資料外洩防護在企業內部絕對不是完全屬於IT部門的責任,但是現在台灣的企業組織卻常常要求IT部門主導規劃實施,甚至完全負責。但是仔細審視後就可以發現,DLP導入到公司內部,當中所牽涉到的權限問題、層級問題以及資料類型等,絕對不是單單一個IT部門能夠涵蓋的。
以資料類型來看,每個部門都有自己的機密資料,而且這些資料可能完全不同,人資部門有人事相關機密資料,財會部門有財物報表等相關資料,以權限來看,每個部門也有不同的負責人或權責主管,IT部門不該跨越不同部門管理所有的資料,更何況是機密資料。要是一間公司的MIS人員可以讀取所有資料,在管理和資料安全上才是最大的問題。
其實相當多的資訊安全解決方案是不符合商業流程的,而現在越來越多企業組織高層意識到DLP的重要性時,第一時間就是要求IT部門全權負責評估導入,對技術人員來說,DLP的功能面常會是評估測試的重點,但是實際上導入DLP的過程當中,功能面卻可能只占一小部分,政策面反而是應該要被審慎評估的。
DLP導入 配合商業流程
 |
| ▲Websense台灣區技術經理林秉忠強調,DLP不是一個IT部門能夠評估導入的,需要具備商業流程的概念,以及組織高層和各部門權限主管配合。 |
在企業導入DLP專案的初期,勢必會對業務連續性造成一定的衝擊,所以,在評估導入DLP解決方案時應該要有整體商業流程的概念。「抓一帖藥,治不好病沒關係,但是不能要了人命,」Websense台灣區技術經理林秉忠說,「一個企業對DLP解決方案的需求跟功能應該要從商業流程的角度來思考,而不是一昧的從技術面來評估。」
「許多企業CIO或CEO都表示,導入一個解決方案最先考量的基本條件是不能造成企業營運中斷。」林秉忠強調,「以前資料加密的解決方案看似安全,但是卻在工作流程上造成問題,當公司有安裝代理程式的人將資料加密,傳到沒有安裝的電腦,檔案就打不開了,而且每個公司的政策又不同,如果跟合作夥伴往來資料,對方沒有建置相同的解決方案,勢必會造成業務往來不便利。」
Websense在DLP整體規劃概念中,提出代表Who、Where、What、How的「3W1H」審查重點,簡單說就是指明「誰有權透過哪些管道去存取哪些資料」的政策,如果有內部使用者未透過正常管道傳送機密資料,這種行為就顯得相當可疑,就應該被稽核。以高科技產業來說,就曾經發生過內部員工將R&D的資料及下一代產品規格內容張貼在論壇上的情形,可能在論壇無意間習慣性的討論動作就造成公司產品在還未正式公佈前曝光,商品價值遭到破壞。
他指出,就算擁有權限的使用者,在傳送資料時所使用的通訊管道(Channel)也應該要被定義,接著區分藉由通道傳送的對象,是正常的合作夥伴或是蓄意洩漏資料,都應該要能監控並且管理。因此除了辨認機密資料之外,還要能夠依照企業內部的資料流,了解資料的流動情形,讓DLP能夠涵蓋在商業流程上各環節,和公司營運的模式相互配合運作。
降低誤判率 提高準確率
「如果一個DLP解決方案導入到企業內部,一天就可抓到三、四百條洩密行為,那公司差不多也不用運作了,」林秉忠指出,如果產生這種狀況,很可能表示DLP準確率出了相當大的問題,將非洩密行為也誤判為洩密,但是實際上真正的洩密事件往往需要進行後續追蹤處理,IT部門每天不可能有那麼多時間處理洩密事件,而且一間公司要是一天屬實的洩密事件高達好幾百件,一則該慶幸DLP幫了大忙,一則應該要回頭檢視內部營運以及人員問題所在,否則洩密狀況如此猖獗,公司也不可能繼續順利經營。
MIS人員能力畢竟有限,不可能接觸到所有資料類別,所以需要各部門權責使用者準確定義機密文件,再讓DLP判斷甚麼是甚麼不是。DLP目的不是像早期IDS產生一堆事件讓使用者感覺很有效果,DLP的P(Prevention)用意在阻擋與防範,但是要是沒有準確定義機密資料,每一個傳送存取行為都判斷為洩密事件而阻擋的話,就會造成跟商業流程與業務不中斷的原則產生衝突。
「準確率分為兩個面向來評估,False-positive(誤判)指的是誤把正常的行為視為洩密,False-negative(漏擋)指的是洩密卻沒有阻擋到。」林秉忠說,一個好的安全的解決方案,都必須降低誤判和漏檔的可能性,提高找出真正對企業產生威脅的事件的準確度,因為對企業來說,誤判及漏擋都可能讓企業面臨更多額外的麻煩。
語意分析 偵測原始內容
Websense在資料內容過濾上採用語意分析的作法,將資料以指紋辨識的技術來分析資料的原始屬性,無論資料的類型與格式如何被被竄改,都能監看與保護,更勝於單一關鍵字的分析,能夠防堵機密資料的部分內容外洩。林秉忠指出,如果今天是一篇二、三十頁的報告,有人只把摘要寄出去,而這是違反公司機密資料傳輸的政策,導入DLP解決方案要能夠阻擋這樣的行為,以往早期的技術只能將整個檔案用比對MD5的方式偵測,無法準確辨認外洩檔案的部份內容。
此外,存放在資料庫的資料要進行機密資料比對時,以前的做法是要求資料庫管理員(DBA)備份資料,將資料輸出成CSV格式,再將CSV資料輸入到系統裡面,但是這其實不太好用,因為資料庫每天都會有資料新增刪除,資料庫管理員不可能每天的工作都在將資料匯出到系統。Websense的做法是直接線上學習資料庫(online database learning)的方式,開放資料連結(Open Database Connectivity,ODBC)直接連接到資料庫,如果內容有異動,就只將有變化的內容更新到系統內-Differential update,就不需要佔用到DBA太多時間。
Websense DLP解決方案所能涵蓋的通道相當廣,提供高準確率及彈性的政策架構,法規範本已經超過600多種,且能支援超過390種檔案格式,並記錄上傳的檔案供事後查詢。