部署DLP技术:设置自定义DLP政策

很多DLP安装包具有预定义的政策,以试图找出明显敏感的信息,例如社会安全号码、信用卡号码和驾照号码等。这些预定义的政策还可以帮助企业遵守HIPAA、HITECH和其他联邦和州政府法规。

Kindervag表示,使用这些预定义政策可以帮助查找更容易识别的信息,但这也可能导致很多误报。他表示,供应商创建这些政策的最佳做法是在某种程度上整合数据分类,以及评估对于特定行业哪些信息是有害信息。Kindervag说:“每个企业都有对于他们很重要的信息。”

供应商也认为预定义政策(或者说内置功能)是非常有限的。Verdasys公司托管服务部门主管Mike Parrella表示,这些政策帮助企业意识到数据丢失问题的严重性,但他们只能实现相对容易的目标。“我认为我看到了企业使用这些DLP政策方式的变化,”Parrella表示,“他们试图使用这些预定义的政策,但失败了。”所以供应商必须为客户提供满足其个性化需求的灵活性。Parrella说: “这些系统需要具有足够的可塑性,以让企业根据其需求来调整数据类型。”

Verdasys公司系统工程师Darrin Mourer表示,很多预定义政策很不完善,只是作为提供给用户的例子。Mourer正在写一本关于DLP的书,他希望该书将于2013年上半年出版。他表示,这本书的目的是介绍DLP—它是什么,它是怎么来的,为什么我们需要它,如何部署它以及如何部署流程来支持它,以帮助首席信息安全官和DLP供应商更好地支持它。

Mourer还表示,使用DLP追踪社会安全号码、信用卡号码或者医疗ID号的企业经常遇到很多误报,这是因为DLP系统寻找的这些数字类型也存在于很多其他地方,例如在线产品目录、网站代码和内部产品号码。

Mourer认为,供应商对误报问题的解决办法是制定围绕企业特定数据的政策。而这使问题很快转变为,供应商如何访问制定政策所需要的所有信息,以及如何监控网络以确保这些政策的执行。企业必须安排内部专家来监督这个过程,或者企业应该与为其管理整个DLP服务的供应商合作。Mourer表示:“这不是可以独立运行的工具,它需要细心的‘照料’。”

设置自定义DLP政策

Jackson通过使用预定义政策并根据自身需求加以调整来为Westamerica银行设置DLP。Websense公司的DLP服务提供超过1700个预定义政策,当Westamerica银行开始使用Triton作为DLP时,Jackson通读了这些政策,并决定该公司需要使用哪些政策。

DLP设置向导开始会询问用户关于企业位置和所属行业等问题。这些问题的答案可以帮助向导自动匹配监管政策。然后,管理员可以调整这些监管政策,并开发自己的安全政策,包括设置数据访问、数据移动和数据使用的阈值。企业可以对大量或少量信息、特定工作组、部门、地点或者个人设置政策。

在处理客户信息的生产方面,Jackson使用DLP来监控员工的打印操作。Jackson对系统进行了设置,当有人在几天里打印了相当数量的内容,他将会收到通知,这样他就会找该员工谈话,确保没有打印任何机密信息或者客户信息。

Jackson还在Triton设置了政策来防止员工通过USB将信息带出企业。如果员工将文件转移到USB,当USB拔出时,信息将会被自动加密,并且,只有在另一台受Websense保护的机器上才能打开该文件。当这种用例出现时,系统将会提醒Jackson,就像上述的打印操作一样。

在互联网方面,Jackson对DLP的使用有所不同,因为连接到互联网的机器上没有客户信息。为了确保保持这种状况,DLP产品被设置为定期清扫互联网中的任何客户信息。为了测试这个功能,Jackson将客户信息放在该银行副总裁的电脑中。然后,DLP技术成功地发现了这一信息,并通知Jackson,所以他有信心在未来它同样也能找出互联网中的客户信息。

Websense的DLP解决方案允许用户选择他们希望系统提醒的人,如果需要的话,违规的用户也可以收到通知。“我们不想要警告用户,我们不想吓到他们,并让他们认为他们正在做错的事情,”Jackson表示,他更愿意接收所有的系统提示。如果出现明显的违规行为,他会直接与相关的员工谈话。

对于这个系统,Jackson唯一的问题是,一次只有一个管理员可以登录到Websense。如果允许一个以上的人登录的话,这将有助于监控系统。Jackson表示,Websense正在努力解决这个问题。

在他研究DLP技术时,Jackson基于两个重要的标准评估了三家供应商:首先,Jackson希望供应商愿意接受一些Westamerica银行网点的老设备。Westamerica在加州北部和中部拥有超过90个办事处和个信托办公室。

Jackson表示:“我们需要供应商能够接受我们的环境。”他的第二个要求是需要是业界知名的供应商,现在从事DLP技术,并会在未来进一步发展其技术。价格也是一个考虑因素,但并不是重要的因素,因为Websense满足了前两个要求。

Jackson承认很难衡量部署DLP政策的投资回报率,但他表示,不必担心员工打印出客户信息或者将文件带出公司,这无疑提高了生产效率。Jackson表示:“我们并不总是得到回报,我们可能无法得到财务回报,但我们得到了生产力的回报。”

DLP作为内置功能

Forrester公司的Kindervag和Holland表示,DLP的未来在于将其内置到其他技术。对于Kindervag,这意味着“DLP不再是产品,而是可以内置到产品中的功能” 。一些公司已经开始整合DLP到其他产品。一个知名的例子就是即将到来的Microsoft Exchange Server 2013,它将允许管理员为信息设置政策,当电子邮件传输到服务器时将被过滤。在很多方面,这类似于附加的DLP服务:它自带的模板可以帮助企业遵守法规,并允许管理员制定自己的政策。

Kindervag表示:“你的公司可能通过多种传输通道丢失数据—电子邮件、web流量和即时消息(IM),所以你必须积极地保护每个通道。Forrester认为单个产品很难保护所有通道,因此,DLP将很快(如果现在还没有的话)从产品演变为嵌入到多个(可能全部)安全产品的功能。”

然而DLP供应商很快指出内置DLP可能失败的原因。Verdasys公司的Parrella表示,安装安全,然后遗忘它是错的。我们需要考虑风险在哪里发现,以及应该在哪里部署风险缓解技术。风险可能被发现于端点、网络、服务器和其他技术上。

“你必须监控风险暴露自身的位置。将DLP引入到Microsoft Outlook似乎是一个好主意,但它缺少一些安全功能:它没有加密数据、保护电子邮件附件、以监管目的的取证日志或者与其他功能整合。”