俗話說，外行看熱鬧，內(nèi)行看門道。隨著國家網(wǎng)絡(luò)安全法及一系法規(guī)制度陸續(xù)推出，企業(yè)網(wǎng)絡(luò)安全成為近年IT領(lǐng)域風(fēng)口浪尖上的話題，與其相關(guān)的資本、市場和技術(shù)信息讓人目不暇接。但是企業(yè)信息安全從業(yè)人士深刻體會(huì)到這次熱潮中一個(gè)非常大的亮點(diǎn)：對企業(yè)數(shù)據(jù)資產(chǎn)的保護(hù)，即數(shù)據(jù)安全成為企業(yè)信息安全的核心。

雖然國內(nèi)企業(yè)信息安全已經(jīng)過二十多年的高速發(fā)展，但思維還停留在防火墻、入侵檢測、防病毒等傳統(tǒng)的、被動(dòng)的企業(yè)邊界南北防護(hù)手段上，其核心目的仍然是防止黑客從外向內(nèi)進(jìn)行病毒、蠕蟲或者木馬等的攻擊行為。據(jù)國家計(jì)算機(jī)信息安全測評(píng)中心等權(quán)威機(jī)構(gòu)提供的數(shù)據(jù)顯示，國內(nèi)企事業(yè)單位內(nèi)部重要機(jī)密通過網(wǎng)絡(luò)泄密而造成重大損失的事件中，只有1%是被黑客竊取造成的，其余97%都是由內(nèi)部員工有意或無意泄露而造成的。因此，企業(yè)網(wǎng)絡(luò)安全的重心必然會(huì)從傳統(tǒng)的由外到內(nèi)的攻防而轉(zhuǎn)向由內(nèi)到外的數(shù)據(jù)防泄露。

數(shù)據(jù)防泄漏解決方案在國內(nèi)并不是空白之地，數(shù)據(jù)防泄漏產(chǎn)品已上市很長時(shí)間，其功能滿足企業(yè)文件數(shù)據(jù)加解密需求，其技術(shù)是利用加密解決數(shù)據(jù)傳輸?shù)陌踩珕栴}，利用認(rèn)證解決訪問者權(quán)限問題。究其原因，是因?yàn)閲鴥?nèi)企業(yè)仍專注對人或設(shè)備的安全進(jìn)行管理，并沒有把企業(yè)數(shù)據(jù)做為安全的重點(diǎn)。目前，國內(nèi)最典型、最成熟的數(shù)據(jù)安全案例，是很多大型機(jī)構(gòu)都正在使用的企業(yè)郵件系統(tǒng)加密解決方案，該類方案的實(shí)施結(jié)果是員工需要經(jīng)常在“降低業(yè)務(wù)效率（郵件因?yàn)楸徊贿m宜的安全規(guī)則阻斷等）”和“發(fā)生安全事故（繞過這個(gè)加解密路徑）”兩者之間做出選擇。目前這波企業(yè)網(wǎng)絡(luò)安全熱潮中雖然數(shù)據(jù)成為中心，但一個(gè)令人擔(dān)憂的現(xiàn)象也隨之而來。數(shù)據(jù)安全法規(guī)出臺(tái)后，很多企業(yè)因?yàn)橹皼]有數(shù)據(jù)安全解決方案，現(xiàn)在為了免責(zé)倉促上馬安全方案，在市場上缺乏指導(dǎo)理念和合適的數(shù)據(jù)安全方案的大前提下，往往又會(huì)選擇類似的數(shù)據(jù)文件加解密方案，重蹈別人的覆轍。

因?yàn)槊绹髽I(yè)文化中對知識(shí)產(chǎn)權(quán)和個(gè)人隱私非常重視，所以數(shù)據(jù)防泄漏一直就是企業(yè)網(wǎng)絡(luò)安全的重中之重，CIA（Confidentiality， Integrity， Availability）理論和4A（Account，Authorization，Authentication， Audit）體系從本質(zhì)上講都是圍繞著企業(yè)的數(shù)據(jù)安全做文章。而DLP做為企業(yè)網(wǎng)絡(luò)安全里面的一個(gè)獨(dú)立垂直市場，從一開始就和終端EDR、網(wǎng)絡(luò)數(shù)據(jù)加解密/認(rèn)證等技術(shù)在不同的軌道上發(fā)展。在美國，2003/4兩年是DLP技術(shù)的爆發(fā)時(shí)期，從那時(shí)起，DLP技術(shù)產(chǎn)品一直在不停地演進(jìn)。直到現(xiàn)在，市場上雖然DLP解決方案一直是剛需，技術(shù)也層出不窮地涌現(xiàn)，卻一直沒有非常完美的產(chǎn)品出現(xiàn)。

DLP技術(shù)根據(jù)其部署位置可分為終端DLP、網(wǎng)絡(luò)DLP和服務(wù)器端（存儲(chǔ)）DLP，根據(jù)可能的泄露載體又可分為終端DLP、郵件DLP和WEB DLP等。現(xiàn)代DLP產(chǎn)品核心技術(shù)包括以下幾點(diǎn)：

01

DCI（Deep Content Inspection）：不同于網(wǎng)絡(luò)流量分析產(chǎn)品NPM/APM里面用到的DFI和DPI技術(shù)，只需要在網(wǎng)絡(luò)層基于包（Packet）或流（Flow）做掃描匹配，DLP是需要在內(nèi)容層面做深度掃描，匹配精確度和掃描性能是衡量技術(shù)的標(biāo)尺。

02

內(nèi)容還原：因?yàn)橐鯠CI，所以我們需要要把網(wǎng)絡(luò)中傳輸?shù)奈募暾剡€原出來，提供給DCI引擎做掃描匹配處理，這里最大的挑戰(zhàn)是必須把文件完整地還原出來，意味著無論旁路鏡像還是inline proxy都不能丟包，做到不丟包說易行難，相比較而言，DPI技術(shù)是沒有這個(gè)要求的，因?yàn)榭蛻敉鶎Υ藷o感知。

03

敏感規(guī)則定義：企業(yè)用戶需要根據(jù)自身業(yè)務(wù)的需求定義所需要匹配的敏感字典，DCI引擎掃描還原出的傳輸文件，匹配該敏感字典內(nèi)的敏感字（段），以確定該文件是否包含敏感內(nèi)容，這里最大的難點(diǎn)有兩個(gè)，一是如何定義完整的、敏感程度準(zhǔn)確的規(guī)則，如何做到1）不影響業(yè)務(wù)、2）不漏報(bào)、3）不誤報(bào)，是對企業(yè)安全運(yùn)維人員的巨大考驗(yàn)；二是和其他傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品一樣的相關(guān)規(guī)則的系統(tǒng)管理問題。

既然DLP是企業(yè)安全市場的剛需，又有近二十年的發(fā)展歷史（指美國歐洲而言，國內(nèi)還是在春秋戰(zhàn)國時(shí)期），為什么市場上還是沒有完美的DLP解決方案或產(chǎn)品出現(xiàn)呢？國內(nèi)企業(yè)如何從歐美企業(yè)實(shí)施的DLP案例里取得真經(jīng)、少走彎路呢？實(shí)際上DLP本身的內(nèi)容掃描和敏感字匹配的技術(shù)已近爐火純青之境界，以下幾點(diǎn)因素應(yīng)該是目前企業(yè)DLP所處困境的根源所在：

01

DLP產(chǎn)品需要客戶預(yù)先定義復(fù)雜的敏感匹配規(guī)則，而客戶定義好這個(gè)規(guī)則的前提是對企業(yè)網(wǎng)絡(luò)上的數(shù)據(jù)有非常清晰的了解，按當(dāng)下時(shí)髦的術(shù)語就是有很好的數(shù)據(jù)梳理。并且對使用這些數(shù)據(jù)的業(yè)務(wù)也有所了解，對于現(xiàn)在絕大多數(shù)企業(yè)的網(wǎng)絡(luò)安全運(yùn)維人員來說，沒有企業(yè)決策層和業(yè)務(wù)團(tuán)隊(duì)的鼎力支持和配合，沒有時(shí)間和資源的大量投入，這個(gè)清晰了解企業(yè)數(shù)據(jù)和相關(guān)業(yè)務(wù)的前提基本上是一個(gè)不可能完成的任務(wù)。

02

目前的DLP產(chǎn)品和其他傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品一樣，都是應(yīng)對單個(gè)事件（single event）的產(chǎn)品，只是在網(wǎng)絡(luò)上的文件內(nèi)容匹配到預(yù)先定義的敏感數(shù)據(jù)規(guī)則那一時(shí)刻產(chǎn)生預(yù)警或阻斷的動(dòng)作，這種單個(gè)事件的處理方式往往因?yàn)槿狈ι舷挛牡年P(guān)聯(lián)分析而產(chǎn)生大量誤報(bào)（False Alert）或阻斷正常的業(yè)務(wù)。

03

DLP產(chǎn)品在控制維度上比較單一，定義規(guī)則和數(shù)據(jù)（匹配上敏感規(guī)則）IP相關(guān)，最多再加一個(gè)時(shí)間點(diǎn)，這對于特定業(yè)務(wù)場景定義準(zhǔn)確的DLP匹配規(guī)則往往顯得捉襟見肘。

04

目前DLP所遇困境最關(guān)鍵的一點(diǎn)，企業(yè)的數(shù)據(jù)不是靜止不變而是有生命周期的，在這個(gè)周期里數(shù)據(jù)的敏感度不斷變化，新數(shù)據(jù)隨著企業(yè)業(yè)務(wù)的進(jìn)行每天層出不窮。如何為敏感度變化的已有數(shù)據(jù)和新出現(xiàn)的數(shù)據(jù)定義并實(shí)時(shí)調(diào)整匹配規(guī)則，在當(dāng)前企業(yè)安全文化和技術(shù)體系下，企業(yè)網(wǎng)絡(luò)安全人員能夠做好DLP規(guī)則實(shí)時(shí)調(diào)整優(yōu)化，基本上就是癡人說夢。

雖然目前DLP技術(shù)看似走到了死胡同，但并不是一個(gè)無解之局。他山之石，可以攻玉，最近幾年網(wǎng)絡(luò)安全在其他領(lǐng)域的創(chuàng)新為DLP帶來了涅槃之機(jī)，大數(shù)據(jù)分析、態(tài)勢感知、UEBA等技術(shù)的結(jié)合使用都使得NG DLP呼之欲出：

01

企業(yè)業(yè)務(wù)每天都在產(chǎn)生新的數(shù)據(jù)，數(shù)據(jù)的敏感度也在隨時(shí)變化。因?yàn)槠髽I(yè)數(shù)據(jù)不是靜止?fàn)顟B(tài)，而是有其生命周期，所以對數(shù)據(jù)動(dòng)態(tài)的監(jiān)控就至關(guān)重要，需要有一個(gè)“無規(guī)則、無死角”對企業(yè)網(wǎng)上流轉(zhuǎn)數(shù)據(jù)的全方位監(jiān)控并高效呈現(xiàn)的工具。這樣企業(yè)網(wǎng)絡(luò)安全運(yùn)維人員就能夠針對性地與業(yè)務(wù)人員進(jìn)行敏感性討論，使得實(shí)時(shí)優(yōu)化調(diào)整DLP匹配規(guī)則成為可能。

02

傳統(tǒng)的DLP定義匹配規(guī)則時(shí)考慮的維度太少，使得應(yīng)對復(fù)雜場景的合理規(guī)則無法定義，下一代的DLP產(chǎn)品通過對企業(yè)內(nèi)網(wǎng)上多個(gè)維度的實(shí)體1）畫像并實(shí)時(shí)更新、2）建立實(shí)體畫像間關(guān)聯(lián)關(guān)系、3）學(xué)習(xí)實(shí)體網(wǎng)上行為等技術(shù)手段，為企業(yè)提供很多場景下的定義復(fù)雜規(guī)則的可能。譬如：提供更完整的敏感（好的：知識(shí)產(chǎn)權(quán)；壞的：病毒/惡意代碼）數(shù)據(jù)溯源證據(jù)鏈、資產(chǎn)管理保護(hù)、行為異常分析等等。

03

發(fā)展到今天，企業(yè)需要的是一個(gè)完整的數(shù)據(jù)安全解決方案，目前的DLP產(chǎn)品預(yù)先定義規(guī)則，是一個(gè)single event產(chǎn)品，只管當(dāng)下，缺乏分析功能；而審計(jì)產(chǎn)品都是一種事后被動(dòng)的查找過程，無法滿足企業(yè)及時(shí)主動(dòng)發(fā)現(xiàn)的需求。譬如滿足GDPR提出的企業(yè)如果能夠72小時(shí)內(nèi)發(fā)現(xiàn)并上報(bào)數(shù)據(jù)泄露事故可免職的需求。下一代的DLP產(chǎn)品一定能夠通過采用AI機(jī)器學(xué)習(xí)技術(shù)在時(shí)間軸上做數(shù)據(jù)行為的預(yù)測監(jiān)控分析，主動(dòng)及時(shí)發(fā)現(xiàn)異常行為。總之，力圖把數(shù)據(jù)泄露的發(fā)現(xiàn)變被動(dòng)為主動(dòng)，滿足及時(shí)發(fā)現(xiàn)并處理的需求。

我們有理由相信，下一代DLP能夠真正成為為企業(yè)數(shù)據(jù)安全保駕護(hù)航的堅(jiān)強(qiáng)之盾，具有“審計(jì)過去，監(jiān)視現(xiàn)在，預(yù)測未來”的功能是NG DLP與傳統(tǒng)DLP的分水嶺！

關(guān)于全息網(wǎng)御：全息網(wǎng)御科技融合NG-DLP、UEBA、NG-SIEM、CASB四項(xiàng)先進(jìn)技術(shù)，結(jié)合機(jī)器學(xué)習(xí)（人工智能），發(fā)現(xiàn)并實(shí)時(shí)重構(gòu)網(wǎng)絡(luò)中不可見的”用戶-設(shè)備-數(shù)據(jù)”互動(dòng)關(guān)系，推出以用戶行為為核心的信息安全風(fēng)險(xiǎn)感知平臺(tái)，為企業(yè)的信息安全管理提供無感知、無死角的智能追溯系統(tǒng)，高效精準(zhǔn)的審計(jì)過去、監(jiān)控現(xiàn)在、防患未來，極大提高IT安全運(yùn)維和安全人員響應(yīng)事故、抓取證據(jù)鏈、追責(zé)去責(zé)無責(zé)、恢復(fù)IT系統(tǒng)的能力和效率。

總結(jié)

以上是生活随笔為你收集整理的DLP之来世今生的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。