2014年4月28日 星期一

資料外洩防護 逼使駭客內賊敗興而歸

資料外洩防護 逼使駭客內賊敗興而歸

不可諱言,資料外洩防護是一個長期奮戰的歷程,企業欲求100%保證機敏資料絕不外洩,著實不易,但起碼得借助必要的輔助工具,設下關鍵的過濾與稽核關卡,不讓有心人士輕易得手;因此企業不僅需評估導入DLP,亦應連同其餘配套工具一併納入考量。

正所謂「工欲善其事、必先利其器」,企業意欲防止資料外洩,單憑防毒軟體、VPN、防火牆、入侵偵測系統抑或垃圾郵件過濾系統等現有資安防護方案,顯然有所不足,必須在這些基礎防禦工事,對症下藥部署其他專屬產品,方可望築起強大保護傘。

隨著惡意攻擊不斷推陳出新,使得資料外洩風險節節攀高,導致企業必須持續研究、評估或採用新式防禦工具。ThreatTrack Security

何以既有防護措施,不足以全然防範資料外洩,大致理由有二,其一,對於駭客而言,潛入企業核心系統以盜取機密資料,目的絕不在於炫技、而是牟利,既然利之所趨,自然得想方設法增加成功機率,迴避一干現有防護系統的偵測,已屬必要之惡,令企業防不勝防。

其二,根據資安廠商統計,綜觀近幾年全球資料外洩事件,元兇為外部駭客者,其實佔比不到三成,另高達七成以上,係來自企業合法授權的內部使用者,可通稱為「內賊」,不管他們是無心疏失、或是早有預謀,傳統工具對此可說束手無策,即便是看似嚴密的資料加密方案,亦屬無解。

建立DLP防線 力阻機密資料外流

那麼,企業為了強化資料外洩防護,理當部署哪些產品?顧名思義,產品名稱即為資料外洩防護的DLP,顯然即是值得企業評估採用的重要標的之一;就基本的技術原理而論,DLP主要是透過格式比對、關鍵字過濾、特徵辨識等必要手段,詳加檢查檔案資料有否亟需受保護的機密,一經查證確實夾帶此類內容,則適時加以攔阻,避免機密外流

雖然許多產品都可被歸類為DLP,但箇中仍有型態上的歧異。比方說,依據其部署位置的不同,即可區分為網路型(Network-based)、主機型(Host-based)等產品;前者係佈建於網路閘道口,主要是以過濾流量的方式來控管資料外洩,因此任何意圖以連網裝置夾帶出境的機密檔案,基本上都難逃法眼,至於主機型DLP,即是針對納管的個人電腦植入代理程式,可直接從終端攔阻機密資料外傳,且論及複製、貼圖或列印等資料擷取行為,亦可發揮較為深層的管控力道。

網路型或主機型DLP,各自有何優劣勢?就網路型DLP來看,好處在於其多為獨立的硬體裝置,一般都被架設於防火牆之後,無需針對大量端點佈建代理程式,因而相對易於部署,但仍有其缺點,僅能針對連結企業網路的裝置才能施以管控,無法阻擋員工以攜出筆記型電腦、或複製至隨身碟等方式偷渡資料出境,且所有資料皆需從端點傳送至網路執行過濾,不僅過程緩慢且易造成網路負擔,同時也不支援離線運作,無疑只能防得了君子,而防不了處心積慮的小人。

有關主機型DLP,由於需要在每一端點安裝代理程式,可以想見,必然徒增IT管理負擔,而且每逢端點設備汰換或OS重灌,IT管理者都需重新安裝與設定DLP軟體,且需要借助必要管控手段,防止員工私自移除代理程式,為缺點所在,但其好處亦至為明顯,網路型DLP鞭長莫及的移動裝置或離線狀態管控,對於主機型DLP都不成問題,控制的細膩度相對較佳。

持平而論,對於企業來說,最理想的DLP部署之道,即是綜合佈建上述兩類型產品,可先導入網路型DLP,待確認其過濾能力並無問題,再選擇特定部門,執行主機型DLP的小量測試部署,經確認不會與企業現行應用程式產生衝突,再進行大規模佈建;只不過,企業是否應該一併部署兩類DLP,仍端視其本身的預算能力,以及防護需求大小而定。

至於符合哪些特質的DLP,才適合企業加以導入?其實其間蘊含頗多考量點,有待企業依據自身防護需求及現有環境因素,才可望精挑細選,但萬變不離其宗,依然有幾項大原則,必須多加留意。首先務求DLP產品兼監控與防禦能力,且擁有較低的漏報率與誤報率,詳情如何,一切以實際測試見真章;其次,選擇的DLP產品需具備集中管理機制,便於IT管理者建立並落實安控政策,並迅速獲取相關記錄報告;再者,因應法規遵考量,企業往往需要留存特定資料達一定期限,值此時刻,如果DLP產品本身已具備儲存與備份功能,即有助於企業省卻額外儲存開銷。

更重要的,則是要求選擇的DLP產品,必須適應企業現有的網路或系統架構,不論網路型或主機型DLP,都務必符合此一特質。以網路型產品為例,在部署時無需更動現行網路架構者,理當列為首選,即便需要調整網路架構,也務必搭配Web管理機制,以期簡化管理難度,並將停機時間降至最低。

借助新式防禦工具 防堵資料外洩漏洞

企業僅需導入DLP,即可確保機密資料萬無一失?答案無疑是否定的,只因放眼市場,迄今仍無任何一項產品或技術,就可防止所有資料外洩,因此對於企業的最佳因應策略,實為部署「一組」防護措施,既然是一組,理當並無單押DLP之理。

欲求DLP發揮最大功效,企業必須先行界定機密資料的來源位置與種類,方能產生較為精準的特徵檔,俾使DLP提高過濾與辨識的精準度,因此需要借助個資盤點工具,通盤掌握個資機敏的流向。曾有業者形容,依單筆個資外洩的500~20,000元求償金額來看,個資機敏檔案之於企業的價值,就如同黃金或鑽石般重要,既然是黃金鑽石,即無任由四處散落之理,必須嚴加看管。因此,若說個資盤查是資料外洩防護的第一步,應不為過。

也許有人問,要想盤查個資機敏,可否透過人力來執行?一家擁有20台PC的小企業,其資訊主管認為,每台電腦檔案為數眾多,有些埋藏在深不見底的資料夾路徑,因此光是清查一台電腦,恐怕得耗時1~2個月,更何況20台?此一感言,實已道盡個資盤點工具的重要性。

除此之外,舉凡監控使用者存取資料庫行為的「資料庫安全稽核」產品,防止資料經由Web應用程式洩露的「網頁應用程式防火牆」(WAF),避免高權限用戶或駭客肉雞竊取機密的「特權帳戶管理」系統,乃至於負責日誌管理、即時異常分析的「資安事件管理平台」(SIEM),種種系統工具,亦有助於在機敏資料之前架起天羅地網,竭盡所能填補資訊外洩的破口。 上述防護系統,與諸如防毒軟體、防火牆或入侵偵測系統等傳統資安產品,本質上看似殊途同歸,然深究其運作原理,卻有著莫大不同。有業者形容,若將個資機敏比喻為乳酪,網路攻擊比喻為老鼠,則傳統資安就好比窮追老鼠的貓,如果老鼠速度夠快(意指新式進階攻擊),任憑貓再如何疲於奔命,恐怕也無法扭轉乳酪遭竊的命運,然而類似像資料庫安全稽核或WAF等防護系統,則採取不同思維,猶如乳酪外圍的金鐘罩,不管老鼠想從網站應用程式、資料庫、檔案等不同管道逼近乳酪,最終都將無所遁形、鎩羽而歸。 當然,近年來「進階持續性威脅」(APT)躍為最令人聞風喪膽的惡意攻擊,只因其不著痕跡進逼企業核心系統,層層防禦拿它沒輒,故成為資料外洩的一大隱憂;因此即使上述工具悉數到位,都未必能幫助企業有效抗禦APT,值此時刻,企業另有必要針對新式的APT防禦工具多所評估,深入研究沙箱模擬、端點過濾掃描等相關技術之利弊得失,設法補強這道潛在破口。

轉載自《DIGITIMES中文網