2011年12月20日 星期二

個資法引領DLP、檔案加密軟體買氣

個資法引領DLP、檔案加密軟體買氣


眾所矚目的新版個人資料保護法施行細則,已於2011年10月27日出爐,儘管施行日期,仍待行政院拍板定案,但幾乎可以篤定,2012年期間必將上路;在此前提下,先前對此抱持猶疑、觀望或拖延等態度的企業,已經不容繼續原地打轉,必須趁早敲定相關系統的部署計畫,藉以滿足合規需求。
歷時1年餘的醞釀,新版個人資料保護法(以下簡稱『個資法』)的施行細則草案,總算在2011年10月27日由法務部進行公告;使得這個在企業資訊主管心中懸掛已久的議題,幾乎面臨攤牌時刻。


面臨山雨欲來的嚴酷考驗,此時企業資訊管理人員多已繃緊神經,期望儘速擬妥因應對策,以便能盡到保護個資保之良善義務,避免不必要的法律訴訟紛擾;當務之急,就是趁著2012年初來乍到的時刻,趕緊擬定好未來相關採購計畫,希望可以基於個資保全目標,儘可能奠基於最佳的投資報酬率,蓄積最大的防護能量。

恰好在稍早前,DIGITIMES執行的「企業資訊安全管理政策調查」中,便特別設計了「因應個資法遵循需求,貴公司預計2012年將優先新購或升級哪項資安解決方案?」,藉以掌握多數資訊主管心目中的第1志願,瞭解哪些資安產品,可望搭著個資法的首發列車,旋即吸引可觀買盤進駐。

但美中不足的是,顯然多數受訪者心中尚無定見,使得「無相關規劃」這個具有消極意味的選項,竟一舉囊括了3成6票數,成為得票率最高的項目。

暫且撇開「無相關規劃」不談,觀察其餘選項,得票率能夠突破7%者,則依序是「資料外洩防護(DLP)」的13.8%、「檔案加密軟體」的7.9%、「新一代防火牆(NGFW)」的7.7%,以及「入侵偵測/防禦系統」的7.6%。

因此不管就功能面來看,前述名列冠亞軍的DLP或檔案加密軟體,究竟能否滿足個資防護需求,但至少是當前多數資訊主管較具共識的採購標的,值得進一步加以深究。


洞察DLP定義 莫為行銷辭彙迷惑
根據資安專家的見解,個資法茲事體大,牽連範圍甚廣,林林總總的資安產品,都可能在偌大區塊中,發揮一定的功效與價值,不管DLP、IPS/IDS、NGFW,乃至於身分識別與存取管理(IAM)、網頁應用程式防火牆(WAF)、資料庫安全稽核系統…等其餘眾多產品,通通都可被含括在內,也通通都能被稱之為幕後英雄。

在此情況下,DLP不過是對應到個資防護議題的工具之一,並非是全部,因此企業莫要以為部署了DLP,就可永久免於個資法訴訟之侵擾。

而且就算談到DLP本身,其實也有令人憂心的地方;因為就嚴格定義而論,可被詮釋為「Data Loss Prevention」或「Data Leakage Prevention」的DLP,並非是單項產品,而比較像是集結多項技術的綜合體,箇中學問非常之大,無論是目前躺在硬碟裡頭的資料,進入碎紙機、傳真機或印表機的資料,即將透過E-Mail、IM或Web傳送出去的資料,或即將載入隨身碟、DVD光碟片、外接式硬碟或智慧型手機的資料,皆應該被納入防護範疇。

持平而論,甚至在DIGITIMES「企業資訊安全管理政策調查」中,得票率隨在DLP之後的檔案加密軟體,或是數位版權管理(DRM)軟體,若要將它們歸類為DLP當中的一塊,其實也沒有什麼不妥。

只不過,若干業者技術實力不足,只能選擇切入其中的某一塊或某幾塊門檻較低的領域,便將此類產品堂而皇之稱為DLP,致使市場上「DLP」名號滿天飛,不但浮濫不堪,且多數產品功能又流於片段、窄化,倘若企業誤以這般解決方案獨挑大樑,想要全面防堵個人資料外洩,無疑十分困難。

如果企業礙於預算有限,或不想把事情搞得如此複雜,仍舊意屬DLP產品的話,最起碼,也必須掌握一些大原則、大方向。

不管是只買1套產品,或藉由好幾套產品兜起來,1個堪稱完備的DLP解決方案,必須具備資料內容的深度檢測實力,且需具備1個中央主控機制,可隨時呼應用戶下達的安全控管政策,更重要的,不論資料外洩疑慮源自於網路、端點設備或儲存設備(檔案伺服器),都必須有能力加以防堵。

換言之,面對「Data at Rest 」、「Data in Motion」或「Data in Use 」等3個屬性互異的情境,1套稱職的DLP解決方案,都應該面面俱到,悉數予以保護。

比方說,1個未獲得足夠授權的員工,竟妄想運用USB隨身碟、藍芽、讀卡機、印表機、手機、CD/DVD光碟機或外接式硬碟等一干週邊裝置,企圖把機密檔案拷貝到這些裝置,那麼很抱歉,完全行不通。

又或者,有人想藉由E-Mail、Web、Web Mail、IM、FTP、外接式儲存設備、CD/DVD、本機或網路印表機等途徑,將重要個資檔案傳送出去,也勢必鎩羽而歸;因為他想傳送的資料內容,可能夾雜著異常的檔案格式或關鍵字,也可能因挾帶大量身分證字號或信用卡號,明顯違背正常邏輯,不管觸犯這當中哪1項天條,說不放行、就不放行,絲毫沒有僥倖闖關的空間。


選定特徵分析目標 加速制定採購決策
有些企業不是不瞭解DLP的定義範圍,對於市面上居於領先地位的產品或技術,也有相當程度的涉獵,但令人納悶的,磨了長達一年半載的時間,卻遲遲無法選到滿意的產品。

對此,有1位堪稱過來人的企業MIS主管指出,之所以蹉跎光陰卻一無所獲,原因只有1個,那就是根本不知道自己的Target何在!因為個資法特徵多達20餘種,舉凡姓名、身分證字號、生日、工作場所、信用卡號…等項目,全都名列其中,不見得個個都吻合特定企業的防護需求,對於那些無關緊要的特徵分析項目,大可瀟灑跳過,完全不必執著。

但有的企業IT人員,不太理解公司要的究竟是什麼,所以面對20多項特徵,1個都不想放過,而在產品測試過程中,通通都予以監控側錄,導致Log垃圾一堆多到不想看,根本無所適從,結果不明就理地認為任何DLP都有嚴重的誤判率,測了老半天仍一事無成,豈不浪費時間?

正確做法應該是,不管要看身分證字號、信用卡號或其他項目,先把特徵分析目標選定出來,與此同時再把資安政策擬定妥當,如此一來,就很清楚自己究竟要的是什麼,哪些行為該阻檔、哪些行為該放行,全都不會混淆疑惑。
舉例來說,假使某一企業,將身分證字號列為特徵分析目標之一,而在產品測試或啟用過程中,發現真的有員工在Web上輸入1組身分證字號,此時就可取決於公司政策,看是要加以記錄後放行,加以記錄後逕行阻擋,或是加以記錄報請主管裁示,甚至由於該行為並不牴觸「輸入3組以上身分證字號」政策,認定為該員工行為屬於合法(譬如造訪醫院系統進行線上掛號),並沒有洩露個資之虞,所以完全不觸發任何動作,任何遊戲規則,都得事先考慮清楚。

而在模擬龐大流量進行實測後,不同廠牌產品的阻擋率,很快就高下立判,此時再根據個別系統的阻擋率表現,與其售價交叉比對,進而估算C/P值,那麼最為恰如其分的採購決策,很快就可以出爐了。

引用自《DIGITIMES中文網

沒有留言:

張貼留言