DLP Data Loss Prevention 或稱為 Data Leakage Prevention,資訊外洩防護系統,名稱顯示了此類系統旨在解決的特定任務:防止有價值資訊的洩漏。雖然這解釋了這些系統的主要任務,但隨著時代的演進,這個概念已經包含了額外的含義。次世代 DLP的解決方案,不僅要可以防止有意和無意的洩漏,還要幫助企業應對一些其他方面的安全挑戰。
原本DLP市場的出現是為了應對日益嚴格的資料保護法律要求。監管機關開始密切關注組織機構的資訊外洩問題,並制定法律規範及產業標準,合規性問題成了強制約束動力,尤其以保護個資這個方面。第二個主要目標則是保護企業有價資產,如IP及營業秘密等。
成熟的 DLP 方案為組織提供了一整套完整功能選項,來監控和阻止未經授權的資料傳輸和分析。部分 DLP方案具備部分功能,可以追蹤資料移動,但無法阻止洩漏。剩下的一類屬於其他,但可以額外選擇整合DLP模組的方案,例如端點防護加選DLP模組。業界普遍提供的傳統DLP系統依架構分成兩種類型:
Enterprise DLP (EDLP)
提供更全面的解決方案,其中包含應用於伺服器和終端桌面設備的端點程式。此外,也支援實體機和虛擬機設備,中央集中控管DLP政策,直接應用於監控電子郵件、網絡行為、應用程式或連接周邊。
Integrated DLP (IDLP)
整合型DLP 提供多專注於網路存取控制:例如安全電子郵件閘道 (SEG)、安全網頁閘道 (SWG)、資料分類工具、電子郵件加密工具等。它們的問題在於,異地工作並無法全面性的顧及所有通訊管道,例如視訊會議與即時通訊。
現在的情況更趨複雜,疫情流行使得異地工作比例增加,雲端軟體及資料的應用也逐步增加。助長新型態攻擊使用戶更容易受害,如惡意程式的滴水穿石的滲出資料、勒索軟體的偷竊以及加密破壞。雖然這些原本不屬於DLP範疇,以往會以Endpoint Security、Anti-malware、NGAV /EDR 等系統來強化,但上述情節嚴格上也算是資料外洩,這使得DLP在資料保護面臨不同新挑戰。
DLP 的進化論
下一代DLP進化里程碑是降低內部安全威脅。除了防止資訊洩露之外,這樣的系統還需要深入分析資料,並識別各種甚至看起來相對微不足道的安全事件。其他部分(例如需要在基礎建設上監視)由其他類型的資訊安全系統補強,例如事件調查平臺安全運營中心(SOC)解決方案。
主動調適安全政策
由於靜態規則無法適當應對變動的環境,主動適應政策根據不同環境條件,使用情境等條件,建立不同對應行動計畫,可簡化團隊管理複雜度,並減低對使用者工作的干擾。
使用者活動監視
在端點上所有的活動不外乎系統、使用者、服務所產生的活動。系統與服務的活動內容可以供外洩事件的追蹤調查,而使用者活動監視可以即時察覺違規,進而採取對應行動。除此之外,操作行為記錄可以供使用者行為分析。
完整的檔案存取、事件記錄、證據檔及鑑識資料保存
前幾代 DLP 通常僅記錄了政策違規的事件。這樣在行為分析或追蹤檔案軌跡,安全團隊沒有辦法看到有關組織安全狀態。如果系統能夠記錄和保存這些詳細事件資訊,包括儲存裝置存取和傳輸的檔案實體副本,相關事件的完整記錄檔存檔。可以讓相關專業通過檢索記錄及檔案,來徹底調查內部安全事件。
使用者行為分析
未來的 DLP 系統應將原本的使用者行為記錄,經過分析後用於攔截和阻止資料傳輸的反應上;越來越多供應商利用這樣工具來識別標準員工行為,預測並立即採取應對偏差行為的行動。
雖然,現今基本的 DLP 機制已經具備很高的複雜程度,不但僅要專注於提高其系統的可用性和調教事件分析調查效能,更要維持業務運作的彈性,導致DLP 持續規劃新的功能。如今下一代DLP開發應該朝著創建一個統一的分析平臺、全面的事件調查以及機敏資料保護的方向再強化。