关于dlp数据防泄漏我想说应对数据泄露 安全体系建设是王道

自2016年大规模数据泄露事件集中爆发以来，2017年的数据泄露形式仍然不容乐观。

去年，网络门户网站巨头雅虎共有15亿用户账户信息遭到黑客入侵，成为史上最大规模公开的“数据泄露”事件的主角。美国民主党全国委员会的一个职员邮箱被入侵，泄露了希拉里竞选团队内部邮件，使得特朗普最终赢得美国大选的过程中，可以说是“功劳”的邮政事件、所有企业高管和各国政客敲响了内部威胁警钟。

企业内敏感数据流链长，攻击范围广，尤其是有众多员工、承包商和第三方供应商参与的世界500强企业，数据泄漏很难得到保护。再加上行业管理机关的罚款影响，企业一旦发生，将遭受巨大的经济损失。

数据泄露事件发生后，企业和用户对事故本身的关注也不完全一致。与迫切需要信息详细信息和相应补偿措施的用户相比，拥有大量对客户或业务敏感的数据的企业更加关注公司为弥补此次数据泄露事件的负面影响而需要付出的成本以及此后安全能力建设的方向。

去年6月，Ponemon Institute和IBM联合发表，对全球12个国家、383家企业对数据泄露企业进行的数据泄露成本调查，提出了以下三个主要观点：

1.医疗行业每项记录的平均流出成本最高

受到医疗、教育、金融等行业严格限制的主要行业，平均每记录流出成本远高于每行业数据流出158美元的总体平均水平。

另外，金融、医疗、服务等主要行业由于数据泄露，客户流失的可能性更大，客户流出量越大，平均每记录流出成本也越高。

2.网络钓鱼等外部犯罪和内部威胁构成的恶意/犯罪攻击成为数据泄露事件的主要原因

在所有接受调查的企业中，数据泄露的根本原因中，48%是恶意/犯罪攻击，包括恶意软件感染、网络钓鱼、社会工程、SQL注入、内部人员犯罪等，25%是人为错误(内部员工或承包商的失误)，27%是系统故障(IT和业务中恶意/犯罪攻击造成的数据泄露)。

另一方面，调查结果显示，恶意/犯罪攻击造成的所有国家单一记录的平均流出成本高于人为错误或系统故障造成的数据泄露事件。

3.应对事件、共享威胁信息等保护措施可以有效地减少数据泄露成本

通过专业的事件响应团队、敏感数据的广泛加密、员工安全培训、威胁信息共享等保护措施，有效降低数据泄露事件发生后每个记录的平均泄露成本。另一方面，第三方参与、将大规模数据迁移到云等操作会增加平均流出成本。尤其是2015年以来，数据泄露预防(DLP)市场新的高速增长原因对降低数据泄露成本产生了积极影响。

从上面的调查结果可以看出，如何有效地预防和防止数据泄露事件的发生，以及泄露事件发生后的快速反应，已成为许多行业巨头IT/安全部门工作中的头等大事。但是，如果只部署用户行为分析(UBA)、企业数据泄露预防(DLP)等安全产品，想完全消除数据泄露的可能性是不现实的。所有安全产品都有其独特的适应方案和限制，只有将适当的安全功能集成到完善的安全体系结构中，进行重叠创新和系统性的安全建设，才能获得真正的保护效果。

必须认识到，无论是通过钓鱼、社会工程等手段的外部渗透，还是通过内部人员的“故意行为”，对企业管理层来说，结果都是一样的。然后诉诸技术手段后，相应的保护思路也要一致。(威廉莎士比亚、温斯顿、科技名言)企业为了防止数据泄露，必须用“特权账户的权限控制”和“多方面的发现和快速反应”两条腿走路。

斯诺登事件的本质是特权账户权限控制不严格

2013年，爱德华斯诺登(Edward Snordon)作为美国国家安全局(NSA)的军事承包商员工，四年来一直对通过NSA向承包商开放的数据库访问权限没有严格的控制，在不触及NSA自身业务系统安全标准的情况下，复制并下载了大量NSA内部机密文件。在斯诺登选择曝光之前，国安局对此事一无所知。

斯诺登事件曝光后，NSA系统地升级了所有安全措施，但企业安全和高级管理层必须认识到，内部威胁的预防不是防止滥用权限，而是找出“坏人”，这是最重要的。由于内部账户权限管理的疏忽，承包商等内部人员在数据泄露方面可能带来的安全威胁非常巨大。

另外需要注意的一个细节是斯诺登作为系统管理员最多可以访问20万份NSA的最高机密文件。因此，从权限账户的角度监控内部人员和权限是权限管理的首要任务。

以IBM的权限帐户管理平台(PIM)为例，它类似于权限帐户凭据管理平台，所有对业务敏感的应用程序系统的访问都需要通过该平台进行凭据检出。员工获得访问凭据后，无法获得权限帐户的密码，因此，业务系统帐户共享等管理不严格，可以防止企业内部出现更多泄露风险。与此同时，该平台可以对特定敏感应用程序进行全屏录制，并记录原始注册人、系统帐户、登录设备等信息，便于事后跟踪和履行责任。

当然，如果授权账户管理产品能够与其他安全产品(如数据库安全产品)很好地合作和联系，那么如果能够解决问题，而不是单纯利用“仓鼠”等产品的特定功能，就会有112的保护效果。

例如，数据库安全产品(Guardium)可以与权限帐户管理类一起保护核心机密数据。可以将受限访问权限映射到允许的SQL语句或数据库表内容。对于敏感数据，可以阻止或阻止关于可疑活动的警报。

授权帐户管理与数据库安全的协调成为将身份和访问权限、访问过程和事后跟踪功能相结合的全线监控系统。

如果任何数据防泄漏产品都不系统化，就等于“鸡肋”

网络钓鱼攻击，特别是与社会工程手段的结合非常特殊，通过传统的技术手段很难预防。对于普通民众来说，可以通过骚扰短信中的钓鱼链接来实现通信和网络诈骗。对于企业高层或处于特殊位置的敏感人员(如财务)，捕鲸邮件(商业电子邮件诈骗)更具欺骗性。如果人们不小心落入钓鱼攻击的陷阱，就可以很容易地获得所有的账号和密码。传统上，仅通过访问权限控制防止数据泄漏不再有意义。

企业除了需要在终端设备和邮件网关上投入安全成本防止钓鱼外，还需要找出隐藏在正常业务流程中的异常行为，检查最终核心数据的泄露出口外，目前大多数企业都是数据泄露的主要保护思路。(威廉莎士比亚，《北方司法》前情提要)。

但是对甲来说，实际的安全保护效果并不令人满意。至少不能像各UBA、DLP企业的售前商所说的那样神奇腐败。单凭UBA抓住小偷或DLP将敏感数据“锁在”企业内部是不现实的。

DLP本质上是一种基于敏感词的过滤器，利用自然语言处理识别文档，通过机器学习对各种行业的敏感数据特征建模。DLP可以提供对数据的内容和文档特征级别的理解能力，从而提供更多的视野，但存在用户和权限不敏感、缺乏对数据泄露前流程的时间系列相关性和分析能力、无法紧密符合所有行业业务特征等问题。(莎士比亚，Northern Exposure)。

防止数据泄露产品所依赖的安全规则/政策必须确保正常的工作流程不会受阻，并防止安全人员被错误报道。那么，依靠大数据算法和机器学习的这一安全标准也必须与企业理想标准保持距离。(大卫亚设，Northern Exposure(美国电视)，安全名言)因此，目前企业防止数据泄露的产品一定会被绕过。

以IBM QRadar关联的安全系统为例，通过系统化的安全部署，可以不断扩展新功能，弥补个别产品的缺陷和缺点。

结合数据库安全和权限帐户管理，参与日志/网络流量分析，通过日志/网络流量分析处理进行联合监控，可以发现核心数据库访问后一段时间内的异常数据泄露行为。此外，如果能够集成网络范围内的深度数据包检测功能，并结合第三方威胁信息，则可以警告或阻止钓鱼链接/附件和已知钓鱼站点的通信行为，从而获得更完善的系统保护效果。此外，用户行为分析功能在一定程度上有助于查找可疑对象和执行目标监控。但是，在核心“威胁发现”功能中，必须依靠日志/网络流量分析产品本身强大的相关性和分析判断能力。

当然，这需要企业本身在特定敏感应用程序的开发阶段设计权限管理措施，同时通过日志全面记录用户行为。但是目前的情况是，企业一般在开发阶段缺乏对安全的认识。没有相关行业标准的强制要求，很难实施安全开发，甚至是展开声明周期的安全管理。这使得在系统级别对用户行为进行风险评估变得非常困难。

回到当今非常热门的企业数据泄露预防产品，虽然目前商用DLP在安全能力方面存在诸多不足和瓶颈，但终端和内容级别提供的“愿景”对于专门针对网络级别的日志分析产品来说也是必不可少的。通过将本地商业DLP产品集成到整体安全体系结构中，可以补充对文档修改、发送和接收邮件、外部移动存储设备等当前不足的文档特征的理解(包括修改文档、发送和接收邮件、外部移动存储设备等敏感任务)。此外，日志/网络流量分析本身的网络级别分析搜索和关联功能也是本地DLP搜索功能的补充。例如，如果用户分别触发敏感数据库访问和DLP的中间警报，则关联分析后安全事件级别将迅速提高，安全人员必须优先处理。

除了以日志/网络流量分析为中心的安全系统提供的搜索功能外，专业的事件响应对降低企业数据泄露成本也起着重要作用。除了配备或外包专业的响应团队外，自动化响应过程控制也很重要。与安全站前面介绍的Resilient Systems一样，该自动化事件响应平台(IRP)收集流程、人员和技术，围绕安全事件细分响应流程，然后自动监控进度，并与企业现有ITSM无缝对接。事件响应平台如果能与安全系统的“大脑”完全集成，实现事后快速响应，总体安全功能将得到显着提高。

摘要

总之，在安全能力建设方面盲目地进行“反复创新”是不可取的。企业首先要做的是建立框架，建立体系，并在此框架基础上不断扩展，以应对不断出现的最新安全威胁。

特别是为了防止数据泄露，DLP和UBA产品在以权限账户、数据库保护、智能分析和紧急响应为核心的安全系统和“能力”和“观点”上形成积极的互补，并进行主动(警告)。抑制对内部人员完善的安全机制)、发现和阻止事件、应对事件和事后收集和跟踪证据等四个方面具有更严格、更强的权限控制和威胁搜索功能的安全系统，可以有效地减少企业在数据泄露事件中承担的损失。

-

在订阅号上长按公众号就可以“顶”