幾十年來,DLP工具依據一個決策標準:內容分析與資料分類。判斷檔案內容是否含有與敏感資料,辨識符合模式比對(Pattern Matching),或者之前被分類標記為敏感資料。一些更先進的分類方案,還包括時間變數,讓資訊在特定日期之後便更改狀態。如上市前可能是公司機密,時間到就變公開。但敏感資料數據有多種形式,並且工作情境經常發生變化,使得模式比對變得困難且不可靠。再由於加密或其他混淆(打亂或編碼)方法,文字內容也可能被掩飾遮擋,使內容分析效果大打折扣。
一般認為資訊安全最基本配備之一,是存在並遵守正式的資料分類方案。然而許多組織(甚至是那些聲稱致力於保護公司和客戶資訊的組織)也無法有效實施資料分類。不過我們不能把discover 分類,和預防敏感資訊外洩混為一談;在一些行業的主管機構,規定敏感資料是必須被識別出來,像是個資盤點,那資料分類就是必要的。
為什麼內容過濾方案難以實施?
大眾對自動化分類可能有些誤解,而且更別提工具分類後,還有一大部分需要使用者介入或自行分類;自動化分類工具沒辦法預防資訊外洩。整個DLP方案是一種管理制度,融入在工作流程裡面的程序,自動化工具只能協助分類,是整個控制的第一階段。
一些安全專業人員堅持這種在理論上堪稱完美的方案,但除了絕對自律的組織之外,是很難在一般組織中普及。當員工願意對每條資訊進行適當的分類,並時時維護分類時,資訊分類才能比較有效。如果規則過於複雜或限制性太強,或者業務性質上資料變動大,最後就淪為形式。
除此之外,資料分類的系統部署實務和維運可能成本高昂,先是根據每類資料進行適當的控制,然後要求所有員工相對應地識別和分類資料,或許還需要付出更多精力來對過往已存在的資料分類,並繼續持續地對新資料進行分類;還得顧及不同部門調整規則及個別員工訓練。這還不包含沒被分類出,或是沒有比對出的資料處理程序。
另外一個問題是以內容為主,先天就會受到檔案類型的影響,不能分析的檔案,無法判斷內容。
Context 與外洩管道
我們期待除了識別分類的傳統方法之外,能不能找出有效安全的防止外洩方案?
資料零信任
反過來,資料類比於應用程式、設備、網路存取零信任架構,就應該不管內容是不是(被分類成)機敏,只要公司內產生的資料都應該受到保護。公司員工內部或部門內部相互存取屬於無害通過,沒有外洩疑慮。就以這個情境而言,信任的關係是來源提供端跟(目的)資料使用端,沒有資料分類的差別。
外洩管道
以盜竊資料的角度來看,資料內容不論是實體檔案,或片紙隻字任何形式,如果沒有拿到其他地方開啟使用,很難構成外洩。這裡不討論用肉眼看了機密並存於腦袋中,或拍照再去對手公司應用。管理如何拿走的外洩管道,便是我們的第一關鍵,第二關鍵是拿走了能不能被使用。
這些管道可能包含但不限於
- 如LINE、Skype、WhatsApp等即時訊息應用程式,可能共用檔案、分享桌面、傳送截圖或傳訊,FTP 檔案傳輸
- 應用程式的雲端儲存如Google Drive,OneDrive,電子郵件
- 其他網頁式的檔案上傳
- 連接電腦設備的儲存媒體,不論內接、外接或其他介面
- 其他連線裝置,如LL3、藍牙檔案傳輸、紅外線傳輸、MTP等
- 列印、擷圖、浮水印等
Context Analysis
組織資料的產生除了在營運期間與來往客戶、主管機關互動產生,很大一部分比例是創新研究成果。然而研究成果的檔案形式,如原始碼或設計藍圖,很難用內容過濾分類。依照使用情境,由作者、部門、電腦、來源、目的、檔案格式、關聯應用程式等屬性分析,而不會受限於格式內容無法判斷。決定信任關係在內部成員共用協作,管制流出到其他任何目的地,這樣對於團隊的業務營運衝擊最小。
除這些情境,遠端異地工作也是一種考量,受保護等級不同的設備,存取公司資源時,啟動對應保護措施,例如螢幕浮水印,限制轉存(到本地/外接儲存)。
結論
在過去,出於對影響生產力和干擾使用者工作的困擾,以及管理複雜度高,組織使用內容過濾防止資料外洩,成功率不盡理想。 像是正規表達式很容易出現match,而內容卻不是期望的;而產品的政策規則通常沒有彈性,缺乏適應性,無法真正滿足動態的需求。是時候轉換觀念用另一種方案來滿足防外洩的需求。