過去的一年可能是有記錄以來,企業數據洩漏最嚴重的一年,預計未來在混和工作與雲端運用成長,攻擊和被洩漏的數量只會更增加。鑒於這些趨勢,採用數據防外洩防護(DLP)資安系統,變得比以往任何時候都更加重要。而以往的DLP通常是用於邊境安全方案,難以面對混合工作的場域變化;因此組織現正在尋求 DLP 工作的現代化,以應對這些挑戰。
改變是DLP的自然常態
除了跟上網路安全管理日益複雜,資料內容的產生也是往年的數十倍,DLP 方法在過去幾年中就陸續經歷了重大轉變。已經知道這些方法在數據檢查、數據發現、洩漏通知、實施數據管理等方面上的改進。
通過內部研究和對各種數據外洩的技術演變,明確顯示DLP的三個前沿趨勢,這些趨勢可能在未來三到五年內對該領域產生最大的影響。我們將詳細討論這些趨勢,包括它們解決的差距,以及組織如何最好地利用它們來進一步降低管理機密數據外洩的風險。
優先演化的領域,行為分析和情境推論
部分領先的組織已開始使用情境推理方式和機器學習,能夠在存取數據的大量活動中(例如,登入時間、用戶行為和程序活動)來識別、標記惡意活動的潛在特徵。這方法需要從多個端點收集記錄數據,傳遞數據透過行為分析工具以識別異常行為,並推斷活動情境資訊,例如行為意圖、次要參與者和根本原因推論(Root cause)。根據行為的演變脈絡,預測可能的潛在威脅,此類情境資訊可以整合到內部和供應商 DLP 解決方案,以及搭配身份和存取管理工具納入授權決策當中。
在業界供應商的術語中,行為(Behavior) 大多是指觀察網路封包或系統程序的活動,例如 UEBA/UBA, IoB(Indicator of Behavior) 等,並非是使用者或人的操作行為。使用者的活動通常會用UAM (User Activity Monitoring)來代表,並不能完全含括主觀行為。DLP 專長在資料的存取活動,如能加上人的活動推論,可以被利用到偵測內部威脅(Insider Threats),不少系統也正是這麼做,只不過還沒跳脫上述的Behavior範圍。
在NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE)對內部威脅的研究(Insider Threat Detection Study),內部人員資料竊取,資料破壞,間諜(陰謀)活動這三種都具備資料外洩交付、攜出資料等活動。而除了在生理、心理領域所外顯表現的行為分析之外,就是網路活動指標與端點活動指標。未來的DLP應該具備在端點上人的行為推論,觀察過去活動情境據以推論,在偵測關聯事件時,可以自動撤銷可疑參與者和推斷的次要參與者的存取權,這也呼應了零信任所強調的持續觀察與動態評估。
個資保護與法規遵循
常見的數據管理功能(如分類、動態警報和基於規則的實施),越來越多朝向法規遵循解決方案相結合,以主動防止違反法規。例如,包含歐盟公民個人身份資訊(PII)的數據傳輸,可以自動標記和阻止行為。規定了歐盟和美國之間數據傳輸的安全要求,每次違規可處以高達全球年收入4%的罰款。組織根據給定區域的相關法規,使用自動和手動數據標記。以現有的 DLP 為基礎,根據這些規則應用自動強制和提示通知,並教育使用者。
DLP 解決方案可以與稽核報告技術整合,以自動生成的合規性儀表板報告,從而提高透明度並減輕合規性管理負擔。在這項目上的實現,必須具有自動化的全球合規性解決方案,這一要求尤其困難,尤其是在法規不斷發展的地區;以及法規求辨識個資或其他類別資料本身就具備辨識難度,對中小規模組織可能造成不小障礙。
AI 技術投入
外洩的管道當然不只是電子檔、電子郵件或即時訊息;聲音語音檔,影像檔,圖片檔都可以被外洩,而且這些內容,在以往很難被偵測正確內容。基於 AI 的文字轉換語音技術相結合,與自然語言處理語音辨識的進步,使DLP能夠實施保護影音訊數據。
除了使用光學字元識別(OCR),和正規表達式匹配來檢測非結構化文件中的關鍵字和樣本模式外,組織還可以通過分析網路內發送的音訊和影片檔,來擴大對敏感數據外洩的偵測範圍。對於涉及高度敏感數據的某些行業應用,可以擴展這些控制件元件以偵測即時對話內容(例如,在線上會議室),防止受管制的數據被洩漏。但許多組織對添加此類功能可能有疑慮,因為可能被員工和客戶視為侵犯隱私權。在考慮是否實施現場語音訊息審查時,應認真考慮對公司文化的潛在影響,只有在風險足夠高的情況下才能推動實施。AI 還可以用在協助使用行為分析,決策分析判斷上,前一節的IoB,UEBA/UBA 都可能含有這種應用。
許多組織雖已經擁有基本的 DLP 功能,而日益嚴格的法規、不斷發展的網路威脅形勢以及日益複雜的數據管理,提高了對重要數據所在位置和移動位置的全面透明度的需求。組織正在尋求提高其 DLP 功能,未來發展在於進階分析、機器學習和情境推論式的應用,以及它們與法規遵循,隱私報告解決方案的整合。,在不久的將來推進和擴展這些功能,以有效緩解不斷增加的網路風險。