近年來著重於資料外洩防禦(DLP)的Websense,深受需要因應個資法的企業關注,隨著駭客滲入盜取資料事件增多,資料保護範疇亦擴展至攻擊行為的防禦。
Websense代理商湛揚科技產品技術經理何政勳說明,Websense基於TRITON架構的DLP方案包含三個部分:Data Endpoint、Data Security Gateway以及Data Discover。其中,Data Discover是在中控台安裝好後就已具備,內建資料識別和分類引擎(DCIE),會掃描公司內部開放式資料夾,並以政策範本描述、指紋檔案登錄以及機器智慧學習等型式來識別資料。
 |
| ▲ 湛揚科技產品技術經理何政勳建議,資料保護應從管理面來思考,以PDCA循環為基本原則,首先必須有專責負責的人,接著由高層管理領頭執行全面性資料盤點,才能進行風險性評估,最後再選擇與建置降低風險的控管工具。 |
「最初導入DLP時應先行監看,調查機敏性資料外洩的狀況,通常會建議採用Data Security Gateway來協助。好處是不需變更現有網路架構,只需要在交換器上設定Mirror Port,把流量導向此設備即可監看,進而分析事件,才得以據此改善或矯正。」何政勳說。
早期因應個資法建置DLP的銀行業,近來的挑戰則是網頁服務愈來愈多提供Https加密傳輸,他認為,控管機制若單就URL的參數進行解析,精準度太低,無法有實質的效果,必須擁有解密能力才得以查看該傳輸行為的內容。而此機制在Data Security Gateway便已具備。值得注意的是,實施解密機制勢必要跟公司政策相關,明文告知所有員工公司所制定的控管政策,並簽名以示同意,IT人員再把憑證加入到瀏覽器中,讓傳輸行為均經過Data Security Gateway,執行加解密動作,才得以取得傳輸內容、進而辨識。
何政勳強調,滴漏式資料外洩防禦(Drip DLP)與光學字元辨識(Optical Character Recognition,OCR)可說是Websense解決方案較獨特之處。滴漏式意指外洩行為是點滴緩慢地將資料回傳至中繼站,即使單一封包中只包含一個字元,耗費24小時才分段完成傳遞資料內容,仍舊無法迴避Websense的監看與辨識,主要是因為DLP偵測內容的技術,才有能力察覺此類規避行為。
對於駭客常用加密機制規避資安偵測,何政勳建議是在控管政策中設定,發現檔案經過加密時必須先予以攔阻,同時通知管理者審核該行為的合法性。內建的OCR圖文辨識機制,亦可防範駭客透過擷取螢幕畫面方式,將包含關鍵資料的畫面以圖片格式檔傳回中繼站。關鍵在於,竊取資料的行為勢必為一連串工作流程組合,只要偵測任一環節,即可降低被竊取成功的機會。