防止数据丢失'ts

数据丢失防护工具可提供强大的安全功能-如果正确使用

数据丢失防护(DLP)工具也称为数据泄漏预防或内容监视和筛选(CMF)工具,旨在防止无意或有意暴露敏感的企业信息。根据咨询公司Gartner的说法,这是通过识别内容,跟踪活动并可能阻止敏感数据移动来实现的。当Jack记帐试图通过电子邮件将客户记录发送到其家用PC或将数据复制到USB驱动器时,DLP软件可以警告Jack和/或停止操作。

Gartner表示,这个市场从2006年的5,000万美元增长到2007年的1.5亿美元,增长了两倍,提供了以下功能,作为数据丢失防护软件的基本要求:

也看了 2011 DLP执行指南,一个4pp的PDF清楚地阐明了防止数据丢失的基础[需要CSO内部人员注册]

对包括电子邮件和其他协议在内的网络流量执行内容感知的深度数据包检查。

跟踪完整的会话而不是单个数据包进行分析。

除了简单的关键字匹配,还可以使用统计和语言分析技术进行检测(例如,高级正则表达式,文档指纹识别或机器学习)。

根据已建立的规则或策略检测,阻止或控制特定内容的使用(例如,保存,打印或转发)。

监视网络流量中的电子邮件流量和其他渠道/协议(HTTP,IM,FTP),并在单个产品中使用单个管理界面跨多个渠道进行分析。

至少阻止通过电子邮件违反策略。

这些工具可以分为三类:基于网络的工具,位于网络的边缘,监视通过网络的数据流,在某些情况下可以过滤或阻止数据移动。基于主机的工具,需要在单个PC和服务器上安装代理,这些工具监视这些系统上的静态数据,并在某些情况下阻止或控制用户可以执行的操作;以及结合了这两种功能的系统。 Gartner说,最终,工具不仅会监视而且会阻止网络和主机上任何可从中窃取数据的通道,包括操作系统内和应用程序之间的网络接口(包括网络接口)。这需要与服务器和台式机进行更深入的集成。例如,在本地主机上运行的代理可以阻止某人通过USB驱动器下载敏感数据,进行打印并走出大门。 Gartner说,尽管供应商在这一领域有重大计划,但产品供应不太可能在2007年上市。

Gartner说,其客户发现基于主机的数据丢失防护系统更难管理,检测功能也较复杂。 Gartner研究副总裁Rich Mogull表示:“如果有人带着一台笔记本电脑(没有安装代理)进入网络,他们就可以访问文件,而您永远不会洞悉该活动。” 。他认为基于主机的功能至关重要,但是认为两种方法的组合是理想的。他说:“您应该有一个管理控制台,用于数据发现,运动中的数据,使用中的数据以及端点系统上的数据。”

评估和实施数据丢失防护

根据公民社会组织和分析师的意见,以下是评估和使用DLP工具的重要事项:

请考虑网络需求。据Gartner称,几乎所有DLP产品都声称支持千兆以太网速度,而不会丢失数据包或显着的延迟。但是,该公司表示,在生产环境中,几乎没有产品能够以千兆位速度运行。这就是Gartner所说的公司在相关的持续带宽方面的需求。

大:200M bps至500M bps

中:50M bps至200M bps

小:小于50M bps

当Digital Insight安全与合规性副总裁Scott Mackelprang实施Tablus的工具时,他与网络管理员密切合作。他说:“塔布卢斯通过网络派出代理商,因此他们担心我们会破坏它。” “我建议人们先让网络人员参与进来,以便他们可以解决这些担忧。”他说,Tablus以保护网络的方式控制代理的移动。一定要弄清楚您要保护的内容。 Enterprise Strategy Group高级分析师Jon Oltsik表示:“从某种需求入手,您要回答的一些问题很重要。”例如,您要查找违反访问控制,意外数据泄露的问题还是要加强政策?您主要是为了保护私有数据(例如可识别个人身份的数据)以符合政府法规,还是需要保护可能暴露于竞争优势中的知识产权?

Oltsik说,在决定哪种工具最适合您之前,请在您自己的环境中试用DLP工具。 “每个人都在谈论他们的检测方法如何比其他方法更好,但是如果没有几个规则,就无法在环境,数据中并排运行几种产品的情况下,就无法判断哪种方法效果更好。”查看哪些警报最多,哪些警报的误报率最高。 Oltsik说:“如果您不这样做,那么无论罐装演示的质量如何,您实际上都在冒险。”

不要购买防止数据丢失的产品来防止恶意活动,例如数据盗窃。根据Gartner的说法,这些工具实际上更擅长于帮助公司识别不良的安全做法和意外的数据泄漏。 Gartner说,随着该技术向基于主机和网络的组合产品发展,它将更加直接地应对恶意攻击问题。但是当前的系统只会停止最基本的犯罪活动。

Gartner指出,例如,仅网络功能就无法检测未通过DLP网络传感器之一传递的敏感数据,而基于主机的系统无法检测非受管系统上的任何数据。 Mogull说:“他们会阻止那些消息灵通,笨拙的坏人,但不会阻止那些知道工具到位的人。”

不要通过端点代理使USB阻止程序和DLP产品之间产生混淆,它们使您能够防止敏感数据被复制到USB设备上。 Gartner认为,原始的USB阻止程序缺乏内容意识。也就是说,它们完全阻止复制,而不仅仅是特定数据的复制。另一方面,Centennial,Verdasys和Safend等公司都提供基于内容决策的产品。例如,他们将禁止从某些服务器,某些文件类型或包含社会安全号码的文件中复制文件。

不要急于阻止。越来越多的产品正在出现,它们可以阻止用户对敏感数据执行某些操作,例如复制,打印或发送电子邮件。但是,像WebEx Communications首席安全官Randy Barr这样的用户希望在用户执行违反安全策略的操作时收到通知,而不是立即阻止他们。这是因为,当他两年前从Reconnex部署基于网络的工具时,他发现80%的违规事件是由于员工不了解监管规则或公司政策而发生的。

例如,某些员工想在家中工作时,会将带有敏感数据的文件通过Web通过电子邮件发送到其家用计算机。在一种情况下,休假的雇员通过即时消息传递会话向同事透露了他的用户ID和密码,以便同事可以在他的个人信息上获取一些所需的信息。巴尔说:“它有助于我们发现违规情况,因此我们可以进行一些快速的意识培训。”

Barr还担心阻塞会阻碍某些员工执行基本的工作任务。他说:“我不想阻碍他们,我想审核他们在做什么。” “我想要一个可以提高员工意识并向我发出警报的工具。”

此外,他说,封锁实际上可能会鼓励从事犯罪活动的人寻找其他手段来传输数据。他说:“如果他们真的很恶意,他们可能会找到其他方式来获取数据,例如将其存储在iPhone,iPod或USB上。”他研究了阻止将数据复制到外部驱动器的工具,但就目前而言,他宁愿受到警告,并让该工具告诉用户这违反了政策。

他说:“了解网络活动是了解如何改进整体安全程序的第一步。” “盲目地在桌面上安装预防措施并不能为您提供所需的可视性。”

务必告知您的员工他们正在受到监视。这不仅使员工知道您的能力,而且还教会他们保护敏感数据所需采取的措施。部署了Vericept的工具后,佐治亚州迪卡尔布县DeKalb医疗中心信息安全管理员Sharon Finney表示,该医疗机构向员工透露,它完全监控内部和外部穿越网络的所有数据,甚至需要员工签署表格说他们理解这一点。

请确保该工具具有内置功能,以检测对您最重要的内容。四年前Finney寻求DLP工具时,主要动机是遵守HIPAA并监视员工的Web使用。她说:“我们只允许个人有限地使用Web,因此就人们张贴到外部网站或附加到电子邮件的内容而言,我们承担了一定的风险。”这就是Finney选择能够监视Web使用并具有内置HIPAA规则的工具的原因。

不要考虑静止数据。 Mackelprang决定部署Tablus的主要原因不是看到敏感数据流经网络或企业外部,而是看到人们桌面上的数据。他说:“当人们甚至不知道那里有数据时,暴露的数据中有很大一部分是在被盗的笔记本电脑上。” “这是不好的过程,不是故意的。”

必须找到在数据处理方面具有很大灵活性的工具。 Finney计划在DeKalb开始使用Verdasys工具的阻止功能,但她还希望使用其自遵从功能。当该工具标记敏感数据时,它将为用户提供他们可以采取的措施的选项,例如加密数据。 “有些人认为封锁是破坏性的,但是我们允许用户执行他们认为需要对信息进行处理的功能。”

Mackelprang也对Tablus允许他隔离数据,加密,隔离和加密数据,或者只是警告他有数据泄露这一事实感到满意。 “如果您刚刚起步,可能希望它提醒您一段时间,直到您教育用户更改流程为止,然后,在敏锐地了解用户的情况之后,如果有明显的违规行为,您可以进行打击, “ 他说。 “它使工具能够随着成熟而增长。”

玛丽·布兰德尔(Mary Brandel)是自由作家。通过[email protected]将反馈发送给编辑Derek Slater。

版权© 2007 IDG通讯,Inc.