FineArt News

資安新知

新世代DLP觀點,建構零信任資料安全

過去敏感資料分類的美好假設

傳統 DLP 解決方案建立在一種假設上,即大多的資料是結構化的,是可以明確規則監管的世界。另一個假設是,數據檔案都集中在伺服器上,可以集中掃描分類。資料分類技術依賴簡單的演算法,正規表達式和字典組合;必須隨著時間的推移進行維護以識別敏感數據。雖然這特性非常適合偵測具有標準化格式的數據,如社會保險號碼、身分證字號或信用卡卡號。但敏感資訊並非全是有限規則可預測的,也並不全是定義清楚的。想想法律文件,如合約、軟體產品的原始程式碼,繪圖設計,圖片照片,甚至是員工電子郵件的內容,此類內容並非總是具有統一的規律結構,這使得DLP的工具難以正確識別內容。假設某規則定義20筆信用卡號及附帶條件下,視為中度風險,所以推論19筆卡號是可接受的風險嗎? 另外一種是數據本身可以用多種方式表達,全形、半形、國數,大寫、小寫,斷詞連接等,規則不容易全面涵蓋。

 

使用的數據結構變化

非結構化數據內容的不規律,導致DLP最為人望而卻步的特性,高誤報率。通常資安管理團隊或者說,數據偵測規則制定者,並不會那麼清楚營運中心的敏感資訊是什麼?  勢必要參與所有部門業務內容,才能把握規則。這是一項艱巨的任務,不但對安管團隊要求苛刻,業務單位徒增加壓力,影響正常的生產力。常見的業務干擾包含:

  • 錯誤的識別電子表格或文件中的資訊為 PII 或其他敏感資訊,並將其隔離。阻止使用者發送正常非敏感數據,並造成挫敗感與生產力下降。
  • 無法有效監控雲端應用程式,讓使用者在 DLP 控制的環境之外,建立分享共用 。
  • 無法準確區分正常活動和惡意活動。

為了降低誤報,採取更嚴格分類規則條件,例外物件管理,最佳化調整等等手段。對已知的靜態數據,可能有點效果,對現今的大量動態數據生成效果有限。

以往資料分類的流程是這樣的,探索資料,依規則分類識別並標籤,防外洩規則與處置行動。其背後的道理是,先要知道需要保護的標的在哪裡,才能有效的保護它,這也說明大部分的方案集中在檔案伺服器。這盲點在於,資料分類只決定了數據是甚麼,並無法判斷是否合規使用。例如保險從業人員完成規劃書給要保人,不論從個資觀點或是敏感數據觀點,在靜態規則下,可能都是違規的。由於這樣的規則欠缺情境感知,也就是DLP系統無法判斷保險從業人員給要保人的內容這個事件,是合理的業務行為。

 

零信任的資料保護

傳統的 DLP 解決方案天生無法符合零信任框架,因為預設情況下數據並不受到監管。零信任框架精神要求永不自動信任使用者存取數據,且不授予對數據的單獨控制權。

在DLP資料分類規則政策上,通常被討論的是正確率(True Positive+True Negative),誤報率(False Positive),這很容易理解與發現。相對很少被討論的誤認沒事False Negative,就是羊群中有狼,但羊卻判斷沒有,這是真正的危機,但是卻很難鑑別與發現。

我們承認零信任架構的相關用詞的確是被過度行銷。十多年前零信任模型的建立者Forrester Research希望澄清。在其報告《現代零信任的定義》中講述了2009年以來零信任的演變。它不再與網路有關,而與數據有關。Forrester甚至指出「數據保護是零信任的核心」,數據是與零信任模型的所有其他支柱(網路、工作負載、應用程式和人員)的目標頂點。

 

這些年的發展以資料保護為中心是明顯的趨勢,也是比較明確的做法。以零信任的觀點來看資料數據保護,自我審查幾個問題,是否能建立對應對策:

  • 散落在端點上,設備上,存在雲端的數據?
  • DLP 分類規則沒有match,就是乾淨沒問題的數據?
  • DLP match ,就是違規?
  • 居家上班存取,第三方存取的規則?
  • 即時保護(Real-time and Just-in-time)正在使用中的數據
  • 特殊的數據,如:專利申請前是敏感,通過後變成公開
  • 業務內容本身就是處理敏感數據,例如醫療健保和 PHI 數據為業務關鍵,零售/電子商務組織的PCIDSS 數據,DLP能否適用且不影響業務運作
  • 偵測用戶端的企圖,系統應該對應不同程度的反應?

 

與傳統資料防護作法相反,基於零信任架構,我們調整幾個策略,敏感數據偵測問題的解決方案包含動態追蹤數據,從誕生開始追蹤活動事實和保留不可更改的歷史記錄:

  • 所有的用戶端都是不可信賴,需要被納入管理
  • 所有的資料都是敏感的,除非有限的條件後認定非敏感
  • 不干擾或影響在業務活動領域內的行為,不影響生產力
  • 數據資料可能存在任何端點,並非侷限於檔案伺服器、資料中心
  • 動態追蹤數據,可能的話保留記錄並追蹤活動
    • 資料被產生的人事時地物
    • 創造者,產生者
    • 使用檔案的人
    • 存放路徑和地點
    • 應用程式存取
    • 使用者檔案操作,開啟、另存、複製、更名、刪除。
    • 檔案和內容文字 複製/貼上
    • 傳輸管道監管,檔案藉由隨身碟、列印、IM、電子郵件、雲端等傳輸管道
  • 不當行為的預防處置,偵測非常規事件並立即處置行動

不妨將零信任看成短暫而需要的臨時信任關係,隨著存取管道、存取方式、資料內容等而微調這個關係,傳統解決方案無法在這個方向上擴展。

 

隨著敏感檔在混合工作場所中被建立、存取、共用和儲存,通常幾乎沒有廣泛的可見性和控制力,現在的業界注意力正從結構化數據風險,轉向非結構化數據的風險。因為新的參考架構(如:美國國家標準與技術研究院(NIST)和網路安全與基礎設施安全(CISA)),將零信任列為政府機關必要實施準則之故,帶動組織的安全團隊正在調整他們對資料保護的看法。過渡到零信任是一個多年的策略性過程,每個組織依據其企業體系結構和風險評估都是獨一無二的,並沒有放諸四海一體適用的通用方案。