7

选择数据丢失防护解决方案时不可不知的9个注意事项

 3 years ago
source link: http://netsecurity.51cto.com/art/202102/646575.htm
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

数据丢失防护(DLP)是企业信息安全团队工具包中日益流行的解决方案。然而,选择DLP系统的标准往往是模糊的,就像是购买防腐剂的清单一样。因此,他们会选择一个使用了更具侵入性的广告和承诺附加功能的品牌,并且所有这些都会带有一个吸引人的价格标签。

FRrMZzu.jpg!mobile

需要注意的是,这些系统提供了许多营销手册中没有列出的功能。在这里,错误选择的成本要比错误购买家用化学品的成本要高得多。信息安全专家最好仔细检查这些特性,而不是对可用功能进行一个形式上的比较。

如今,许多DLP系统都提供了不同的复杂程度以供选择。比较表中所提到的额外功能总是一种诱惑,但它并不一定意味着额外的优惠将能够满足客户的期望。在匆忙推出产品的过程中,一些软件发行商可能会忽视了对产品质量、用户体验和可靠性的保证。

技术上成熟的企业解决方案的主要优势是供应商可以适当地维护它并发布新的功能。DLP系统通常是基于三年或五年的规划期来选择的,因此符合当前需求并不是唯一的选择标准。你需要了解供应商的发展方向,并预测贵公司未来可能面临的任务和问题。

在理解解决方案有多好以及你的投资是否会为你带来完全符合基本企业软件标准的产品方面,以下考虑将为你指明正确的方向。

内容拦截

DLP系统旨在阻止由员工失误或恶意软件所引起的数据泄漏。主动终止可疑操作是实现此目标的唯一方法。然而,一些公司会选择在监控模式下利用这些解决方案,而不是直接篡改数据移动。

与此同时,所有信息都是存储在档案之中,安全高管经常是在事后才会对泄漏做出反应。也就是说,对内容屏蔽功能的需求可能会失去优先权,因为它们对主动使用是没有计划的。

通过采取侵入性较小的监控路线,信息安全专业人员也可以尝试避免DLP系统的误报或故障。例如,如果解决方案通过中断电子邮件或其他同等重要的服务而对可疑事件反应过度,其后果可能反而会超过数据泄漏的后果。

这种缺陷通常是那些提供了稀缺配置选项的不成熟DLP系统所固有的。由于缺少阻塞模式而发生的数据泄露可能会非常繁琐,而且恢复起来成本高昂。此外,越来越多的国际法规(如欧盟的GDPR)也已经开始要求组织使用内容屏蔽来防止数据泄漏,公司可能会因为违规而需要支付巨额罚款。

由于技术原因,DLP工具所监督的一些通信机制可能无法被阻塞。例如,由于Telegram和WhatsApp所使用的数据加密技术的特殊性,被动监控将是它们的唯一选择。然而,当检测到异常活动时,如果DLP系统不支持阻止电子邮件、打印机、USB端口以及基于HTTP/HTTPS的网络服务,它将是低效的。

政策和内容分析

并不是所有现在的DLP系统最初都是作为成熟的保护工具来设计的。一些开发人员从一开始就整合了一个安全层,并补充了额外的控制措施,以便能够在稍后监视其余的通信通道。由于原始模块的限制和独特特性会要求必须与后续的架构增强保持一致,因此结果可能与最终产品的预期效率不相一致。

因此,DLP系统如何实现内容分析的特性或许可以为你提供关于其发展起点的线索。例如,如果受监控设备上的端点代理使用了SMTP协议来将数据提交给DLP服务器进行分析,则可以安全地推断该解决方案在初始阶段可能仅包含了电子邮件检查模块。在这种情况下,代理可能不会从服务器接收分析结果。如果是这样,则在打印文件或将文件保存到驱动器的情况下,内容屏蔽是不可能的。

这种实现的另一个薄弱环节是,它需要依赖于与服务器的永久连接,这意味着网络拥塞可能会中断该过程。检查DLP解决方案是否可以区分网络流量的优先级是一个好主意。

使用经过深思熟虑的体系结构,内容分析就能够在策略生效的位置、端点代理级别执行。这样,就不需要通过网络提交大量的数据,而且流量优先级问题也不会是安全问题的一部分了。

没有连接到企业网络

除了实现内容分析和应用企业策略外,DLP代理还需要向服务器发送事件日志、不同文件的影子副本和大量其他信息。如果服务器的数据存储库不可访问,这些有价值的细节就不应丢失。通常,这些信息会保留在本地磁盘上,并需要在连接恢复后立即提交给服务器。

根据服务器连接状态的不同,应该采用不同的策略。它们需要在建立连接、通过虚拟专用网服务连接端点或连接关闭时进行指定。这一点在持有公司发行的笔记本电脑的员工不在办公室时将尤其重要,例如在出差或在家远程工作时。

便利性

对于系统使用和管理的便利性,不同的用户可能有不同的观点。有些人更喜欢使用命令行来管理DLP,而其他人则更喜欢通过脚本语言来设置策略和规则。在许多情况下,一个精简和直观的界面的可用性可以被解释为一个高质量产品的标志,因为它的重要模块也可能同样设计良好。

当谈到界面的用户体验时,要考虑几个细微差别。首先,最好是一个一体化的管理仪表板。网络控制台现在是最常见的。它们能够在不同的平台上得到支持,不需要任何额外的软件,而且在移动设备上也很容易使用。

如果一个产品提供了单独的控制台来处理不同的模块,这就意味着它不是作为一个单一的、全面的系统来创建的。这些组件有可能是被不同的软件工程团队或供应商集成到解决方案中,然后在开发周期中相互链接的。

一个精心定制的系统的另一个方面可以归结为所谓的“全渠道”政策。举个例子,如果你需要设置一个策略来管理法律合同,那么你可以只设置一次,然后指定它应该包含的频道(电子邮件、USB驱动器、web服务等)。

而在一个设计粗糙的DLP系统中,你将必须为每个通道分别创建类似的策略。虽然起初这看起来没什么大不了的,但随着保单数量的增加,情况就可能会变得一团糟。当它们有几十个,并且它们的规则定义了包括时间框架和用户组在内的多管齐下的条件时,让它们保持同步就会变得非常麻烦。

服务器数量的要求

DLP设计不成熟的另一个迹象是系统正常运行所需的服务器数量过多。例如,如果一个多达100名员工的试点项目需要一台以上的服务器时,这样的架构就可能需要改进,并且很可能在生产阶段就需要额外的资源。

一流的解决方案可确保进行全方位的均衡扩展。对于大型组织,应该有一个选项来隔离一些系统组件,并为每个组件分配单独的服务器资源。但是,对于较小的计算机网络来说,保持DLP系统平稳运行的服务器数量不应该不成比例。

灵活实施

一个值得称道的DLP系统应该在实现机制方面提供足够的回旋余地。这不仅使解决方案与现有数字基础设施的结合变得更加容易,还允许你在功能和处理负载之间取得平衡,同时保持对多个通道的控制。

如果跨DLP频谱的几个系统提供了在端点代理级别控制所有信道的选项。供应商就可以通过减少开发时间和软件工程支出来从这样的工具中获益。

这种架构不太符合企业级的标准。因为在网关层管理网络通道将更有意义。对于大规模的DLP部署来说,这可能是唯一合理的选择。除了使用端点代理来作为控制数据移动的来源之外,一个有效的DLP工具还提供了以下可选的实现方式:

  • 邮件服务器集成。这种策略还允许你监控你的内部电子邮件。
  • 选择从技术邮箱接收邮件通信。
  • 使用互联网内容适配协议(ICAP)来与现有的互联网网关集成。
  • 独立的邮件传输服务器。

主要供应商提供了他们自己的代理服务器,这些服务器可以与DLP系统无缝集成,以监控HTTP和HTTPS流量。

云基础设施

由于许多公司正在转向远程工作模式,也会同时希望能够节省安全服务方面的费用,因而云DLP解决方案的质量和数量肯定会得到增长。如今,通常会需要将DLP系统的服务器组件也保存在云中。这种情况通常会发生在试点项目或小型组织当中。

DLP系统的存档通常会包含所有的公司机密,没有多少企业主愿意将其置于不受控制的环境当中。但是,如果DLP系统不支持在云中托管服务器模块的选项,就可能会在某个时候产生不利后果。

而想要控制云存储和服务也会存在一些问题。例如,当组织在使用Google Workspace (更名为G套件) 或Office 365邮件服务时,就可能会发生这种情况。这里有很多细微差别。例如,要访问邮件服务器,你可以同时使用浏览器和经典客户端(如Microsoft Outlook)。而对于每个选项,你都必须应用不同的协议。

此外,在组织中使用云存储时,有必要确定DLP系统能够定期的扫描所有的云文件夹,以监控存储在那里的机密信息。为了解决这些问题,一个全新的解决方案集群--云访问安全代理(CASB)--将应运而生。就正在解决的任务而言,这些系统在概念上会接近于DLP。

与其他企业安全系统的集成

在这种情况下,我并不意味着是指与Microsoft Active Directory的集成,因为默认情况下,这应该是当前任何DLP系统中所内置的功能。相反,我指的是与以下类型的解决方案的集成:

  • 安全信息和事件管理(SIEM)。这可以说是公司安全生态系统中最常见的兼容性缺陷之一。每个信息安全专家都希望DLP中的事件能够与SIEM集成。尽管绝大多数现代SIEM系统都能够从DLP数据库下载数据,但如果DLP解决方案能够支持像Syslog和CEF这样的现成协议,这种串联将会更加有效。如果是这样,你就可以配置DLP系统,使其始终处于SIEM数据库中的信息之上。
  • 企业数字版权管理(EDRM)。这些类型的系统补充了DLP解决方案,反之亦然。当两者结合在一起时,只要进行适当的配置,就会形成一个坚固的保护层。在这个场景中,DLP没有解释EDRM策略的问题,并且可以在自己的策略中使用它们的一些规则,这些策略将涉及生成报告或搜索存档等活动。此外,DLP系统也可以根据预定义的原则充分利用一些EDRM策略。
  • 数据分类系统。最好的DLP工具应该能够处理由Titus和Boldon James等数据分类系统所嵌入文档中的标记和标签。如果临时服务已经完成了这个冗长的过程,那么就可以在数据分类方面采取捷径。

多平台兼容性

一个好的DLP系统应该兼容不同的端点平台。最基本工具的功能可能会仅限于Windows的支持。不过,这可能是不够的。谁知道呢,也许有一天我们会需要大规模的转向Linux。好消息是,一些DLP系统已经为Windows、Mac和Linux提供了代理模块。

此外,还应该提到运行iOS和Android的移动设备。由于技术原因,目前几乎不可能为智能手机和平板电脑来创建一个完全成熟的代理,尤其是苹果所制造的智能手机和平板电脑,它们也受到了各种攻击。在这种情况下,web控制台将是在旅途中与DLP交互的最佳方式。因此,在实施自带设备战略时,你可以(也应该)使用移动设备管理(MDM)解决方案。它将允许你使用移动操作系统内置的功能,创建隐私策略,并将数据泄漏的风险降至最低。

DLP系统的发展是异构的。这一因素会影响到它们的完整程度、良好协调的功能以及支持单个信息分发渠道的能力。在现代社会,这对解决方案的价格和随后的维护成本也会产生影响。然而,一个可靠的DLP是值得投资的,因为它可以解决不同的安全问题。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK