全站文章 iT邦幫忙
訂閱電子報RSS訂閱
iThome Online提供免費電子報,現在就訂,最新IT訊息每日寄達。

iThome 每日新聞報
iThome 產品技術報
加入iThome Online會員,立即使用討論區、Blog等服務。

免費加入會員
登入 / 登出
管理會員帳號
忘記帳號
忘記密碼
聯絡客服
訂閱周刊
讀者服務
10'e政府專刊No.3 (36)
09'e政府專刊No.2 (35)
09'e教育專刊(34)
09'e政府專刊(33)
08'企業資安專刊-端點安全防護(32)
08'企業採購情報誌(31)
07'資訊安全技術應用專刊(30)
07' 新世代資料中心專刊(29)
07'企業資安技術應用專刊(28)
企業採購情報誌'06冬季號(27)
企業軟體技術應用專刊(25)
企業資安技術應用專刊(24)
新  聞 專  題 對  策 專  欄 問 與 答 企業案例 解決方案
DLP產品的崛起
文/李宗翰 (記者) 2013-09-23
因應個資法實施,可提供資料外洩防護(DLP)功能的解決方案成為企業導入的熱門資安產品之一

傳統資安產品的局限
要透過IT的技術來防禦資料的外洩,方法和手段很多,也有一些效果,但問題在於許多使用者都不怎麼願意接受,而企業對於要花一筆錢來解決這樣的問題,也不是很感興趣,除非發生一些事件影響到公司商譽,或是被上游合作廠商、主管機關所要求,才乖乖認真配合導入。

隨著臺灣開始施行個人資料保護法,企業就算覺得自己不是駭客的目標,並什麼沒有了不起的資料能被壞人盯上,政府已經開始要求公民營單位遵循這項法令,因此,加強保護個人資料已經是企業經營管理必須面對的課題。

而對於個資的保護,單靠傳統的資訊安全技術,其實會受到很大的限制。以資料的偵測來說,因為個資並不是由幾個固定的字串所組成的,例如身分證字號、信用卡卡號等資訊,就是遵照一定格式所組成的編碼代號,有英文、數字,可是,我們所熟知的多數內容過濾產品,例如郵件稽核、網頁過濾都只能比對使用者所傳輸的內容,是否包含特定的關鍵字。

此外,對於像是結構化的資料(例如資料庫)、非結構化的資料(例如檔案)各自的相似性與相異性,資安系統該如何判斷,也是一個大問題。例如將檔案內容修改了一點點,該屬於同樣類型的檔案還是不同的檔案?將同樣的內容從檔案或應用程式裡面複製,再轉貼到網頁、電子郵件內,傳送出去,算是不同的資料嗎?對於這些複雜的狀況,傳統的資安產品大多無法明確界定。

內容的偵測與比對是一個障礙,另一個需要克服的困難是,傳統的資安防禦較著重從網路端的存取行為異常來管控,對於來自使用者端電腦的控管,最多只能做到周邊裝置控管、應用程式控管;而且,對於類似個資這樣的資料內容管控,以往只有在個人∕家用環境的電腦才會透過防毒軟體的功能,提供隱私防護,在企業環境下,並沒有提供這樣的集體監視與控管能力,直到後來一些專門針對端點(Endpoint)提供資料防護能力的DLP(Data Loss Prevention或Data Leak Prevention)產品,開始興起之後,才開始有了較完整的保護。

就算在網路與端點上都有了精確的資料內容判斷能力,這些產品彼此之間的運作能否密切合作、事件記錄是否能整合,也是一個問題,因為各自單打獨鬥,就容易有防禦上的漏洞出現。所幸,DLP產品發展到現在,上述這些問題都已經逐步克服了。

內容感知型DLP產品的崛起
從DLP這樣的產品類型名稱來看,似乎有許多既有的資安技術都可以提供,像是檔案∕資料庫加密、文件安全控管(EDRM),但仍有不同。

根據NSS Labs的定義,DLP是一種特殊設計的系統,能夠從時間的角度偵測潛在資料外洩突發事件,並且預防它們發生。

而且,即使資料處於不同存取狀態,DLP系統也能有所掌握,包含使用中(Data in Use,端點正在存取資料)、傳輸中(Data in Motion,資料透過網路傳輸)、存放中(Data at Rest,資料儲存在固定的位置),能夠預防敏感資訊的意外散播,而這套產品所用的方式,是透過控制資料進出網路與端點系統的關鍵位置,並且藉由內容檢查來監控資料的狀態。這樣的產品可建置在網路、端點,或在這兩者皆部署DLP。

至於所謂的敏感資料,則包括個人或企業擁有的資訊、智慧財產或專利、健康資訊、信用卡卡號等。

相較於文件安全控管,DLP屬於預防性的控制,主要的目的是阻止資料離開企業控管的範圍,但這項產品技術並不能保護到已經離開企業的資料。而文件安全控管針對資料內容的存取方式,不論是在企業內部或外部,均可配置不同的權限予以管制。

DLP另一個常見的定義是來自研究機構Gartner。他們將市面上幾家主要資安大廠的DLP產品,給予「內容感知型DLP(content-aware data loss prevention)」的稱呼。這種DLP的特性是能夠檢查傳輸中與儲存中的資料內容,並且基於政策設定去自動執行相關的防護措施,像是通知或主動阻擋,要達到這樣的功效,產品必須支援足夠的資料內容偵測技術,而不只是關鍵字比對與正規表示式(Regular Expressions)。

依照Gartner的定義,內容感知型DLP還可細分為三種:

1.企業級內容感知型DLP(Enterprise Content-aware DLP)
這種DLP會結合關鍵的偵測技術,讓企業本身能夠藉此界定出最需要保護的資料。產品本身包含了下列元件:針對個人電腦與伺服器的代理程式、實體或虛擬的網路監控應用設備,以及針對資料探索(Data Discovery)的軟體式應用設備。同時,這種DLP也會提供集中管理的主控臺,支援進階的政策定義與事件管理工作流程。

2.精簡型DLP(DLP-lite)
此種產品使用的偵測技術較少,而且支援的通訊協定較有限(例如電子郵件、網頁和FTP)。部署時,精簡型DLP僅個別針對端點、網路或資料探索等,而不是全部包含。在這種方案下,管理主控臺只支援基本的集中管控政策與很少的事件管理功能。

3.通道式DLP(Channel DLP)
本身並非獨立的DLP產品,而是具有部分內容感知DLP功能、整合在其他應用的產品,像是郵件加密。這種應用下的DLP的用處是協助使用者遇到一些問題時(例如被問到是否需要加密這封電子郵件),可以立即套用一個處理流程,去分析與自動判斷加密的動作是否必要。通道式DLP的產品比較局限在基本DLP功能的使用上,大部分是與法規遵循相關的用途。

以我們這次測試的DLP產品供應商來看,大部分是屬於企業級內容感知型DLP,像是McAfee、Symantec、Websense,在臺灣的市場上,還可看到Verdasys、RSA、GTB、Trustwave、CA等DLP產品。

至於後兩種DLP產品,Gartner也列出一些廠商,其中在臺灣可見到有廠商代理的廠牌有Proofpoint、Sophos和Zscaler。

OCR辨識功能成為DLP偵測技術發展的必爭之地

一般DLP所能偵測的資料內容,都是文字形式,對於透過手機相機、個人電腦螢幕截圖所包含的文字,許多產品還不能處理,因為這需要整合光學辨識技術(OCR),不過有些廠商的產品已經可以提供這方面的功能。圖為透過Websense Data Security Suite所偵測到的圖片資料外洩違規事件。

機敏資料可潛藏在檔案格式內

在目前流通的各種文件檔案格式中,可以置入許多你不易一眼就看到的內容,若單靠人力去判斷,有可能會無法發現裡面有刻意外洩的敏感資料。像是每一份Office文件都有的摘要資訊,裡面可貼上相當多的文字內容;或是在Excel檔案裡面,可以在其他工作表裡面貼上機敏資料,再將資料內容的字型色彩套用為白色,開啟該檔的人不易發現裡面別有玄機。

研討會訊息
打造超穩定企業虛擬化平臺研討會
雲端時代的新資訊安全觀
「雲端智慧‧創新服務」研討會
各國創新e政府案例探討
+更多研討會
▼ ADVERTISEMENT ▼
▲ ADVERTISEMENT ▲

最新問答




    熱門主題




      電週文化事業版權所有、轉載必究 ‧Copyright © iThome | 刊登廣告授權服務服務信箱隱私權聲明與會員使用條款關於iThome