俗话说,外行看热闹,内行看门道。随着国家网络安全法及一系法规制度陆续推出,企业网络安全成为近年IT领域风口浪尖上的话题,与其相关的资本、市场和技术信息让人目不暇接。但是企业信息安全从业人士深刻体会到这次热潮中一个非常大的亮点:对企业数据资产的保护,即数据安全成为企业信息安全的核心。
虽然国内企业信息安全已经过二十多年的高速发展,但思维还停留在防火墙、入侵检测、防病毒等传统的、被动的企业边界南北防护手段上,其核心目的仍然是防止黑客从外向内进行病毒、蠕虫或者木马等的攻击行为。据国家计算机信息安全测评中心等权威机构提供的数据显示,国内企事业单位内部重要机密通过网络泄密而造成重大损失的事件中,只有1%是被黑客窃取造成的,其余97%都是由内部员工有意或无意泄露而造成的。因此,企业网络安全的重心必然会从传统的由外到内的攻防而转向由内到外的数据防泄露。
数据防泄漏解决方案在国内并不是空白之地,数据防泄漏产品已上市很长时间,其功能满足企业文件数据加解密需求,其技术是利用加密解决数据传输的安全问题,利用认证解决访问者权限问题。究其原因,是因为国内企业仍专注对人或设备的安全进行管理,并没有把企业数据作为安全的重点。目前,国内最典型、最成熟的数据安全案例,是很多大型机构都正在使用的企业邮件系统加密解决方案,该类方案的实施结果是员工需要经常在“降低业务效率(邮件因为被不适宜的安全规则阻断等)”和“发生安全事故(绕过这个加解密路径)”两者之间做出选择。目前这波企业网络安全热潮中虽然数据成为中心,但一个令人担忧的现象也随之而来。数据安全法规出台后,很多企业因为之前没有数据安全解决方案,现在为了免责仓促上马安全方案,在市场上缺乏对导理念和合适的数据安全方案的大前提下,往往又会选择类似的数据文件加解密方案,重蹈别人的覆辙。
因为美国企业文化中对知识产权和个人隐私非常重视,所以数据防泄漏一直就是企业网络安全的重中之重,CIA(Confidentiality, Integrity, Availability)理论和4A(Account,Authorization,Authentication, Audit)体系从本质上讲都是围绕着企业的数据安全做文章。而DLP作为企业网络安全里面的一个独立垂直市场,从一开始就和终端EDR、网络数据加解密/认证等技术在不同的轨道上发展。在美国,2003/4两年是DLP技术的爆发时期,从那时起,DLP技术产品一直在不停地演进。直到现在,市场上虽然DLP解决方案一直是刚需,技术也层出不穷地涌现,却一直没有非常完美的产品出现。
DLP技术根据其部署位置可分为终端DLP、网络DLP和服务器端(存储)DLP,根据可能的泄露载体又可分为终端DLP、邮件DLP和WEB DLP等。现代DLP产品核心技术包括以下几点:
1、DCI(Deep Content Inspection):不同于网络流量分析产品NPM/APM里面用到的DFI和DPI技术,只需要在网络层基于包(Packet)或流(Flow)做扫描匹配,DLP是需要在内容层面做深度扫描,匹配精确度和扫描性能是衡量技术的标尺。
2、内容还原:因为要做DCI,所以我们需要要把网络中传输的文件完整地还原出来,提供给DCI引擎做扫描匹配处理,这里最大的挑战是必须把文件完整地还原出来,意味着无论旁路镜像还是inline proxy都不能丢包,做到不丢包说易行难,相比较而言,DPI技术是没有这个要求的,因为客户往往对此无感知。
3、敏感规则定义:企业用户需要根据自身业务的需求定义所需要匹配的敏感字典,DCI引擎扫描还原出的传输文件,匹配该敏感字典内的敏感字(段),以确定该文件是否包含敏感内容,这里最大的难点有两个,一是如何定义完整的、敏感程度准确的规则,如何做到1)不影响业务、2)不漏报、3)不误报,是对企业安全运维人员的巨大考验;二是和其他传统网络安全产品一样的相关规则的系统管理问题。
既然DLP是企业安全市场的刚需,又有近二十年的发展历史(对美国欧洲而言,国内还是在春秋战国时期),为什么市场上还是没有完美的DLP解决方案或产品出现呢?国内企业如何从欧美企业实施的DLP案例里取得真经、少走弯路呢?实际上DLP本身的内容扫描和敏感字匹配的技术已近炉火纯青之境界,以下几点因素应该是目前企业DLP所处困境的根源所在:
1、DLP产品需要客户预先定义复杂的敏感匹配规则,而客户定义好这个规则的前提是对企业网络上的数据有非常清晰的了解,按当下时髦的术语就是有很好的数据梳理。并且对使用这些数据的业务也有所了解,对于现在绝大多数企业的网络安全运维人员来说,没有企业决策层和业务团队的鼎力支持和配合,没有时间和资源的大量投入,这个清晰了解企业数据和相关业务的前提基本上是一个不可能完成的任务。
2、目前的DLP产品和其他传统网络安全产品一样,都是应对单个事件(single event)的产品,只是在网络上的文件内容匹配到预先定义的敏感数据规则那一时刻产生预警或阻断的动作,这种单个事件的处理方式往往因为缺乏上下文的关联分析而产生大量误报(False alert)或阻断正常的业务。
3、DLP产品在控制维度上比较单一,定义规则和数据(匹配上敏感规则)IP相关,最多再加一个时间点,这对于特定业务场景定义准确的DLP匹配规则往往显得捉襟见肘。
4、目前DLP所遇困境最关键的一点,企业的数据不是静止不变而是有生命周期的,在这个周期里数据的敏感度不断变化,新数据随着企业业务的进行每天层出不穷。如何为敏感度变化的已有数据和新出现的数据定义并实时调整匹配规则,在当前企业安全文化和技术体系下,企业网络安全人员能够做好DLP规则实时调整优化,基本上就是痴人说梦。
虽然目前DLP技术看似走到了死胡同,但并不是一个无解之局。他山之石,可以攻玉,最近几年网络安全在其他领域的创新为DLP带来了涅槃之机,大数据分析、态势感知、UEBA等技术的结合使用都使得NG DLP呼之欲出:
1、企业业务每天都在产生新的数据,数据的敏感度也在随时变化。因为企业数据不是静止状态,而是有其生命周期,所以对数据动态的监控就至关重要,需要有一个“无规则、无死角”对企业网上流转数据的全方位监控并高效呈现的工具。这样企业网络安全运维人员就能够针对性地与业务人员进行敏感性讨论,使得实时优化调整DLP匹配规则成为可能。
2、传统的DLP定义匹配规则时考虑的维度太少,使得应对复杂场景的合理规则无法定义,下一代的DLP产品通过对企业内网上多个维度的实体1)画像并实时更新、2)建立实体画像间关联关系、3)学习实体网上行为等技术手段,为企业提供很多场景下的定义复杂规则的可能。譬如:提供更完整的敏感(好的:知识产权;坏的:病毒/恶意代码)数据溯源证据链、资产管理保护、行为异常分析等等。
3、发展到今天,企业需要的是一个完整的数据安全解决方案,目前的DLP产品预先定义规则,是一个single event产品,只管当下,缺乏分析功能;而审计产品都是一种事后被动的查找过程,无法满足企业及时主动发现的需求。譬如满足GDPR提出的企业如果能够72小时内发现并上报数据泄露事故可免职的需求。下一代的DLP产品一定能够通过采用AI机器学习技术在时间轴上做数据行为的预测监控分析,主动及时发现异常行为。总之,力图把数据泄露的发现变被动为主动,满足及时发现并处理的需求。
我们有理由相信,下一代DLP能够真正成为为企业数据安全保驾护航的坚强之盾,具有“审计过去,监视现在,预测未来”的功能是NG DLP与传统DLP的分水岭!
关于全息网御:全息网御科技融合NG-DLP、UEBA、NG-SIEM、CASB四项先进技术,结合机器学习(人工智能),发现并实时重构网络中不可见的”用户-设备-数据”互动关系,推出以用户行为为核心的信息安全风险感知平台,为企业的信息安全管理提供无感知、无死角的智能追溯系统,高效精准的审计过去、监控现在、防患未来,极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。