iThome

有鑒於資料外洩對於企業造成的危害,以及未來的法令規範,因此DLP成為最近相當熱門的資安產品類型,不過在導入之前,企業必須思考幾件事情,才能將產品的功能發揮到最大功效。

Tips1 :了解本身是否適合採用DLP

在一開始,企業必需評估資料外洩的漏洞來自於何處?再決定是否適合購買DLP,或者是其他的資安產品。如同我們在前面一篇文章當中所提到的,DLP的功能是防止機密資料從內部流出,如果你要保護的資料必須在不同的業務單位間「流動」,或者儲存在隨身碟這類容易遺失的移動性裝置,在這個時候,比較適合的工具會是DRM等其他功能的資安產品。

至於在內部,如果你要監控的對象不是大多數的員工,可能只是一小部份具有特殊權限的使用者,例如資料庫的管理者,這時,DLP在功能上雖然也能做到防止這些人偷取機密資料,不過,業界也有推出專用的稽核產品協助評估寫出、寫入的行為是否正常。要採用何者比較適合,需視企業的實際需求做決定。

Tips2 :界定機密資料的來源及種類

決定購買DLP後,接著需要界定機密資料的來源,以及種類,才能有效避免產品導入後,仍不斷有外洩事件的發生。

DLP在功能上,是一種內容過濾型式的資安產品,因此我們必須提供機密資料的範本檔,供產品分析,產生特徵檔,才能以相似度高低的方式,辨識資料的真實屬性。就來源來說,除了一般最常見的檔案伺服器之外,像是SQL Server資料庫、SharePoint Server這類的知識平臺,乃至於員工儲存在郵件伺服器的郵件,都有可能在其中儲存了需要保護的資料或機密內容。

隨著企業的產業別不同,乃至於同一企業的不同部門,被界定為機密資料的檔案也不盡相同,因此以我們這次採訪的兩家實際導入DLP的企業來說,都是先確定好機密檔案可能擺放的來源位置之後,再請相關部門提供範本檔,而不是先直接針對放有資料的整臺伺服器做掃描分析,貿然作業,可能會增加DLP的導入難度。

Tips3 :分階段導入產品

導入DLP最好是採分階段的方式做建置,以免影響到現有運作中的環境。一般來說,很多企業都是先以閘道器的產品來部署DLP,待過濾能力沒有問題,或者是有更進一步的控管需求,才會考慮在個人端電腦上安裝代理程式。以安裝代理程式的做法,大多都是先以資訊部門的員工做為測試對象,即使產生問題也不會造成太嚴重的影響,直到測試確認不會和企業現有的應用程式相衝突之後,再擴大部署範圍。

Tips4 :由適合人選來稽核資料使用記錄

由於DLP所記錄下來的,大多是企業內部的機密資料,對於資訊部門來說,並不一定有能力稽核這些事件是否為誤判,有些企業會交由專責的資安部門來稽核這些記錄,而比較常見的是由單位的各部門主管,透過報表及郵件通知的方式,了解內部員工是否有外流機密資料的事件發生。

由於DLP不但能提供事件的即時阻擋,同時也是洩密事件發生時的重要舉證工具,因此對於報表功能的完整性,企業也可以在評估階段加以留意。

 

 建置經驗談──某半導體產品製造公司 

 保護了檔案伺服器與員工電腦 

半導體產品製造公司A採主機型DLP架構來建置趨勢的LeakProof 3.1,在不同資料類型上可對應各自的控管方式。

總部設於臺北,在新竹、臺南等地及大陸都有據點的A公司(該企業不願具名受訪),為了掌握機密資料的流向,因此在去年11月購買了趨勢的LeakProof 3.1,目前他們一共部署了3臺DLP的管理伺服器,透過代理伺服器,控管全公司600多位員工的電腦。

A公司以製造半導體相關的產品為主,對他們來說,界定為機密的資料類型有內部系統的程式碼、設計圖、交易資料,及ERP系統的表單資料等4種。

考慮過本身的使用需求之後,最後決定導入DLP防護機密資料

購買DLP以前,A公司也測試過以DRM來保護前面幾種類型的機密資料,不過,後來因為DRM在功能上沒有辦法符合需求,因此他們將評估的重點轉為採購DLP。

該公司目前負責管理DLP的系統資訊整合部表示,測試DLP的期間為2個多月。在一開始,他們必須提供機密資料的範本檔供DLP分析,產生日後用來辨識機密資料的指紋特徵,這些資料的來源除了檔案伺服器以外,也包括放置在知識管理(Knowledge Management,KM)平臺上的檔案。

由於檔案伺服器的資料量相當龐大,不容易透過網路掃描,一次產生所有的指紋特徵,所以他們的做法是請相關部門先行提供一部分的資料;至於KM的部分,他們則是找到系統放置檔案所在的資料夾,並且設定唯讀的共享權限,讓DLP分析放置在KM上的交易資料PDF檔及程式碼檔案。

就各類型資料的機密控管的做法來說,該公司決定在不同資料上以適合的方式監控,像是交易資料就是透過指紋特徵(File Type)來做判別,設計圖採格式比對的方式過濾AutoCAD所產生的.DWG檔,程式碼及ERP表單的部份則是採關鍵字,搜尋資料內容中的特定字串及流水號等項目。

他們表示,除了趨勢的產品之外,還有評估過另外一家的DLP產品,雖然該產品在價格上較LeakProof來得便宜,不過考慮到產品間的技術差異、針對問題的除錯能力,以及客製化功能等項目後,最後決定購買目前所使用的產品。

建置上的注意事項

代理程式的部署上,A公司利用Logon Script的方式,當個人端電腦登入網域之後,就會在背景安裝代理程式。測試期間,除了資訊部門的員工電腦之外,也將代理程式安裝在少數特定員工的電腦上,結果發現有人利用離職前夕,從檔案伺服器異常複製大量資料的洩密事件。

由於A公司並不允許員工在電腦上安裝即時通訊等和工作無關的應用程式,對於LeakProof所能支援的傳輸通道類型,除了SMTP的郵件流量之外,其餘皆全部啟用。

他們表示,由於已經在閘道端設置了郵件稽核的系統,而DLP一旦攔截到郵件的洩密事件,就無法在稽查設備上查詢到此筆郵件,考量到記錄的完整性,因此決定由稽核設備來控管員工,是否利用企業的郵件系統傳送機密資料。

對於報表的管理,目前他們是採由資訊部門產出報表之後,再提供給各部門主管閱覽,當洩密事件發生時的處理動作,是由代理程式封鎖資料的傳送,然後以郵件方式告知資訊部門處理。

A公司在臺北總部、研發中心所在的新竹及較為偏遠的大陸,各自設有一臺DLP的管理伺服器,由於各伺服器會透過網路掃描其他據點的檔案伺服器,因此3臺伺服器上的指紋特徵是完全相同的,除了臺北的管理伺服器還要負責管理其他規較較小的據點之外,其他2臺伺服器主要是用來管理當地的員工電腦。

他們也向原廠要求,須透過單一介面閱覽3臺伺服器所產生的事件記錄。由於LeakProof 3.1在功能上並不支援,因此這部分的需求是採客製化,請原廠撰寫額外功能模組的方式加以解決。

隨著新版產品的推出,目前A公司也有將LeakProof升級到5.0版的想法,不過他們也表示,需重新安裝代理程式是一項難題,至於近期,他們則是規劃將檔案伺服器加以瘦身,刪除不必要的資料,使得LeakProof可以完整掃描所有檔案,加強DLP的防護效果。

案例資訊

某半導體產品製造公司

● 員工人數:600多人 

● 使用的DLP產品:趨勢 LeakProof 3.1

● 使用現況:目前已部署3臺DLP的管理伺服器,將代理程式部署到全公司的員工電腦,對於DLP所能支援的傳輸通道類型,除了SMTP的郵件流量之外,其餘皆全部啟用,至於洩密事件發生時的處理方式,則是透過代理程式即時封鎖。

 

【相關報導請參考「資料外洩防護產品採購大特輯」】


熱門新聞

Advertisement