從簡單的系統記錄(log)分析到SIEM,資料外洩防護系統(DLP),端點防護(Endpoint Protection),再到使用者與實體設備行為分析(UEBA)之類的解決方案,公司一直在使用各種專業的系統來保護重要資料或減輕內部威脅。這裡關鍵字是“專業”,這些系統都各有其優點和缺點,對於特定領域方面的運用很有成效。例如,端點防護系統雖然可以合理地防止資訊洩露,但設計重點在於防範如病毒、惡意程式的活動威脅,並非是專門精心設計來偵測人的行為威脅,例如擁有特權權限的非善意使用者。另一方面,UEBA或員工監視(UAM)解決方案擅長識別設備、網路活動異常和威脅,但在防止複雜的資訊竊取行為方面並不是很適用。
傳統DLP專為資料設計,而內部威脅面對的是人
我們這裡指的傳統DLP 是指Content filter DLP。根據定義,DLP軟體系統旨在保護資料。在網路出口端安裝了傳統的或網絡型的DLP過濾,在分析網絡流量的同時,對資料移動依據既定安全政策規則過濾判斷。然而他們通常不區分用戶其意圖,或該資訊內容的前後文關係。這樣解決方案並無法發現到大多數內部威脅,也無法識別非善意行為與資安事件(incident)之間的區別。如果沒有進行進一步的行為分析,就不可能區分用戶行為的細微差別。
傳統DLP可能很昂貴
ComputerWeekly進行的一項調查發現,導入實施DLP的最大挑戰是成本太高(32%)。不僅如此,因為系統架構的複雜度,專案推行可能需要供應商的專業服務支援,複雜的教育訓練;既有基礎架構面臨調整等,大大墊高了導入成本。
DLP難以設定和管理
DLP並非開箱即可發揮效用,需要針對組織的使用情境正確地設定。許多規則依賴手動定義 (如關鍵字、黑白清單) ;複雜規則政策設定可能很耗時,並且需要進行不斷的調整和優化。儘管較大的企業可能有能力負擔,也會放棄對DLP的持續維護,而將其給停留在過時的狀態。結果變得無效,開始產生太多的誤報,後果將更加危險。依據出口端架構的先天缺陷,裝備攜出之後,很多功能將不如在組織內部一樣。
DLP可能會影響性能
傳統DLP的另一個缺點是,它傾向於造成繁瑣的工作流程。這意味著,如果使用不當,DLP可能會犧牲工作效能與團隊的安全性。發生這種情況的原因有兩個。首先,DLP安裝可能會帶給用戶端(因為大部分的文字、本文都要運算特徵) 或網路(因為要傳送比對特徵)沉重負擔,減慢運行速度,產生應用程式反應行為不正常,甚至使系統當機。由於其做法是,通過將識別後的資訊攔截成為 “人質” ,破壞了組織內部資訊檔案的自由常規流動,成為影響生產效率的額外障礙點。
UEBA可能難以招架負荷
UEBA 解決方案可以大量地獲取每個使用者的資料量,從網站活動、電子郵件到按鍵歷史,甚至錄製畫面影片資料。對於分析人員來說,分析這些所有的資料,以及由此產生的警報和系統日誌,可能會令人望而生畏;尤其是須面對大型組織打交道時。雖然許多 UEBA 軟體提供篩選和規則來查詢記錄,然而分析人員發現自己必須要流覽數千個日誌和會話記錄的情況並不罕見。因此,實現並不像看起來那麼簡單。
解決之道:以使用者為中心的端點 DLP 與行為分析
從不完整產品方案開始,然後隨著市場上的技術成熟,產品供應商走向整合方案。新一代 DLP 解決方案(稱為端點 DLP 或 eDLP[註])正在進入市場,這方案可能融合了這兩種世界的優勢 —支援使用者行為威脅檢測,以及成熟 DLP 技術以資料為中心的外洩預防。它包括使用者活動監控、具備人員的綜合行為記錄(非單純事件記錄之類)、端點電腦合規性控制項。使用這種端點 DLP 解決方案的一些優勢:
- 端點 DLP 具有更好的記錄內容
理想的端點 DLP 可以監控使用者在應用程式、網站瀏覽、電子郵件甚至原始活動螢幕畫面上的日常行為。這有助於調查檢測人為活動風險,例如惡意員工、串通、破壞、盜竊和其他內部威脅。將此使用者活動監控和行為分析、探勘潛在威脅與機器學習相結合,提供了比傳統或網路 DLP 更廣泛的覆蓋範圍。 - 端點DLP產生較少的誤報
歸功整合的記錄分析,端點DLP可以取得更好的上下文關聯。這樣的系統不僅可以檢測或阻止資訊外洩,還可以追蹤威脅的來源,威脅的可能原因以及受影響的端點或資源,從而防止了未來的威脅。與僅依賴固定門檻值規則,只對特定對象資訊(電腦站台或網址清單)的解決方案相比,這種結合用戶端意圖判斷和上下文關聯可大大減少誤報。
結論
所有安全解決方案都有其專屬用途。如果您已經在使用符合您需求的產品,那麼請務必繼續使用它。但是,如果您對當前的解決方案不是很滿意,或者正在市場中尋找最新的使用者活動監視,內部威脅檢測,資料外洩防護和法規遵循管理解決方案,則應嘗試使用端點DLP。重點不在禁止使用者做什麼;而是我們需要知道具有權限的人,到底做了什麼事。
[註]為了區別,部分傳統DLP 也有端點程式,不過其功能主要是負責網路傳輸、文字爬文,屬於Network Agent,缺乏大部分控管的功能。