未雨綢繆：杜絕數(shù)據(jù)丟失應(yīng)從源頭開(kāi)始

2013-10-23 10:11:23 eNet硅谷動(dòng)力　點(diǎn)擊量：評(píng)論 (0)

數(shù)據(jù)丟失防護(hù)并不是一個(gè)新的概念，但隨著IT企業(yè)逐漸意識(shí)到各種威脅（從心懷不滿的內(nèi)部人員的泄漏到惡意攻擊者的入侵等）對(duì)業(yè)務(wù)影響，這種理念變得越來(lái)越重要。至少，這是數(shù)據(jù)丟失防護(hù)供應(yīng)商經(jīng)常使用的說(shuō)辭。

　　Securosis分析師兼首席執(zhí)行官Rich Mogull表示，在大多數(shù)情況下，部署數(shù)據(jù)丟失防護(hù)解決方案的企業(yè)發(fā)現(xiàn)數(shù)據(jù)泄漏一般都是意外或者程序錯(cuò)誤導(dǎo)致的，而不是惡意攻擊者。例如，有人傳送未加密的醫(yī)療數(shù)據(jù)（這無(wú)疑違反了HIPAA法案）或者將包含信用卡號(hào)碼的文件移動(dòng)到不安全的區(qū)域。如果在審計(jì)時(shí)發(fā)現(xiàn)以上情況，很可能會(huì)讓當(dāng)事人失業(yè)；也可能對(duì)企業(yè)本身聲譽(yù)造成不良影響。

　　然而，數(shù)據(jù)丟失的風(fēng)險(xiǎn)并不總是可見(jiàn)的：當(dāng)數(shù)據(jù)被竊或者處理不當(dāng)后，你甚至都不會(huì)知道問(wèn)題的發(fā)生。

　　在數(shù)據(jù)泄漏或丟失如此普遍的情況下，企業(yè)應(yīng)該如何有效利用數(shù)據(jù)丟失防護(hù)來(lái)保護(hù)自身的數(shù)據(jù)？

　　在開(kāi)始考慮部署數(shù)據(jù)丟失防護(hù)時(shí)，應(yīng)該將數(shù)據(jù)分為多種狀態(tài)：移動(dòng)中的數(shù)據(jù)、靜態(tài)數(shù)據(jù)和使用中的數(shù)據(jù)。如果只針對(duì)一種狀態(tài)的數(shù)據(jù)來(lái)部署數(shù)據(jù)丟失防護(hù)的話，可能會(huì)造成嚴(yán)重后果，因?yàn)槟軌蚝芎锰幚硪苿?dòng)數(shù)據(jù)的方法可能對(duì)使用中的數(shù)據(jù)沒(méi)有作用。全面的數(shù)據(jù)丟失防護(hù)策略應(yīng)該根據(jù)企業(yè)需求考慮這三種數(shù)據(jù)狀態(tài)。IT經(jīng)理和安全專家需要注意的是，沒(méi)有任何一個(gè)單一的產(chǎn)品可以很好地處理所有這三種狀態(tài)的數(shù)據(jù)。

　　或者如果想選擇從另一個(gè)角度來(lái)部署，可以從威脅載體的角度來(lái)看。這個(gè)角度考慮的三個(gè)因素包括電子郵件、Web和端點(diǎn)。前兩者比較容易理解也容易部署。第三個(gè)稍微有點(diǎn)復(fù)雜。可移動(dòng)媒介可以被阻止或者掃描，但是手機(jī)攝像頭可以隨時(shí)隨地拍攝屏幕數(shù)據(jù)。

　　部署數(shù)據(jù)丟失防護(hù)策略的第一步是數(shù)據(jù)識(shí)別。雖然可能很容易識(shí)別需要保護(hù)的數(shù)據(jù)的一般屬性，例如財(cái)務(wù)數(shù)據(jù)、客戶信息或者產(chǎn)品計(jì)劃，但是對(duì)于每種數(shù)據(jù)的風(fēng)險(xiǎn)級(jí)別卻不是那么容易分配。

　　上下文+內(nèi)容

　　對(duì)于數(shù)據(jù)，最好是同時(shí)考慮它的上下文和內(nèi)容，正如硬幣的兩面。上下文的形式包括：文件元數(shù)據(jù)、電子郵件標(biāo)題或者使用數(shù)據(jù)的應(yīng)用程序。在更復(fù)雜的上下文分析中，數(shù)據(jù)丟失防護(hù)程序可能會(huì)檢查文件格式或者網(wǎng)絡(luò)協(xié)議，或者使用來(lái)自DHCP服務(wù)器和目錄服務(wù)的網(wǎng)絡(luò)信息來(lái)識(shí)別誰(shuí)正在使用數(shù)據(jù)。這也可以擴(kuò)大到特定的web服務(wù)或者網(wǎng)絡(luò)目的地或者識(shí)別個(gè)人存儲(chǔ)設(shè)備（如USB驅(qū)動(dòng)器）。

　　內(nèi)容，不言自明。數(shù)據(jù)的內(nèi)容通常可以指示需要部署那種級(jí)別的保護(hù)。只有在比較棘手的情況下才會(huì)分析數(shù)據(jù)內(nèi)容，因?yàn)槎际窍确治鰯?shù)據(jù)的上下文，然后再檢查內(nèi)容。這可能需要使用正則表達(dá)式、文件匹配、質(zhì)問(wèn)數(shù)據(jù)庫(kù)或者統(tǒng)計(jì)分析等方法來(lái)分析數(shù)據(jù)內(nèi)容。

　　數(shù)據(jù)丟失防護(hù)部署的下一步就更加復(fù)雜了。舉例來(lái)說(shuō)，在電子郵件中部署數(shù)據(jù)丟失防護(hù)似乎相對(duì)簡(jiǎn)單，考慮到這種媒介的屬性。很多其他解決電子郵件安全威脅的產(chǎn)品也同樣提供一些數(shù)據(jù)丟失防護(hù)功能，這種解決方案的缺點(diǎn)就是，它可能會(huì)涵蓋外部電子郵件流量，而使內(nèi)部流量為受保護(hù)。

　　基于網(wǎng)絡(luò)的DLP也很類似。DLP產(chǎn)品通常會(huì)與現(xiàn)有Internet網(wǎng)關(guān)的反向代理功能一起來(lái)檢查SSL加密流量。在Palo Alto Networks公司最近的報(bào)告中顯示，美國(guó)企業(yè)取樣調(diào)查顯示，20.7%的帶寬包含SSL,在端口443或者其他端口。對(duì)于這種流量，數(shù)據(jù)丟失防護(hù)解決方案最多能做的就是標(biāo)記或者阻止它，而并沒(méi)有識(shí)別流量的組成。

　　在存儲(chǔ)方面，Mogull和Securosis看到的更多是"整合",這也要?dú)w功于輸入數(shù)據(jù)庫(kù)和文件管理系統(tǒng)的能力。因?yàn)檫@些系統(tǒng)的性質(zhì)，實(shí)時(shí)DLP監(jiān)控往往局限于類似過(guò)濾的技術(shù)：類別、樣式和規(guī)則，因?yàn)楦钊氲姆治鰰?huì)影響系統(tǒng)的性能。

　　不管你選擇了DLP策略的哪個(gè)部分，最重要的是確保它提供了簡(jiǎn)潔的用戶界面和報(bào)告工具。雖然這是DLP產(chǎn)品必備的功能，但是Mogull發(fā)現(xiàn)很多DLP開(kāi)發(fā)人員忘記了使用工具的用戶需要一個(gè)簡(jiǎn)單有效的方法來(lái)解決問(wèn)題，特別是在緊急情況下。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊

數(shù)據(jù)丟失