解决DLP困惑:困境中的生存秘诀(上)

DoSECU 安全分析 7月27日消息:如果安全部门对什么是数据丢失防护存在很大的分歧的话,那么进行数据丢失防护(DLP)项目可谓一件很艰难的事情。但是有一些过来人却可以给我们带来一些好消息:数据丢失防护是可以做的。

一些IT安全从业人员告诉我们,如果他们不再听从厂商的建议购买所谓的"盒子外的DLP"产品,并取而代之地侧重于在培训计划中混合多种安全技术来帮助用户保卫他们自己以及他们的企业的话,那么他们就可以获得想要的DLP项目。

尽管在企业中,不同部门的制度是一致的,但是在技术方面却没有一个一刀切的解决办法。你要记住,市场上却是有一些常见的工具,但是在不同的企业中组合这些工具的方式也是不尽相同的。

美国邮政服务公司企业信息安全服务经理Chuck McGann已经听到了很多这方面的消息,就算一些厂商选择了DLP,他们提供的产品也不能满足所有人员的需求。

他说:"之前已经有很多厂商在与我的交谈中告诉我,他们的产品是如何进行工作的,但是他们的模式匹配功能和误报率的降低还是不能满足我的企业的需求。"

就他本人而言,McGann认为他的DLP项目需要解决如下的问题:

1、关键字模式匹配

2、自动隔离那些违反规则的文件

3、可以指定和使用特定的数据组合来匹配的能力

4、精确的数据匹配

5、特殊的静态数据和动态数据的检测

6、强大的报告能力

同时,他还认为他不需要在额外的加密、ACL和数据传输隐藏技术投入过多的资金。

用户进行自我保护

虽然他认同用户的数据防护意识的培训很重要,但是职业教育公司CISO Michael Gabriel认为他的企业只能做这些来进行自我保护。因此,他会继续寻找能够解决他的需求的技术。

"如果你可以让技术使他们的角色尽量弱化的话,那么跟每个人解释他们的角色就不是什么太大的问题。"Gabriel说:"任何时候你过度依赖最终用户来做一些事情的话,你都很可能会失败。"

Gabriel最早了解DLP是为了寻找电子邮件加密来解决他上述的问题。他指出,他是芝加哥第一个Vontu的用户,他在2005年就开始使用该厂商的防护产品,将其与Ironport MTA和PGP加密网关进行整合,来为他的企业提供自动的电子邮件加密解决方案。由于他找到了能够使用精确的数据匹配来检测机密信息(如果数据被自动传输到授权的收件人的话,可自动对数据进行加密)的方法,他已经能够满足DLP目标的基本要求了。