九种衡量DLP效果的方式

DLP在企业的安全团队的工具当中正在成为越来越受关注。然而,选择DLP系统的标准却往往非常模糊,甚至有时候看上去像是在买杀虫剂。而最终结果,企业最终会选择的品牌往往都有着大量的广告加成——包括价格层面的。 但是,这些系统可能有很多没在市场手册上列出的功能。DLP的选择错误造成的损失远远高于买个杀虫剂造成的损失。安全专家们最好对这些功能进行一些正式的测试来对比。 如今,许多DLP系统都会给出不同的复杂分级供选择。对比表格中的一些附加功能往往极具诱惑性,但是它不代表这个选项会达到客户的期望水准。为了快速发布自己的产品,一些开发商会忽视质量、用户体验和可靠性等因素。 一个技术上成熟的企业级解决方案,应该能够适当地进行迭代升级。DLP系统往往会基于三到五年的计划进行选购;因此,满足当下的合规需求并不是唯一标准。企业应当理解厂商的发展方向,并且预估自己企业未来会面临的任务以及挑战。 以下九条建议可以作为评判一个解决方案的参考,同时也能衡量你的投入是否能真正完全满足基础的企业软件标准。

内容拦截

DLP系统的基础能力之一,就是防范因员工疏忽和恶意软件而导致的数据泄露;而主动终结一个可疑的操作是达到这个目标的唯一方式。然而,一些企业会选择将这些解决方案调整成监控模式,而非直接阻断数据移动。 与此同时,所有信息都储存在档案中,而安全官往往事后才能进行响应。这也就意味着,由于内容拦截功能的使用本身并没有在计划之中,其优先级被大大降低。 在使用比较不侵入式的监控模式同时,信息安全人员也需要控制DLP的误报率与漏报率。举例而言,如果解决方案反应过激,对可疑事件采取了中断邮件或者其他关键服务的行为,引发的后果反而会比数据泄露更严重。 内容拦截的问题同样存在于一些提供极少配置选项的非复杂DLP系统中。由于缺乏阻断模式产生的数据泄露事件会很棘手,并且需要花费大量的金钱去修复。另外,越来越多的国际法规要求组织使用内容拦截防止信息泄露;企业如果不合规就会面临支付高额罚款的风险。 一些通信机制因为技术问题只能被DLP工具监控而无法阻断——比如Telegram和WhatsApp因为数据加密技术就只能进行监控。不过,如果一个DLP系统无法支持在检测到异常行为时,阻断邮件、打印机、USB端口、HTTP/HTTPS网站服务,那显然这个DLP没做到自己的基础工作。

策略与内容分析

并非市面上所有的DLP系统最早都是出于完全防护的效果进行设计的。一些开发者只是从最开始加了一层安全能力,然后之后再补充其他管控能力。由于最初模型的限制以及其独特的功能需要和之后的结构相匹配,最终产品的性能往往会成问题。 因此,DLP系统进行内容分析的方式特点反而可以给企业作为思考其演化进程的起点。举个例子,如果一个被监控设备的终端探针用SMTP协议将数据提交给DLP服务器进行分析,那么就可以推测这个解决方案可能诞生时只有邮件检查组件。这样一来,探针可能就不会从服务器端收到诊断信息。一旦探针无法获取诊断信息,那么文件在被打印或者转存到一个便携式设备的时候就无法被阻断。这种部署模式的另一个问题是需要一直和服务器进行连接,那么网络堵塞会中断分析的流程。因此,最好能看一下DLP解决方案能否优化网络流量。 如果整个DLP的架构是精心设计而成的,内容分析应该处于一个能实现策略的位置,比如终端探针的位置。这样就不需要通过网络提交大量数据,而流量优化也不再是需要考虑的问题之一。

未连入企业网络情况

除了进行内容分析和应用企业的策略之外,DLP探针还需要给服务器发送事件日志、不同文件的卷影副本等其他信息。这些重要的细节信息即使在服务器的数据仓无法接入的时候,也不该遗失。一般情况下,这些信息应该存储在本地,然后在连接恢复后尽快上传给服务器。 针对服务器不同的连接状态,应该有不同的策略应对,比如连接建立的时候、终端通过VPN连接、或者连接中断。这点在员工带着企业下发的笔记本离开办公室的时候尤为重要,比如出差或者远程办公的时候。

便利性

不同用户会对系统使用和管理的便利性看法不一。有些人喜欢用命令行来管理DLP,有一些却更偏向于用脚本语言设置策略和规则。在许多时候,有一个流程化的界面可能会意味着是一个关键模组都被完美设计的高质量产品。 在评估界面的用户体验的时候,有几个小点需要进入考虑范围。首先,最好有一个全合一的管理板。时下最多的应该是Web操作面板。这一类面板可以跨平台支持,不需要额外的软件,而且也能在移动设备上被使用。 如果一个产品为不同模组提供不同的控制器,这就意味着它一开始设计的时候就不是一个单一完整的系统。这些组件可能是由不同的软件工程团队或者厂商制作然后集成到一起。 另一个显示出设计优秀的点是所谓的“全渠道”策略。比如需要一条策略管理合法文件的话,可以只进行一次操作,然后选择所有需要覆盖的途径(电子邮件、USB、网站服务等)。 在一些设计得不怎么样的DLP系统里,相关人员可能就需要对每个途径创建类似的策略。尽管一开始这看上去可能不是什么大事,但一旦策略数量增长就会让情况一团糟。当有几十条策略,而且要根据时间和用户组进行不同的设定的时候,让这些策略同步就会变得异常困难。

服务器数量要求

DLP系统不成熟设计的另一个点在于过多需要运维的服务器数量。举例而言,如果一个大约100人的试点工程需要超过一台服务器,这样的架构可能需要一些改进,然年在生产阶段很可能会需要更多资源。 一个顶尖的解决方案会保证在多个方向进行平衡。对大型组织而言,应该有一个选项,将一部分系统组件分离,然后每个都分配不同的服务器资源;而对于一些较小的网络来说,DLP系统所需的服务器数量不应该过多。

灵活部署

DLP系统在部署机制层面应该有足够多的调整空间。这样不仅能快速融入现有的数字化架构,还能在保持多个渠道控制的情况下平衡功能性和负载能力。 DLP图谱中的多个系统可以提供不同选项,管理所有渠道的终端探针。厂商可以使用这些工具,来减少开发时间并降低软件工程上的开销。 不过这个架构并不满足企业级标准,只能说在网关层对网络管理比较有效。对于大规模的DLP部署,这可能是唯一合理选项。除了使用终端探针作为控制数据移动的来源外,一个有效的DLP工具也会提供以下其他部署方式: 邮件服务器集成。这个方式可以监控内部邮件。 从一个技术特制的邮箱进行收件。 通过ICAP集成现有网关。 一个分开的邮件传输服务器。 主流厂商会提供他们自己的代理服务器,和DLP系统无缝集成,监控HTTP和HTTPS流量。

云架构

由于越来越多的企业正在转入远程办公室模式,同时又希望在安全服务上节省开支,云端DLP解决方案必然会有质与量的双重提升。现在已经有很多在云端有DLP系统服务器组件的需求。这种情况往往在试点项目或者小型企业中存在。 DLP系统的档案中存在着各种企业的机密,为数不多的企业家会愿意把它放在一个不受控制的环境中。然而,如果DLP系统无法支持云端主机模组,有时候就会产生一些不好的后果。 云存储控制和服务同样会有问题,比如企业使用Google Workspace或者Office 365邮件服务的时候会在一些细节上面出现情况。举个例子,在接入邮箱服务器的时候,可以使用浏览器或者Microsoft Outlook这样的客户端——对每个选项,都需要使用一种不同的协议。 另一方面,在组织中使用云端存储的时候,需要确保DLP系统会定期扫描所有的云端文件夹来监控存储的机密信息。在这种需求下,CASB技术应运而生;从需要解决的任务来看,CASB有点类似于DLP。

与其他企业安全系统的集成

DLP还需要和以下的安全系统进行集成: SIEM:这可能是企业安全生态中最常见的兼容性缺口了。每个安全专家都希望DLP里的事件能够集成进SIEM,而大部分的 SIEM系统能够从DLP数据库下载数据。如果DLP解决方案能够支持Syslog和CEF之类的协议,这个流程能够更加有效;而且安全人员还能在SIEM中将来自DLP的数据的优先级调到最高。 EDRM:这些系统一般都会配备DLP解决方案,当然也可能是DLP配备EDRM。当两者结合到一起时,只要配置得当,就能成为一个坚如磐石的防护层。在那样的场景下,DLP可以完美和EDRM的策略结合,然后将其中的一些规则作为自己的策略——比如生成报告,或者搜索存档。另外,DLP系统还能基于一些提前预定的规则完整实现一些EDRM策略。 数据分级系统。最佳的DLP工具应该有能力处理文件中被数据分级系统标记的内容。如果数据分级这一冗长复杂的内容已经被完成了,这一功能可以省去大量的时间和精力。

多平台兼容性

一个好的DLP系统应该能够和多种端点平台兼容。最基础的能力至少要支持Windows。那这显然是不够的,毕竟没准哪一天我们就会大规模转向Linux系统。不过,现在已经有多家DLP系统提供Windows、Mac和Linux的模组。 运行iOS和安卓的移动设备也需要被考虑到。出于技术原因,当前几乎不可能建一个针对智能手机平板完全有效的探针——尤其是苹果的设备。在某些情况下,通过一个Web控制器和DLP交互是个不错的选择。因此,当采用BYOD模式的时候,企业还需要启用MDM解决方案。MDM能够进行嵌在移动操作系统内的安全能力、创建隐私策略,从而减小数据泄露的风险。 DLP系统的发展路径各不相同。这一点会决定他们的完整度、功能协调度、对不同的信息传播渠道的支持能力等。在现代社会,这一类解决方案的价格和之后的维护成本会有很大的区别。不过,稳定的DLP依然是一个值得进行的安全投入,因为它能够解决多种不同的安全问题。

数世点评

: 因GDPR产生的罚单越来越多,企业对于数据防泄漏的重视迫在眉睫。但是具体DLP需要做什么,如何根据自身的环境选择适合的DLP解决方案却是一个问题。市面上不同的DLP厂商很多,宣传内容方面很多也同出一辙,但是其基于的技术模式、部署情况等却大相径庭。企业在选购DLP解决方案的时候,不仅仅需要关注于DLP“能做什么”,更要关注DLP“如何做到”。

标签: