企業級 DLP 的未來—云應用數據安全
作者:星期二, 十月 29, 20190

當安全能力逐漸成為業務發展的重要支撐,確保數據資產的安全,特別是敏感數據,也受到安全工作的格外重視。無論是財務數據、人事數據、還是諸如 VIP 客戶等重要的業務數據,幾乎沒有企業愿意接受這些重要數據的外泄。這些數據泄露事件的發生,或因曝光導致公眾形象受到負面影響,或直接幫助了商業競爭對手,甚至可以侵害到國家安全。

文檔加密、數據防泄露 (DLP) 是預防和制止數據泄露發生最為直接的兩種安全能力。而且在國內,都占有重要的市場份額。但是在能力側重點上,又有明顯區分。文檔加密通過兼具效率和強度的加密技術,以及文檔水印(可顯可隱),在犧牲一定辦公效率和體驗的前提下,在事前階段實現泄密的預防以及事后的審計追責。DLP 則是基于深度內容發現能力,在終端、郵件服務器、Web 出口等位置,對包含敏感內容的數據進行發現,并根據基于企業架構、業務流程和數據資產價值預設的安全策略,事中階段進行不同的響應操作,譬如告警、阻斷等。相比于加解密方案,基于內容檢測的 DLP 對使用人員的業務流程的改動最小,在允許的范圍內,基本上不會改變使用者的使用習慣。

本文聚焦在以 DLP 為核心技術體系與解決方案的發展路線,基于安全牛近期對成立近 5 年,專注數據安全的安全初創企業——天空衛士董事合伙人、高級技術總監楊明非的采訪內容,從天空衛士的視角闡述對數據安全體系的理解與變化。

從DLP到UCS,再到ITP

統一內容安全 (UCS) 是天空衛士在成立之初就在推行,以 DLP 為核心基礎能力的安全體系。

Gartner 從十年前就已經開始關注 DLP 的市場,到今天,楊明非認為,DLP 的內容識別和發現能力,并不是一個多么新穎的安全技術或應用。通過在員工辦公終端安裝客戶端,以及在網絡出口旁路鏡像流量的方式,對敏感內容進行識別、發現,是非常經典的一種 DLP 方案。

天空衛士在 2015 年推出 UCS 的理念,則要更為復雜、全面。

從方案來看,為了更好地應對大型企業多分支機構管理方面的困難和挑戰(這包括 DLP 客戶端的覆蓋率、策略的有效性等),天空衛士在典型的 DLP 方案中,基于 DLP 的內容發現能力,以代理或網關形式,擴充了對郵件服務器、Web 訪問的管控,并通過集中的管控平臺,集中進行策略的下發、部署和更新。

當然,UCS 的方案雖然更加能力覆蓋更加全面(特別是從郵件角度做了重要補充),但是,在實施,特別是策略的配置、優化方面,需要大量的原廠工程師配合的人力投入,仍是不小的挑戰。

此外,部分行業客戶,如互聯網,在實施時也有來自員工對隱私擔憂的阻力。

對此,楊明非表示,目前普遍的情況是,基于終端對員工的深度監控能否順利推行,和相關地區的國家的法律、企業的戰略和內部文化都有關系。配發辦公終端的情況,企業一般會提前告知;但其它情況,一般是只對涉及企業工作空間的應用進行監控,在后端工作和個人的界線會比較清楚。

推行 DLP 的決心和成本,對企業而言都是不小的考驗。有時,這是隱私和監管的平衡。愿意去做這件事情的企業,更多情況是如果管控不到位,大概率會給企業帶來更多商業上的損失。

當然,也有收獲和發展。那就是越來越多的客戶,看到、愿意相信基于 DLP 能力的方案價值。直接表現就是,在客戶環境測試一段時間后,越來越多的客戶選則了(部分)串聯阻斷,而不只是旁路告警或審計的方式。

近幾年,內部威脅事件頻發,各行業都對內部威脅防范工作愈加重視。這也是天空衛士在 2018 年初,將原有 UCS 體系結合 UEBA、統計學模型、威脅情報和機器學習算法,提出內部威脅防護 (ITP) 的契機。

天空衛士和 Gartner 合作的報告 (Newsletter)《市場洞察:先進內部威脅檢測產品的市場進入策略》對四種典型的內部威脅檢測技術的優缺點進行了分析。

這四種技術可大致分為三類,一是以數據為中心的審計和保護,二是用戶和實體行為分析,三是基于代理對雇員進行監控。

總體而言,每種技術都有各自的優勢和成本,每個客戶的需求也有不同的側重點。因此,對多種關鍵技術和能力的有效融合,是天空衛士 ITP 解決方案的重要價值。

天空衛士認為,內部威脅的檢測和防護,要更關心人和數據的行為,并實現人員和實體的風險評估,以此來持續優化安全管理。

ITP 方案從(移動端)終端(行為)、網絡、郵件、APT活動等角度,結合用戶現有的威脅情報、上網行為、NGFW、身份認證等安全能力,匯總到 ITM 分析引擎進行風險評估,評估結果將用于策略的優化、更新,設備的管理和統計報表生成。

企業級DLP是一種能力體系

從經典的 DLP 旁路方案,到集成 DLP 深度內容發現能力,根據客戶需求和技術發展趨勢延展而出的UCS和 ITP 方案,我們不難發現,DLP 方案中,DLP 技術似乎已經慢慢從原來的絕對 C 位退下,成為一個基礎能力。并且,DLP 方案還在根據事件、需求、(安全&IT)技術的發展、變化,而不斷擴大、吸納更多的能力。

那么,我們還可以繼續稱之為 DLP 方案么?

對這個疑問,楊明非認為,從天空衛士的積累和實踐來看,企業級 DLP 能力不能只狹義的認為是旁路部署的 DLP 盒子,而應是一個以理解數據為基礎能力,隨著 IT 架構和應用場景不斷變化而延展的安全能力體系。

安全保護的對象是數據,只有理解數據,能夠更好的利用數據,才能有效的保護數據。

Gartner 在其 2018 年企業級 DLP 的魔力象限報告中也陳述了類似的觀點:

DLP 是一個定義良好的安全過程……企業級 DLP 方案應提供集中式的策略和事件的管理,用于定義、分發、監控多個部署方案(如終端、網絡邊界/云訪問安全代理、郵件、云、發現等)的 DLP 策略……同時,企業級 DLP 解決應采用高級內容檢測技術,提供廣泛且靈活的部署方案,以適用諸如法律和內部策略合規、知識產權保護等不同需求。

順應此趨勢,天空衛士在 2019 年年初發布了其云戰略,作為原有 ITP 方案在數字化轉型的大趨勢下,聚焦云內數據安全,進行能力延伸。

云應用數據安全是企業級DLP的未來

天空衛士的云數據安全方案,有兩個角度。一是云內應用的數據安全,這包括存儲數據的敏感內容發現、數據流動的監控和保護、以及數據內容的安全分析,以便進一步處理。另一個角度是對企業云應用的訪問,也有兩個方向,分別是從移動端的訪問,以及處于分支機構或互聯網來自 PC 的訪問。

其中,云內(敏感)存儲數據的發現能力,天空衛士云數據安全方案的核心應用,也是后續數據管理、安全策略制定的前提。

楊明非介紹,存儲數據的風險,主要有三點,分別是敏感數據未經加密或脫敏,或者加密和脫敏措施沒有完全成功,以及在開放區域存放了敏感內容。但是,混合的云環境,讓實現敏感數據分布的可視相較于經典IT架構更加困難。天空衛士的優勢在于對IT架構和云應用覆蓋的全面性,無論是本地數據中心、終端,還是 SaaS 或 IaaS 提供服務的云應用,客戶都可以根據預先定制的策略(如敏感數據的格式、內容、匹配方式等),對存放在 NAS 服務器、云應用、云盤等位置的存儲數據進行敏感內容的發現,而且是可以定時、持續的數據發現。

云應用的廣泛和靈活,也讓云內的數據發現和治理更加復雜和困難。無論是從合規,還是源碼、用戶隱私等敏感信息存儲配置的審查以及防泄露的角度,敏感數據發現能力都是有關鍵意義的。

此外,云環境下還有大量機構化和非結構化數據的交換場景。云應用自身對數據出入缺乏管控的依據和能力,也是亟待補充的一點。

所以,在整個云數據安全方案中,天空衛士的思路是應用也要能對出入數據進行實時內容安全審查。企業級應用往往自帶豐富、細致的控制能力,通過 RESTful API,天空衛士可以將出入特定應用數據的深度內容分析結果反饋給應用,用戶可以從應用管理的角度,對流轉數據進行實時審計,并對異常行為進行響應。

后續,楊明非表示,擴充企業級 DLP 方案的適用場景,更多的依托云的靈活與便捷、探索(托管式)數據安全服務會是天空衛士的重點方向。

安全牛評

安全技術和方案的價值在于能夠真正解決客戶的痛點,而不是理念的新穎、前沿。以深度內容發現能力為代表技術的 DLP,能夠針對性的結合其它技術(不局限于安全),并持續適應客戶 IT 環境和安全需求變化而變化,這也正從側面體現了這一安全技術的生命力。而這,從更宏觀的角度看,也正與信息安全的定位的轉變——從事件驅動、安全廠商的 “噱頭” 轉向 IT 和核心業務的重要底層支撐相匹配。數據安全是近兩年安全行業的熱點,順應各行業數字化轉型的浪潮,以內容發現能力為基礎,企業級 DLP 方案的能力內涵勢必會跟加豐富。

相關閱讀

 

對話天空衛士陳少涵:結合UEBA的下一代DLP

 


相關文章

沒有相關文章!

寫一條評論

 

 

0條評論