機密資料外洩已經成為當前企業組織及政府機構最大的資安問題之一,無論是基於法令規定必須確保的民眾隱私及消費者資料、事關營運競爭力的財務或策略文件,或者本身即為高價智慧財產的研發設計或商業機密,都是企業極力想要保護的資料,也引發了對於DLP(資料外洩防護)的關注。
完整的DLP範圍包含甚廣,在審慎定義機密資料以及安全政策後,從資訊體系內部機敏資料的定位追蹤、加密列管、權限管制,到網路端傳輸內容的過濾篩選、阻擋稽核、加密認證,再到控管終端裝置的週邊介面、異常存取、不當傳送,都屬於DLP的涵蓋範圍。市場上有許多業者已經具有個別功能強項的產品,不過真正具有完整性的供應商仍為數不多,企業應對DLP建立正確的觀念,並依據實際環境及需求進行規劃,才能真正保護機密資料,達到最佳效益。
資訊安全的議題每年都不斷被提出討論,似乎永遠都會出現新的資安風險,不同的解決方案也相繼推出。以前常見的資訊安全入侵事件可能只是某個厲害的資訊學系的學生利用入侵手法來彰顯自己的程式語言能力,或是駭客惡意造成網站癱瘓影響企業實體營運。
但是隨著資訊系統在政府及企業組織運作所扮演的角色日益深化,資料內容所隱含的價值愈來愈高,現今的網路犯罪或惡意攻擊往往只是暗中竊取有價值的資訊,不再造成系統停擺而被察覺,但所造成的破壞力與損失卻更驚人。
當駭客不再只是單純的駭客,網路犯罪集團入侵行為背後所牽涉到的利益關係、金錢交易、商業間諜一一浮上檯面,為了保障資料安全,企業組織紛紛加強對外防禦網路入侵攻擊的措施。
然而,防止外部入侵或攻擊固然重要,對於由內而外的管制更不可忽略。對企業資訊安全造成威脅的,已經不單單是從遠端網路展開的攻擊行為,最令人擔心的反而是內部神不知鬼不覺的資料外洩。由於現代社會運作愈來愈仰賴IT科技,相對的資訊的價值就越來愈高,對企業組織而言,如果沒有完善的防止內部資料外洩的政策,就算企業主再怎麼信任員工,要是產生「內神通外鬼」的情形,誰都不能保證不會有一天面臨資料外洩的災難。
資訊安全領域相當廣泛,越來越多資訊安全廠商投入金錢和人力推動不同的資安產品,其原因還是在於資訊安全風險會對企業造成無法預測的傷害,也導致資訊安全一直都是各個企業組織關心的問題。除了既有的基礎網路資訊安全架構外,從2006年起企業開始逐漸導入入侵偵測防禦(IPS)、垃圾郵件管控、網路存取控管(NAC)等解決方案,接下來關注的重點將會是DLP(Data Loss Prevention)解決方案,防止企業內部機密資料外洩。
什麼是DLP資料外洩防護
DLP算是一種新興的技術名詞,相較於其他已經很成熟的解決方案,在定義上顯得較為寬鬆,但是保護內容安全的核心觀念卻是共通的。由於各家廠商紛紛推出相關解決方案,因此連產品的類型也是眾說紛紜,比較常見的有以下四項:
甚至還有較為功能面的說法-Extrusion Prevention(侵出防護)、Content Monitoring and Filtering(內容監看與過濾)、Content Monitoring and Protection(內容監看與保護)。這些名詞強調的重點其實都涵蓋在DLP解決方案的範圍中,雖然各家資訊安全業者的DLP產品都有不同的產品名稱,但是發展至今最常被使用的還是以Data Loss Prevention為主。
根據資訊安全組織SANS Institute的定義,DLP是指某些產品根據中央控管的政策,透過深層的資料分析,能夠辨識資料屬性,執行監控,並且保護在儲存端、端點以及網路中的資料。DLP主要整合以下三大部分:
Data in Motion
DLP解決方案中包含保護正在網路中傳輸的資料,Data in Motion或是稱為Data in Move。網路上的管道(Channel)相當多,舉凡最常用的電子郵件、即時通訊軟體、點對點傳輸等,由於網路架構是每個企業組織都已具備的基礎設施,所以大多數企業組織的做法都先從網路傳輸保護開始做起,資訊安全業者或顧問服務公司通常也會建議先做網路的控管,主要核心功能在於進行監控(Monitoring)、加密(Encryption)以及阻擋(Block)。
Data in Use
就算網路端控管做到滴水不漏,涵蓋網路連接的所有系統,但當有人攜帶筆記型電腦或行動裝置大剌剌的走出公司大門時,就無法保護當中存放的沒有經由網路流動的資料,也無法管制內部員工藉由可攜式儲存裝置將資料攜出。所以使用中的資料由DLP解決方案中的端點安全防護(Endpoint Protection)來負責,在使用者端對資料進行互動時,針對傳輸的終點裝置進行控管。例如使用者將資料Copy/ Paste藉由USB隨身碟攜出,就可以限制貼入的動作。
Data at Rest
保護網路流動中的資料以極端點使用中的資料固然重要,但是經過DLP解決方案不斷的進化,清楚了解公司內部資料所在的各個位置也相當重要。原因在於,沒有辦法將公司內的資料位置進行全盤的了解並保護,在安全管理上會遇到相當大的困難,如果不清楚每個資料位置,也無從得知該去哪裡保護資料。所以內容探索(Content Discovery)在DLP解決方案中,需要做到端點探索、儲存設備探索以及伺服器探索三大部分。
了解需求 定義保護資料
由於每一個產業別和公司的實際狀況都不盡相同,所以就算導入同樣稱為DLP的解決方案,做法也會有所不一樣。首先還是要了解導入的解決方案可以幫助公司創造哪些價值,需要哪些人員協同合作,那些業務流程需要保護政策,那些不需要,解決方案部署時間需要花費多長時間,是否需要漸進式導入等。
實施DLP解決方案前要先定義要保護的對象,因此必須盡量仔細完整將公司內部資料種類進行分類的工作,這時候可能需要各單位、各部門的合作,共同決定將被保護的機密性資料,通常不外乎財務資料、客戶及往來合作夥伴名單、報價資料、公司內部報表等。各行業的特殊性也相當重要,以醫療單位來說,重點資料可能就是病患的病例資料,金融產業可能要保護客戶的個人資料,而高科技產業則會將研發技術資料列為保護的優先重點。
國外基於法規遵循要求,已經有相當多企業組織針對防止資料外洩導入相關解決方案,尤其在個人資料保護的部分更是要求嚴格,如五大發卡金融組織訂定的PCI持卡人資料安全保護標準,以及醫療產業遵循的健康保險攜帶與責任法案(HIPAA)都是相當成熟的規範,以台灣來說,個人資料保護法正在進行立法程序,預料未來也將促使DLP市場加速成長。