找出適合的管理方式
過去的資訊安全觀念著重在抵禦外侮,所以像防火牆、防毒這一段的建設與安全意識,都已趨近完備。在這樣的大環境下,老實說,單單靠強力入侵,直接破門闖入這種方式,顯然機會微乎其微。而近期被注意到的內部威脅,其實也不算新觀念;2006年業界已經出現Data Loss Prevention 的商品在市場上。按照SANS 跟 Gartner 的定義的DLP 是要能夠辨識過濾資料內容,加以適當處置。這不難理解,因為Prevention 的確要識別出才能達成。但那真的適合或者一定要內容辨識嗎?這必須按照實際營運內容分析,不一定全非得如此。
內容辨識的困難點在於「管理」
先討論內容辨識的方式,海內外業界先進發展了各式的方法,其實都有一定的成就。我們在評估這一類系統,第一個會考慮到的就是正確率,當然越高越好。不用說,這是有代價的。舉大家比較熟悉的SPAM 垃圾信判斷來說明。不論再怎麼厲害,已知最好正確率約莫在80%上下。為何會這樣? 如何判斷是否為垃圾信這件事情,本身就有模糊空間。如果您從事壽險業,那麼邀保的說明或廣告就不算垃圾,但對一般人來說,卻不怎麼受歡迎。所以這跟你的立場、職務、從業內容有關,甚至於把內容讓人判斷,都會出現不同結果。當然有很多技巧去加強改善,如增加判斷寄件人、網域、收件人等等,仍然無法變更這件事情邏輯上模糊的性質。
在DLP上有各種形式的判斷方式,(檔案)指紋辨識,Tagging,或二者混合等方法。通常DLP會有針對性的辨識,例如HIPPA、PCI-DSS,算是Structured data,自然就這個範疇而言模糊度不高,準確性好多了。如果我們以個資判斷來說明,則是集合了各種資料,依據規則來判斷。假設是機密資料內容,不可以外洩出公司,那麼它的部分內容也不能被引用、複製、另存、列印。所以DLP系統也要計算片段的內容,這當然會有額外運算負擔。引用某DLP大廠的性能手冊(Performance Guide) 內容所述,複製1MB 以下的檔案(Local -USB , Local-網芳) ,平均延遲(latency)約在2-3秒, upload files(1MB) to http/https through chrome、firefox 約7-11秒,printing files 約在7秒。的確有相當的代價。(原廠標註的client軟硬體:Windows 10 x64 /8GB/Core i7 3.6GHz)
在這之前,管理人員要面對的可能是,規則政策如何制定的問題。部分廠商雖然也提供end user self-help 的方式制定規則,但免不了要和對規則來回檢討、調整。管理單位面對其他業務單位的內容,也很難抓準規則;心裡也明白,即便是同業務單位也無法充分掌握。這些也不太難,一切順利上軌道之後,剩下的全部都是例外管理。不管事系統上的或者是行政上,有的狀況就是從頭到尾都是個資,有的人業務內容就都是處理個資,這些都是必然會面對的運作成本。
隱形的管理成本
另外一個指標,則是容易被大家忽略,我們也不用專有名詞,形容它叫做”錯放”好了。定義是假設文件中含有個資,卻沒有被系統檢測出,而予以放行。然而一旦發生,可就真的沒人知道了。因為系統沒檢查出,我們當然也不會知道。一但有資安事件需要呈堂證供,就難以舉證。這狀況一定是可以被改善的,就是要調查出,在甚麼樣的狀況之下,檢查不出個資。依此去強化規則防範。不過這就像前面所述的,這面對的是 unknown situation,有一定難度。那麼另一方面,誤判率是指文件內容不含個資,卻被認為有含個資,這個多半是例外處理,不太影響整體運作。
哪種企業想要內容辨識? 或者考慮DRM
因為法規遵循的關係,不同的產業都會有不同的法規要求;如前所提過的HIPPA、PCI-DSS都有一定的要求需要識別出內容,那麼就非得要內容過濾不可。
如果平常的敏感資料運作,通常都是在內部交換,那麼判斷內容就不太重要,目標就是不要流出去,DRM可能適合些。DRM 是對文件或檔案本身,進行加密保護及權限控管,即便是流落在外,沒有認證,沒有權限還是不能使用。可以說,以DRM 而言根本不在乎外洩管道。
以現實生活來比喻;如果我們的目標是,連偷走密件的人都要追究!這也合理,即便檔案加密不能被使用,但是偷走檔案這件事,還是得要證據。那麼就需要考慮端點資料監控加上DRM的系統。端點資料監控可以提供各種操作、檔案存取的記錄,甚至錄影,並進行相當程度資安控管。如果不須判斷內容,這會是個好選項。