由於資料外洩事件頻傳,帶給企業的除了金錢或資料外流的損失之外,造成的商譽損失更是難以估計。目前在亞太地區,資訊安全議題已經逐步邁向法規遵循以及稽核要求,由各國政府主動介入後,資料保護的需求將會提昇,台灣正在立法院三讀審議中的個人資料保護法,也迫使每個企業連帶都有保護資料的責任。
資料外洩的管道不勝枚舉,從外部駭客竊取到內賊外洩流出都有可能,因此具有相關性的解決方案同樣百家爭鳴。從法規遵循以及稽核的角度,再以目前資安技術所能涉及的範圍,甚至企業組織應該建立的資安意識等,從多面向的角度來討論防止資料外洩的議題。從去年開始資安市場就持續不斷加溫,再加上法規遵循及稽核的要求下,能協助企業部署各種不同資安解決方案的供應商順勢搭上保密需求的順風車,無不整裝備戰,搶食後金融海嘯時代的資安大餅。
杜絕內部洩漏 從資料使用端著手
參酌國情法規 首要建立資料保護政策
在探討資料外洩解決方案時,除了較早發展的防外部攻擊惡意存取資料的閘道端安全設備已廣為人知之外,為了直接針對防止內部員工惡意或不經意將資料外洩,而發展出的DLP(Data Loss Prevention)方案,也逐漸在近幾年成為資安市場的主流產品之一。
DLP首重建立資料保護觀念
 |
| ▲ 趨勢科技台灣區技術行銷部技術顧問吳宗霖表示,資安顧問協助企業客戶在導入DLP方案時,會先建議由IT部門擔任統一窗口,以建立DLP協作平台,並且匯集各部門機密資料權核主官管進行協同會議,定義企業內部機敏資料保護的政策。 |
趨勢科技台灣區技術行銷部技術顧問吳宗霖表示,以最近這幾年將DLP推向企業界的導入經驗看來,一個公司應該要對內部資料先有清楚的了解,在資安保護上首先要了解有哪些資料是機敏的,再進一步確認那些使用者可以接觸到這些資料。
DLP初期調校 最終封鎖
大部分企業內部較難配置專職資安人員,隨時隨地負責監控內部使用者的網路使用行為;相對的,如果有建置DLP資安系統,就能幫助公司辨別。吳宗霖指出,假設一個企業已經很清楚要防範那些資料不能外洩,可先將資料外洩防範的政策大致分為兩部分,首先將公司定義為極關鍵的資料,例如研發資料、Source Code、或是License合作夥伴開發的原始碼作為二次開發等,而會接觸到這些資料的又是公司內研發人員,因此管理群組就很明確,如果有導入DLP等管理工具,就能有效的幫助資安管理員或IT人員管制,針對不小心外傳的行為做告警,必要時直接阻擋傳遞。
其次,第二部份為針對故意外洩的行為,公司能透過DLP知道有外洩行為正在發生,事後也可依照此紀錄調整使用者存取權限。通常導入DLP解決方案,將二階段調整完成後,內部使用者大致上都能夠習慣公司政策,因此資料外洩的行為發生機率就會大幅的下降,最後再進行第三階段,直接辨認明確的外洩手段,將惡意行為封鎖。
如果是合法存取權限的使用者,也能從告警中被告知某些傳輸資料的行為不被公司允許,以教育訓練的概念讓使用者辨別自己在公司內的網路傳輸行為。
「如果能清楚辨別內部哪些資料屬於敏感資料,哪些使用者屬於資料外洩高危險群,以一般的經驗來看,在兩個月之內就能完整導入完畢。但是如果第一個階段在判斷資料敏感程度上,資安顧問需要花很多時間在跟企業客戶做內部安全政策溝通時,導入時程就會拉長。」吳宗霖表示。
統一窗口
「很多企業想做DLP卻不知道機密資料在哪裡,公司內就應該要有能清楚掌握機密資料的窗口。」吳宗霖指出,一般來說都將IT設定為統一窗口,但是IT不可能掌握公司的敏感資料,因此資安顧問能夠輔助IT成為系統平台建置的角色,而讓每個事業群或部門的權核主管去定義哪些資料為機敏資料。
「必要時組織團隊人員要有所調整,要選定各部門有權責且能夠定義機敏資料的代表,進而幫助內部員工釐清機密資料的屬性。」他表示,由於一間公司可能有很多事業群及單位,在導入DLP前期會選定各部門代表,建議召開資料保護協作會議,資安顧問從中協助IT窗口負責建立平台給每個事業群,並且在DLP平台上對每個事業群開啟分享資料夾,事業群的代表主管就決定哪些資料是敏感有風險的,再將這些資料複製到此資料夾中,就能在系統上建立資料保護的架構。