未雨绸缪:杜绝数据丢失应从源头开始

数据丢失防护并不是一个新的概念,但随着IT企业逐渐意识到各种威胁(从心怀不满的内部人员的泄漏到恶意攻击者的入侵等)对业务影响,这种理念变得越来越重要。至少,这是数据丢失防护供应商经常使用的说辞。

Securosis分析师兼首席执行官Rich Mogull表示,在大多数情况下,部署数据丢失防护解决方案的企业发现数据泄漏一般都是意外或者程序错误导致的,而不是恶意攻击者。例如,有人传送未加密的医疗数据(这无疑违反了HIPAA法案)或者将包含信用卡号码的文件移动到不安全的区域。如果在审计时发现以上情况,很可能会让当事人失业;也可能对企业本身声誉造成不良影响。

然而,数据丢失的风险并不总是可见的:当数据被窃或者处理不当后,你甚至都不会知道问题的发生。

在数据泄漏或丢失如此普遍的情况下,企业应该如何有效利用数据丢失防护来保护自身的数据?

在开始考虑部署数据丢失防护时,应该将数据分为多种状态:移动中的数据、静态数据和使用中的数据。如果只针对一种状态的数据来部署数据丢失防护的话,可能会造成严重后果,因为能够很好处理移动数据的方法可能对使用中的数据没有作用。全面的数据丢失防护策略应该根据企业需求考虑这三种数据状态。IT经理和安全专家需要注意的是,没有任何一个单一的产品可以很好地处理所有这三种状态的数据。

或者如果想选择从另一个角度来部署,可以从威胁载体的角度来看。这个角度考虑的三个因素包括电子邮件、Web和端点。前两者比较容易理解也容易部署。第三个稍微有点复杂。可移动媒介可以被阻止或者扫描,但是手机摄像头可以随时随地拍摄屏幕数据。

部署数据丢失防护策略的第一步是数据识别。虽然可能很容易识别需要保护的数据的一般属性,例如财务数据、客户信息或者产品计划,但是对于每种数据的风险级别却不是那么容易分配。

上下文+内容

对于数据,最好是同时考虑它的上下文和内容,正如硬币的两面。上下文的形式包括:文件元数据、电子邮件标题或者使用数据的应用程序。在更复杂的上下文分析中,数据丢失防护程序可能会检查文件格式或者网络协议,或者使用来自DHCP服务器和目录服务的网络信息来识别谁正在使用数据。这也可以扩大到特定的web服务或者网络目的地或者识别个人存储设备(如USB驱动器)。

内容,不言自明。数据的内容通常可以指示需要部署那种级别的保护。只有在比较棘手的情况下才会分析数据内容,因为都是先分析数据的上下文,然后再检查内容。这可能需要使用正则表达式、文件匹配、质问数据库或者统计分析等方法来分析数据内容。

数据丢失防护部署的下一步就更加复杂了。举例来说,在电子邮件中部署数据丢失防护似乎相对简单,考虑到这种媒介的属性。很多其他解决电子邮件安全威胁的产品也同样提供一些数据丢失防护功能,这种解决方案的缺点就是,它可能会涵盖外部电子邮件流量,而使内部流量为受保护。

基于网络的DLP也很类似。DLP产品通常会与现有Internet网关的反向代理功能一起来检查SSL加密流量。在Palo Alto Networks公司最近的报告中显示,美国企业取样调查显示,20.7%的带宽包含SSL,在端口443或者其他端口。对于这种流量,数据丢失防护解决方案最多能做的就是标记或者阻止它,而并没有识别流量的组成。

在存储方面,Mogull和Securosis看到的更多是“整合”,这也要归功于输入数据库和文件管理系统的能力。因为这些系统的性质,实时DLP监控往往局限于类似过滤的技术:类别、样式和规则,因为更深入的分析会影响系统的性能。

不管你选择了DLP策略的哪个部分,最重要的是确保它提供了简洁的用户界面和报告工具。虽然这是DLP产品必备的功能,但是Mogull发现很多DLP开发人员忘记了使用工具的用户需要一个简单有效的方法来解决问题,特别是在紧急情况下。