòu),內(nèi)容分析就能夠在策略生效的位置��、端點代理級別執(zhí)行����。這樣,就不需要通過網(wǎng)絡提交大量的數(shù)據(jù)�,而且流量優(yōu)先級問題也不會是安全問題的一部分了。
沒有連接到企業(yè)網(wǎng)絡
除了實現(xiàn)內(nèi)容分析和應用企業(yè)策略外���,DLP代理還需要向服務器發(fā)送事件日志���、不同文件的影子副本和大量其他信息。如果服務器的數(shù)據(jù)存儲庫不可訪問��,這些有價值的細節(jié)就不應丟失��。通常�,這些信息會保留在本地磁盤上,并需要在連接恢復后立即提交給服務器���。
根據(jù)服務器連接狀態(tài)的不同�����,應該采用不同的策略���。它們需要在建立連接、通過VPN服務連接端點或連接關(guān)閉時進行指定���。這一點在持有公司發(fā)行的筆記本電腦的員工不在辦公室時將尤其重要�,例如在出差或在家遠程工作時����。
便利性
對于系統(tǒng)使用和管理的便利性,不同的用戶可能有不同的觀點����。有些人更喜歡使用命令行來管理DLP,而其他人則更喜歡通過腳本語言來設置策略和規(guī)則��。在許多情況下���,一個精簡和直觀的界面的可用性可以被解釋為一個高質(zhì)量產(chǎn)品的標志��,因為它的重要模塊也可能同樣設計良好���。
當談到界面的用戶體驗時��,要考慮幾個細微差別���。首先,最好是一個一體化的管理儀表板�。網(wǎng)絡控制臺現(xiàn)在是最常見的。它們能夠在不同的平臺上得到支持��,不需要任何額外的軟件�,而且在移動設備上也很容易使用。
如果一個產(chǎn)品提供了單獨的控制臺來處理不同的模塊�����,這就意味著它不是作為一個單一的��、全面的系統(tǒng)來創(chuàng)建的��。這些組件有可能是被不同的軟件工程團隊或供應商集成到解決方案中�����,然后在開發(fā)周期中相互鏈接的。
一個精心定制的系統(tǒng)的另一個方面可以歸結(jié)為所謂的“全渠道”政策���。舉個例子���,如果你需要設置一個策略來管理法律合同,那么你可以只設置一次����,然后指定它應該包含的頻道(電子郵件����、USB驅(qū)動器、web服務等)���。
而在一個設計粗糙的DLP系統(tǒng)中�,你將必須為每個通道分別創(chuàng)建類似的策略�����。雖然起初這看起來沒什么大不了的��,但隨著保單數(shù)量的增加����,情況就可能會變得一團糟�。當它們有幾十個���,并且它們的規(guī)則定義了包括時間框架和用戶組在內(nèi)的多管齊下的條件時���,讓它們保持同步就會變得非常麻煩。
服務器數(shù)量的要求
DLP設計不成熟的另一個跡象是系統(tǒng)正常運行所需的服務器數(shù)量過多�����。例如��,如果一個多達100名員工的試點項目需要一臺以上的服務器時�,這樣的架構(gòu)就可能需要改進,并且很可能在生產(chǎn)階段就需要額外的資源�。
一流的解決方案可確保進行全方位的均衡擴展。對于大型組織����,應該有一個選項來隔離一些系統(tǒng)組件,并為每個組件分配單獨的服務器資源����。但是���,對于較小的計算機網(wǎng)絡來說,保持DLP系統(tǒng)平穩(wěn)運行的服務器數(shù)量不應該不成比例���。
靈活實施
一個值得稱道的DLP系統(tǒng)應該在實現(xiàn)機制方面提供足夠的回旋余地��。這不僅使解決方案與現(xiàn)有數(shù)字基礎設施的結(jié)合變得更加容易���,還允許你在功能和處理負載之間取得平衡,同時保持對多個通道的控制�。
如果跨DLP頻譜的幾個系統(tǒng)提供了在端點代理級別控制所有信道的選項�。供應商就可以通過減少開發(fā)時間和軟件工程支出來從這樣的工具中獲益。
這種架構(gòu)不太符合企業(yè)級的標準���。因為在網(wǎng)關(guān)層管理網(wǎng)絡通道將更有意義�。對于大規(guī)模的DLP部署來說���,這可能是唯一合理的選擇��。除了使用端點代理來作為控制數(shù)據(jù)移動的來源之外�,一個有效的DLP工具還提供了以下可選的實現(xiàn)方式:
•郵件服務器集成����。這種策略還允許你監(jiān)控你的內(nèi)部電子郵件��。
•選擇從技術(shù)郵箱接收郵件通信�����。
•使用互聯(lián)網(wǎng)內(nèi)容適配協(xié)議(ICAP)來與現(xiàn)有的互聯(lián)網(wǎng)網(wǎng)關(guān)集成���。
•獨立的郵件傳輸服務器。
主要供應商提供了他們自己的代理服務器��,這些服務器可以與DLP系統(tǒng)無縫集成���,以監(jiān)控HTTP和HTTPS流量����。
云基礎設施
由于許多公司正在轉(zhuǎn)向遠程工作模式�,也會同時希望能夠節(jié)省安全服務方面的費用,因而云DLP解決方案的質(zhì)量和數(shù)量肯定會得到增長����。如今,通常會需要將DLP系統(tǒng)的服務器組件也保存在云中��。這種情況通常會發(fā)生在試點項目或小型組織當中。
DLP系統(tǒng)的存檔通常會包含所有的公司機密��,沒有多少企業(yè)主愿意將其置于不受控制的環(huán)境當中��。但是����,如果DLP系統(tǒng)不支持在云中托管服務器模塊的選項,就可能會在某個時候產(chǎn)生不利后果����。
而想要控制云存儲和服務也會存在一些問題。例如���,當組織在使用Google Workspace (更名為G套件) 或Office 365郵件服務時,就可能會發(fā)生這種情況����。這里有很多細微差別。例如��,要訪問郵件服務器����,你可以同時使用瀏覽器和經(jīng)典客戶端(如Microsoft Outlook)����。而對于每個選項����,你都必須應用不同的協(xié)議。
此外��,在組織中使用云存儲時����,有必要確定DLP系統(tǒng)能夠定期的掃描所有的云文件夾,以監(jiān)控存儲在那里的機密信息�����。為了解決這些問題���,一個全新的解決方案集群--云訪問安全代理(CASB)--將應運而生����。就正在解決的任務而言�,這些系統(tǒng)在概念上會接近于DLP。
與其他企業(yè)安全系統(tǒng)的集成
在這種情況下,我并不意味著是指與Microsoft Active Directory的集成��,因為默認情況下����,這應該是當前任何DLP系統(tǒng)中所內(nèi)置的功能。相反�����,我指的是與以下類型的解決方案的集成:
•安全信息和事件管理(SIEM)�。這可以說是公司安全生態(tài)系統(tǒng)中最常見的兼容性缺陷之一。每個信息安全專家都希望DLP中的事件能夠與SIEM集成��。盡管絕大多數(shù)現(xiàn)代SIEM系統(tǒng)都能夠從DLP數(shù)據(jù)庫下載數(shù)據(jù)�����,但如果DLP解決方案能夠支持像Syslog和CEF這樣的現(xiàn)成協(xié)議�,這種串聯(lián)將會更加有效。如果是這樣�,你就可以配置DLP系統(tǒng)�,使其始終處于SIEM數(shù)據(jù)庫中的信息之上。
•企業(yè)數(shù)字版權(quán)管理(EDRM)���。這些類型的系統(tǒng)補充了DLP解決方案��,反之亦然�。當兩者結(jié)合在一起時,只要進行適當?shù)呐渲�����,就會形成一個堅固的保護層���。在這個場景中���,DLP沒有解釋EDRM策略的問題,并且可以在自己的策略中使用它們的一些規(guī)則��,這些策略將涉及生成報告或搜索存檔等活動����。此外,DLP系統(tǒng)也可以根據(jù)預定義的原則充分利用一些EDRM策略�。
•數(shù)據(jù)分類系統(tǒng)。最好的DLP工具應該能夠處理由Titus和Boldon James等數(shù)據(jù)分類系統(tǒng)所嵌入文檔中的標記和標簽���。如果臨時服務已經(jīng)完成了這個冗長的過程����,那么就可以在數(shù)據(jù)分類方面采取捷徑。
多平臺兼容性
一個好的DLP系統(tǒng)應該兼容不同的端點平臺�����。最基本工具的功能可能會僅限于Windows的支持����。不過,這可能是不夠的�����。誰知道呢�,也許有一天我們會需要大規(guī)模的轉(zhuǎn)向Linux。好消息是�����,一些DLP系統(tǒng)已經(jīng)為Windows����、Mac和Linux提供了代理模塊。
此外��,還應該提到運行iOS和Android的移動設備�。由于技術(shù)原因,目前幾乎不可能為智能手機和平板電腦來創(chuàng)建一個完全成熟的代理�,尤其是蘋果所制造的智能手機和平板電腦,它們也受到了各種攻擊����。在這種情況下,web控制臺將是在旅途中與DLP交互的最佳方式��。因此��,在實施自帶設備戰(zhàn)略時�,你可以(也應該)使用移動設備管理(MDM)解決方案。它將允許你使用移動操作系統(tǒng)內(nèi)置的功能�����,創(chuàng)建隱私策略�����,并將數(shù)據(jù)泄漏的風險降至最低�。
DLP系統(tǒng)的發(fā)展是異構(gòu)的。這一因素會影響到它們的完整程度��、良好協(xié)調(diào)的功能以及支持單個信息分發(fā)渠道的能力。在現(xiàn)代社會�,這對解決方案的價格和隨后的維護成本也會產(chǎn)生影響。然而��,一個可靠的DLP是值得投資的�,因為它可以解決不同的安全問題。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
