2014年12月7日 星期日

重新思考資料防外洩之內涵及選擇重點

重新思考資料防外洩之內涵及選擇重點

機密或敏感性資料一直以來都是企業、組織以至一個國家的重要資產,但是嚴格來說資料防外洩系統在國內還是直到新版個人資料保護法的制定與推行才開始漸漸受到重視,當時專家還曾預估個資法會帶來一波資安產業的商機,不過新版個資法公告實施兩年下來,似乎是雷聲大雨點小。

據觀察除了政府單位因配合政策所以優先導入資料防外洩產品(Data Loss Prevention,DLP)外,積極導入完整DLP的私人企業還是少數,且其中又有許多是採局部性、基礎功能導入,保守觀望意味仍濃。探究其原因,一來是目前為止幾起企業發生的個資事件並沒有引來集體訴訟和鉅額賠償,頂多是金融業被主管機關以銀行法第45條之1第1項:未妥適建立資訊作業管理之內部控制制度而處以數百萬元之罰金,其他行業並無相關的規定或是處罰先例,所以完整的防護措施看起來沒有那麼急迫,只要先求「有」就好,如同騎機車挑個最便宜的半罩式瓜皮安全帽可以不被警察開單,就已算是可滿足現階段的避險需求;二來是導入完整資料防外洩系統的金額及複雜度都不低,也聽聞有金融單位投入高額預算採用國際大廠產品但專案延宕許久遲遲無法驗收的案例,更何況是其他資源有限的企業,在規劃資料保護方案時難以拿捏該做到什麼程度,面對市面上眾多號稱可保護個資的產品而無所適從。

重新審視資料安全防護

也許現階段個資法還處於窒礙難行的階段,個資外洩所帶來的後果沒有當初想像的嚴重,但是可能被洩漏的資料不是只有民眾的個資,企業的營業秘密、智慧財產一旦外洩所造成的損失對企業來說是立即有感的,所以最近企業詢問DLP如何用來保護營業秘密的比例有增加的趨勢。

廣義地來看待「防範資料外洩」這件事,其實並不只是DLP產品的工作,其他許多資安軟硬體、管理制度都在其中扮演輕重不等的角色。在決定採用甚麼樣的資料安全防護手法之前,通常會建議先花一點時間審視目前對於資料保護的需求為何,畢竟每個單位的需求都不盡相同:

1.需要保護的資產對象 
個人資料檔案: 在檔案中最常出現的個資通常以文字資訊呈現,且都有特定模式,比方說:姓名、身分證字號、電話、地址等,所以最常見的偵測方式就是以正規表示式來判斷是否為個資,但此法精確度較低容易誤判,且無法分辨是否不屬於蒐集、處理範圍之公眾人物姓名、公司行號地址電話等。較佳的作法是直接對已蒐集之個資檔案或資料庫進行指紋碼學習,以特徵指紋碼來偵測的精確度高但較耗系統資源。

營業秘密:沒有一定的模式,可能是文字,可能是設計圖或影像圖片,也或許是程式碼,早期的做法是攏統的以檔案的格式種類或內容關鍵字來偵測,比較進階的方法則是對所有含營業秘密之檔案進行指紋碼學習。

2.威脅來源 
內部員工:包括於內部工作的外包人員,可能因無意的疏失或是惡意將資料外洩。

合作夥伴:上下游廠商,可能因無意的疏失或是惡意將資料外洩。

不友善第三者:競爭對手、職業駭客、敵對國家網軍,這就不用解釋了,來者不善一定鑽盡各種漏洞來竊取資訊。

3.弱點 
網路管道未加以管制:舉凡Email、Web、FTP傳檔、即時通訊、遠端桌面、雲端服務等等,尤其現在主流雲端服務都已採用HTTPS加 密通訊,更增加通訊管制的難度。

透過端點使用的實體資料載具未加以管制:像是USB移動儲存設備、光碟燒錄機、記憶卡、行動裝置,列表機也是。

儲存資料未加以妥善防護:例如資料庫、檔案伺服器未妥善進行存取控制,檔案未加密。

雖說一般的資安設備、管理制度、稽核紀錄都能從旁協助「防範資料外洩」,但真正第一線負責面對及處理進行中的資料外洩事件的還是資料防外洩產品,資料防外洩產品又大致分為三類:網路DLP、端點DLP、DRM。

網路DLP 於網路閘道端架設DLP閘道器,以In-line或Mirror方式過濾各種通訊協定上的聯外通訊內容是否含有受保護機敏資料,再加以阻擋。

端點DLP 於端點上安裝軟體監控使用者欲寫入周邊裝置的檔案是否含有受保護機敏資料,更進階一點的是可以在筆電離開公司網路後對該筆電上網的網路通訊作離線的網路DLP。

DRM檔案權限管理 底層採用密碼學技術將受保護檔案加密,再根據使用者授權範圍開發檔案的各種使用權限(開啟/存檔/列印/螢幕擷取/…),並可與外部人員進行檔案交換。

針對前段所歸納的資料種類、威脅及弱點來選擇控制項目時,有以下7點建議可供參考:

1. DLP產品最重要的功能就是能夠「發現傳輸或使用中的資料為受保護的機敏資料,然後依據政策進行放行、阻擋或紀錄」,若僅是保護個人資料檔案,使用正規表示式、關鍵字的簡易作法還算堪用,產品也都會事先說明有誤判的機率就看使用單位能否接受;但若保護對象是營業秘密的話,還是建議採用具有指紋特徵碼偵測技術的DLP產品才能支援各種檔案,而且即使檔案被分割、部分擷取、壓縮都還要能夠準確偵測出來。

2. 因為越來越多的Web都採用SSL通訊加密保障網站訪客安全,所以解析HTTPS加密通訊內容已經算是網路DLP的必備功能,原理是透過內建的代理伺服器居中進行憑證置換,閘道器檢查過上傳內容不含機敏資料後再將資料透過第二段的HTTPS外傳。有些高檔的防火牆也可提供HTTPS解密(一樣透過Proxy技術),把中間解開的封包透過ICAP拋給DLP作資料過濾,但此功能也是要額外採購授權。SSL加解密相當耗費運算資源,所以在評估硬體規格的時候記得要考慮進去。

3. 加密是資安常用的手段,但同時也是資安的敵人,因為DLP系統無法看到事先經由其他加密系統所加密的檔案是否含有個資,所以如果在導入DLP之前已經導入了一般文件加密系統或DRM的話,不管是資料盤點工具或是網路DLP碰到這些加密檔案也是沒轍,一般建議作法是直接阻擋看不懂的加密檔案外傳,以避免員工規避DLP系統的檢查。

4. 那如果同時有DLP跟DRM的需求的話怎麼辦? 那就得考慮有跟DRM模組搭配的DLP產品,可以在資料盤點發現到機敏資料檔案時,設定自動套用DRM加密,而不是單純依賴檔案Owner手動將重要檔案加密。

5. 選購加密產品時記得要避開僅對檔案表頭加密的加密軟體,因為這樣其實只要把加密檔案用簡單工具以十六進位方式開啟,就可以直接看擷取到未加密的主體內容,完全不用高深的駭客技巧就能破解,所以還是請選擇對全檔案加密的軟體。

6. 若分階段實施,導入順序建議: 網路DLP > 端點DLP > DRM,原因是網路DLP導入較快速,可藉由觀察記錄來將資料政策調整成最佳的狀態;端點DLP和DRM對於使用者的日常操作的影響比較明顯一些,所以延後導入可以適度減少使用者的反彈。

7. 若分階段實施,請留意各模組間的整合程度,如果各模組都是不同廠牌自然不能強求,但若是同廠牌各模組之間也未對政策、事件、指紋特徵、報表等功能進行整合的話(併購自不同家的產品),寧可選擇性價比更好的不同產品來搭配。

結語 
說實在,功能較完整的資料防外洩產品的價格有一定門檻,企業在評估TCO的時候再把每年的維護費用(也有產品是每三年要負擔的維護金額等於原合約價,幾乎是每三年就重買一套)也算進去以後,真的不是國內多數中小企業可以負擔得起的,問題是根據經濟中小部企業處2013年的統計,國內136萬多家企業中,中小企業就佔了133萬多家,佔比97.6%,這麼多的中小企業還是有資料防外洩的需求存在,近期如果能有一套價格合理的雲端DLP的租用方案,提供必要的DLP功能又不必負擔設備建置、折舊,重點是能滿足管理安全性、服務可用性的高標準,相信會是中小企業的福音。

 (本文作者目前任職於叡廷股份有限公司 產品經理一職)

轉載自《Information Security 資安人科技網