對於那些開始實施DLP或試圖以有意義的方式,重新構想DLP的人來說,這個問題常常是頭等大事。然而資料分類常常會圍繞一個假設,期待人或人工智慧系統,能夠自動化分類資料。這假設幾乎不會成立,所以答案是"不一定"——儘管事實上,真正的答案是有點微妙。
資料分類的迷思
多年來,資料外洩預防(DLP)軟體一直是防止檔案,和資訊非法離開組織控制的第一道防線。它通過對檔案的內容分類和軌跡追蹤來實現,而不是通過使用者如何利用檔案或資訊的方法來達成。 在許多情況下,推動資料分類可能是來自其他安全監管單位如法律、隱私安全的要求。要求資料分類的團隊,會明確需求特定的品質或精細度。例如,它們可能需要特定資料儲存媒體中的資料類型,對應到的機敏性級別標籤。
部分行業監管單位甚至要求必須分辨出資料中,是否所含有個資、信用卡卡號等的類別。合規性是法律規定,這是不能打折扣的。但根據研究,近三分之一的組織沒有辦法分辨,或確認所處理的資料是否牽涉個資。資料分類的困難使得DLP的效果很難以令人滿意,這種困境在大型的環境中尤為明顯。組織希望知道如何管理其資料,卻往往沒有辦法明確的理解內容。如果有多個應用程式從不同的來源獲取資訊數據,該如何處理它?我們如何利用原始資料數據,並實際控制它?
使用傳統外洩預防系統通常會發現,雖然理論上聽起來很棒,但大多數實際實現都有嚴重的局限性。如必須使用額外的人員來管理、規劃編寫 DLP 的分類規則。而導入初始建置通常很費力,在追蹤資料洩露、管理上可操作性和識別的誤報率高,最後都演變成阻礙員工生產力的絆腳石。更不幸的是,內容分類方案適合規律格式固定的資料,例如信用卡卡號;這也是為什麼你會發現,這些解決方案通常只包含的有限的資料類型,而其他的分類(例如地址,研發的原始碼,美工設計稿)也無能為力。雖然各大供應商也提供了人工智慧、機器學習等各種方法,協助解決特徵擷取與自動分類的問題,但這些都需要大量的專業領域人力(包括資料的作者自己)介入判斷。如果從資料的產生端,使用端到管理端,都寄望在員工自行處置決斷上,似乎很難達成監管的目的。另外考慮的一點,內容分類大多依賴Proxy、Gateway端的過濾(如E-mail,FTP等),一旦異地工作效果便大打折扣。
資料不會自行移動,而是人移動檔案與資訊
端點防護的解決方案,依照所設定的規則,使用者可能被授權從受保護的應用程式行程,複製和貼上到其他受保護的應用程式行程;或者某些資料內容符合特定條件下,從未受保護的來源複製到受保護的目的地。在現實世界中,最常被忽視的外洩管道像是複製、貼上到群組通訊應用程式,如 Skype 、LINE、其他外部網頁式電子郵件等。僅僅通過簡單方法複製和貼上內部對話,明天就可能上了新聞頭版,控管通訊軟體檔案傳輸行為可防止這些洩漏。
使用者、應用程式、來源、目的地、通訊管道這些資訊,可以成為一種指標,定義重要用戶端活動資訊的意義。使用者登入後獲取記錄、電腦、應用程式和使用者的即時關聯。
- 應用程式活動
端點上的所有應用程式活動都可以觸發稽核,以識別異常不安全或可能惡意活動。這些異常包括未經授權使用駭客工具(密碼破解器、Sniffer)、試圖繞過安全控制、使用未經核准的軟體、異常的應用程式行為等,在零信任的機制前提下,預設防止其執行。
- 檔案系統活動
攻擊者通常先識別敏感數據(偵察),然後偽裝(模糊)並集中,然後再嘗試滲出資料。混淆或破壞的方法可能包括簡單的重新命名,或將客戶清單的延伸檔名從 xslx 更改為 jpg。檔案收集涉及組織內系統之間的大量下載或傳輸(橫向移動)。識別防止資訊盜竊的行為,包括建立、更名、移動和刪除檔案和目錄、追蹤檔案的活動以及未經授權的更改。 - 儲存裝置的使用管理
不可否認的,如果沒有必要的需求,很多組織直接管制使用外接裝置,尤其是儲存裝置或媒體。要實施這樣的規則是比較單純,但是,其他的業務內容一定要使用的情況下,問題就複雜了。管理裝置不單單是可用或不可用,而是允許經過授權的合法使用。除了效率之外,還得考慮兼顧有效性。現在存在很多駭客裝置,利用Script可以模擬成鍵盤、滑鼠這類輸入裝置,悄悄進行資料外滲。只利用停用裝置方式,將無法抵擋這類攻擊危害。解析作業系統連接裝置運作,端點的外洩防護應該具備多層次的攔截防護;從實體連接,Windows 驅動連結,掛載檔案系統,檔案存取,或者檔案傳輸,連接通訊裝置(如5G網卡)等,不同的面相提供不同的控制方式。例如,我們可以允許Type-C Hub 裝置連接使用USB攝影機而且同時阻擋任何儲存裝置的存取。
如同前面問題,在某些行業監管要求之下,像金融、個資、醫療等,找出並分類相關資料並標示是合規營運的必要條件,但現實實務面也只能分類出這些規律的資料。要全面性的保護公司重要資訊,還是需要搭配其他端點控管的方案,或許是需求還須加上身份管理、存取權限管理等。