2012年10月21日 星期日

DLP導入停、看、聽 成功關鍵在哪裡?

DLP導入停、看、聽 成功關鍵在哪裡?

  從BS7799到ISO27001,我們看到了什麼?信息安全管理系統涵蓋的範圍愈來愈全面,企業從風險評鑑的過程當中看到了資安危機,所以這些年來,幾乎是全員皆動,資安政策的不適應也變成自然遵守,靠的就是員工使用習慣的改善。

  而計算機處理個人資料保護法到個人資料保護法,我們又看到了什麼?原來個人資料這麼值錢!!這是很多客戶看到個人信息法的罰則後第一個提到的問題,而且已不再是純計算機裡的個人資料,舉凡電子及實體記錄的個人資料皆在本法保護範圍內,但企業最擔心的還是電子數據的個人信息在哪?該如何保護?該如何確保已盡善良管理人責任?企業即將面臨的種種挑戰,我們首先想到的解決方案,就是目前最熱門的DLP (Data Loss Prevention)。

重點1:資料外洩問題的三個面向

  然在導入DLP解決方案前,必須瞭解一個觀念:DLP不是個人信息保護的唯一工具,也不是一勞永逸的工具,雖然,DLP的確是一套管理外洩風險的有效工具,但我們所面臨的外洩問題,必須從以下三個面向來探討:

1、管理風險與確保政府法規遵循

  在佈滿個人信息的企業環境裡,必須先要瞭解這些個人信息所存在的風險因素,因為每份個人信息都有其價值性,依據每種價值度的高低,及外洩後對企業的影響力,訂定風險值,再者,對於個人信息法的相關要求(例如:利用、傳輸),是否有相關記錄進行存查,以確保外洩事件發生後能提供完善保護責任之證據。

2、數據在哪裡?

  電子數據無時無刻都在流動,不管這些個人信息目前存在主機、數據庫、個人計算機上、甚至是儲存媒體內,都必須進行清查作業,以避免是否有個人信息曝露在高風險的設備上。

3、審視作業流程:

  企業對於個人信息存取流程是否有誤,這在DLP導入時是很重要的一個環節,否則員工都可以存取個人信息(員工、客戶、廠商),那就不知誰才是屬於違法存取的員工了。

重點2:個人信息法要求 組織應正視數據防護的問題

  個人信息無所不在,然最重要卻不是一套最完善的DLP,而是人,個人信息防護最重要的不是導入一個多嚴密的防護系統,而是避免人為操作失當、疏忽、惡意所造成的外洩風險,當然組織也不能因為個人信息法的緣故,讓員工恢復以前的紙本作業,這就等於為了節能都不准用電的意思一樣,所以除了透過科技手法外,也要使用獎懲方式來規範員工行為。

  當然,在導入DLP前,企業需先思考,外洩管道為何?如果企業的對外網絡服務皆為自建自管(Web、Mail、DNS……等),就要考慮外部防護解決方案(Web AP Firewall、 IPS……等),如果為員工外洩就必須要限制使用者行為。

  問題在於管理使用者是一門大學問,處理的好相安無事,處理不好,造成對公司反感,甚至故意破壞及盜取數據,所以,針對用戶就要試想哪種管理方式比較好,如:封鎖使用設備或網絡服務(USB/Web/FTP/IM),還是監控網絡使用內容。

重點3:我該如何選擇DLP?

  市場上已有很多廠商提供了很好的DLP解決方案,組織該如何選擇,並沒有對或錯,但在功能選擇上還是可以多加留意,包括了:

1、軟/硬件的差別:

  目前市面上大部份的DLP解決方案都是以軟件為主,但開始有廠商提供了專屬設備,主要是因為DLP需要監控網絡封包,這時硬件的效能就很重要了,所以專屬設備對於軟件優化來說就非常好,但如遇到組織成員擴增時,專屬設備就顯得沒有彈性了,而軟件沒有專屬設備,所以可以依據組織成員規模佈署適合的設備,當然也可以預留升級的空間,但因不是專屬設備,所以並未對軟件進行優化,所以設備效能各方面都必須考慮(CPU、RAM、I/O、Network)。

2、保護標的物:

  舉凡存放個人信息的所有主機與數據庫,或是用戶的個人計算機與移動設備,甚至儲存媒體與組織對外的所有網絡服務,都應納入保護的重要標的物,當然DLP並非一勞永逸的工具,所以搭配防火牆進行對外網絡服務的封鎖,是比較適當的作法。以下為企業可以監看的檔案類形:

A、於網絡端可以監控的類型:像是HTTP(S)、WebMail、社群、Web HD、FTP、IM及組織使用之郵件系統等

B、於使用者端可以監控的類型:像是個人信息檔案移動、檔案內容拷貝、媒體複製、打印機、上網行為甚至透過SmartPhone同步數據。

3、內建範本:

  從BS10012、PCI、HIPPA、或是各國個人信息法令要求規範,這些都是與我國個人信息法都有涵蓋的範圍,所以為了有效設定正確的DLP防範政策,這些都是可以參考調整的政策模板,當然有些業者甚至還有提供我國個人信息法的政策範本,值得讓需要導入的讀者參考,最後要提的是,評估政策模板不在於數量多寡,而是能否自行調整政策,讓我們設計與組織最適合的政策並符合個人信息法,這才是我們所需要的。

4、用戶許可證與整合性:

  台灣很多都是中小企業起家,甚至網絡商店業者,但員工數量卻是屈指可數,幾乎很多都是微型企業,不過這些企業手上都擁有大量可觀的個人資料,但在導入DLP的第一步,可能就會遇到用戶許可證的難題,有些業者的DLP最少是50或100人為一個基數,但網絡商店業者的員工人數可能只有5人,卻要買100人授權,這個問題就需要業者思考對於基數的調整了。

  另外就是整合性的問題,無論保護標的物是主機或是個人端設備,一定都已安裝防病毒軟件,也已行之有年了,若能讓Endpoint端監控程序與防病毒軟件整合在一起,除了管理容易外,對於端點設備的資源負載也減輕不少。

重點4:為何導入DLP會失敗?

  前面提過DLP不是一勞永逸的工具,並非一帖見效保證成功的藥材,所以在導入前,整個組織在個人信息的安全維護計劃一定要夠周延,否則DLP充其量只是個空殼子,終究無法發揮最大的效果,以下簡單列出導入DLP的成功關鍵。

1、訂定個人信息的相關政策與程序

  清查與明白個人信息存放位置與個人信息訪問控制列表的建立是非常重要的,這悠關對於DLP的特徵比對政策是否有效,另外對於個人信息蒐集處理利用及傳輸之使用限制,也必須明訂清楚,有了這些使用限制,管理者也就可以依規定來制定DLP個人信息政策。

2、倡導與訓練

  從以往信息安全訓練就已是組織內基礎知識的一環,所以對於個人信息安全的倡導並不會有太多阻力,只是,在明確定義個人信息與適用法規時,是有對員工加強倡導的必要性,另外每個員工都有保護個人信息的相關責任與權力義務,也都必須讓員工清楚,避免造成作業疏失個人信息外洩。

3、應配合相關端點管理

  除了DLP防範個人信息外洩外,對於端點的軟件安裝、系統設定的權限限制等,也必須多方考慮,因為使用者的行為往往讓人意想不到,所以對於網絡服務限制、加密硬盤與USB、甚至OTP都必須考慮,務必做到個人信息防範滴水不漏。

4、誰該看?

  從以前有關員工行為管理解決方案的記錄裡,就一直在討論這個問題,當然DLP也不例外,主要也是這些被攔截的任何個人信息,在DLP上都看的清清楚楚,不管是信件內容、網頁內容、甚至傳送出去的任何檔案,都可以開啟,如果DLP的管理人員都可以看,是否又是另一條外洩管道?所以DLP的權責分工與權限最小化,是相當重要的議題,另外DLP記錄稽核作業,也是要注意的部份,本文最後答案並不會左右管理者誰該看,而是讓組織內的相關人員可以思考這個問題。

結論

  DLP雖然是這幾年才有的解決方案,但我們如果把這些相關功能拆解開來,各位讀者是否也有似曾相識的感覺呢?個人信息外洩這個議題,除了有效的科技手法外,制度面與人員的倡導也是缺一不可,否則企業買到的工具永遠只是一個空殼、無法發揮效益。

轉載自《彼特網安全》