数据泄漏防御DLP的确切定义

 

数据泄漏防御DLP的确切定义

 

数据安全中的数据泄漏防御(DLP)是个常被误解的术语。由于这个领域有着很多的需求，很多公司自夸自己拥有DLP功能，其实它们根本就和DLP扯不上边。分析师也常被搞糊涂了。我们觉得很有必要对DLP进行定义，只有定义清楚了，其余的东西就很一目了然。

DLP 是一个实时地对数据进行分类，并对分类的数据强制实施事先制定的安全策略。数据可能在传输途中，如正向互联网、移动存储介质或打印机上传送，也可能安静地呆在一个某个地方。

为了防止数据泄密(或泄漏)，系统必须覆盖可能的外泄渠道。一个系统可以识别几个这样的渠道。强制措施依赖于很多条件，但是更依赖于使用的渠道、源、目的地和违规的严重程度，即使数据被加密过。关于强制措施，参见附件A，在那里有更多的关于强制措施的讨论。

 

一、6个DLP用例

看了下面的DLP例子，你会觉得对所有公司DLP是必备的系统：

1、控制商业流程。所有公司都已制定了数据安全策略。然而，不是所有公司都有实施这些安全策略的方法，特别是那些将敏感数据往不值得信任的用户手里发送的公司。DLP系统将对以下问题作出详细的解答：

i. 谁在发送敏感数据？

ii.  这些数据往哪里发？

iii.  什么敏感数据正在往外发？

iv.  使用什么协议/渠道/端口？

v.  违反了哪些安全策略？

vi.  每个违规到什么程度？

2. 合规。数据安全法规已经讨论很多年了。参议院司法委员会刚刚批准了数据发布法案，这个法案要求商业和政府机构在发布涉及敏感个人身份信息时要征得本人同意。美国几乎所有的州都有相似的规定。

另外，对于垂直市场上也有规定。例如，HIPPA、PCI、GLBA、SOX等。这些法规需要三个步骤来遵从：

I．对数据进行分类；

II． 定义安全策略；

III． 实施该策略

DLP系统对流向外部（互联网和移动存储介质）的数据，实时完成以上三个步骤。籍此，安全办公室能够担当得起数据泄漏合规性的角色。

3. 加密。加密是一些州（NV，CT）最近的要求，包含个人身份信息的电子邮件必须经过加密才能往外发送。DLP系统将这一加密过程自动化。加密是基于邮件内容和附件的内容的。

4. 严重性阻拦。一些传输的数据中包含严重的违规行为，系统将根据违规的严重程度实施阻拦。安全总比说声对不起好。严重程度是根据实际数据的门槛值确定的。一个公司可能允许2个社会安全号离开网络，然而，发出的数据中含有超过2个社会安全号，那么系统就将严重性调高，数据的传输将被阻断。

5. 加密通道的可见性和实施 – 很多公司允许员工使用Google邮件或Yahoo邮件。这些webmail系统使用HTTPS来保证用户和邮件服务器之间的传输安全。这样的传输可能包含公司的敏感信息，并可能造成严重的数据泄漏。另外，公司使用SSL将数据传到数据中心。这样的传输必须使用SSL。DLP系统将提供完全的HTTP通道的可见性，同时保证接收方也使用SSL。

6．员工的认识 –数据安全一旦违规，DLP系统能够向用户和特殊的安全人员发出警报。这样的警报增加数据安全性认识，而安全认识恰是最好的保护数据泄漏的方法。

 

二、我们要DLP做什么？

到目前为止，你已经熟悉了网络安全问题，并使用加密、防火墙、IDS和IPS来防止黑客、蠕虫、恶意代码或间谍软件，阻止它们渗透到你的防护中心。从外面看，你已经固若金汤了。不是吗？

在内部，你的电子邮件服务器可能变成一个高速公路，向外发送已分类的数据。一个黑梅可以象一个内部间谍一样危险。一个HTTP链接可以被竞争对手当成是一个管道。一个间谍软件或恶意代码可能向外部传输几百万个记录和交易，就象著名的网络心脏地带已经发生过的数据破坏一样。

从外看固若金汤，从内看信息从缝隙间流淌出去。除非你删除它，否则你不能阻止这一切。发现数据被破坏、找出事故真相和责任人，是需要很花代价的。Ponemon研究所调查了14家单位后写出了报告《丢失用户信息：一个数据泄漏事故值多少银子》，根据这份报告，每次单个泄密事故给单位造成的损失是400万美元（大约是每个客户记录140美元左右）。这家公司更新的一个调查显示，每个记录损失182美元。直接损失（外部的律师辩护费、增加的呼叫中心费用和相关的其它费用）是500万美元。关于更详细的数据泄漏损失情况，见： http://www.tech-404.com/calculator.html

一些著名的数据违规案例列于下面：

Heartland Payment Systems Inc               100 Million Records 

TJX Companies Inc                                        94 Million Records 

Visa, MasterCard, American Express     40 Million Records 

Citigroup                                                         30 Million Records 

US Department of Veteran Affairs           26.5 Million Records 

HM Revenue & Customs                                      25 Million Records 

根据Privacy Rights Clearinghouse 的报告，2005年以来，一共340,097,623个记录丢失或被盗。详见：http://www.privacyrights.org/ar/ChronDataBreaches.htm

 

三、7+1个DLP系统的实质元素

1 安全

数据安全产品本身应该增强数据保护，至少不能降低对它的要求，这一点是很显然的，所以DLP决不能将受安全保护的数据拷贝进自己的存储空间。这样的方法会导致自身的数据违规。然而不幸的是很多DLP供应商违反了这个原则。

2 完整的渠道覆盖

一个DLP解决方案必须扫描并能够阻止互联网上所有可能的数据泄漏通道（协议）；不仅局限在监听和阻止SMTP和HTTP或者某些广为人知的协议。

你也许已经阻止特定的通道如即时消息或Web Mail。你怎么知道你的系统确实能够有效地阻止这些即时消息和Web Mail呢？你不能真正知道。试着登录你的ISP Web Mail系统，看看你是否能够使用个人邮件，你可能大吃一惊。

每个企业网络使用加密协议，如VPN、安全SMTP、安全IM、FTP、HTTPS等等。内容审查也应该包括加密流量。仅仅简单加密、或局限于HTTPS，然后决定放行或不放行还是不够的。

一个DLP解决方案不应和邮件服务器或web代理绑得太死。一个原因是部署和维护的困难。另外，邮件系统或web访问配置可能不支持这种绑定。更为重要的是，这些紧藕合的产品在没有那些设备的情况下不能对流量做审查。例如，如果一个DLP产品需要和企业的邮件服务器绑定，它将不能审查内部员工使用他们私人WEB邮箱发出的电子邮件。

另外，你需要关心POP3、HTTP服务器和HTTP隧道流量。POP3是从你单位的网络流向员工家里的流量。HTTP服务器是从你单位的WEB服务器流向互联网的流量。POP3也好，HTTP也好，都可能包含最敏感的数据，这是一个很大的风险。HTTP隧道是一个将TCP通道埋藏于HTTP之中的途径。这样的图谋可能被用来在HTTP中发送FTP、IM和很多其它协议，对黑客和入侵者来讲，这正是一个盗取数据的好途径。

3 精确（低误报率）

一个DLP产品必须使误报率降至0。误报能够给组织带来负担，至少增加已经不堪负重的IT部门的负担。例如，一个组织如果有1000个用户，每个用户每天发送20封邮件。假如误报率只有0.5%，则DLP系统每天将错误地阻止100个邮件。基于数据分类、统计分析、语言分析、上下文分析、关键字匹配的DLP解决方案，容易产生高误报告率。精确数据匹配是保证0误报率的唯一方法。即使那样，DLP系统必须能够匹配多个数据元素以避免误报。原因是，韩国的电话号码可能和社会保险号或小银行的帐号具有相同的模式。更有甚者，一个DLP产品应能根据严重程度、而不仅仅根据报告，阻止受保护数据被传输的企图。

4 顺应数据操作

DLP解决方案必须保护信息（内容）本身，而不是特定的数据的表示。最重要的是，DLP解决方案识别且保护可能的数据转换和数据表示变化，如：

l  数据提取—将一个文件的一小部分，或数据库表的一个子集，复制和粘贴到另一个文件

l  文件格式转换

l  数据压缩

l  数据嵌入

l  文件扩展名变化

l  重新输入 -- 从一个打印文件中重新输入的文本

l  语言编码变化，特别是Unicode和纯英文之间的转换

同样数据的不同表示，如一个社会安全号可以表示成777-77-7762，777 77 7762或777777762。

5 数据源和格式的综合覆盖

DLP产品必须保护结构化数据和非结构化数据，以及文本的二进制格式。经验表明，大多数组织需要保护所有格式的数据。例如，很多银行和信用联盟在网络上将很多重要的文档（如房屋贷款申请、帐号报告等）转换到JPEG或TIFF格式并存储起来。这些文档的保护需要DLP系统对二进制数据的支持。最好的DLP解决方案是那些与文件格式无关的方案。这样的解决方案将支持未来的任何文件格式，以及任何一种格式之间的转换。

6 加密内容和加密通道

机密数据可以通过加密的方式泄漏出去，如受口令保护的Office文档，PGP，受口令保护的Zip文件，RAR和S/ Mime以及格其它文件。DLP系统必须能够检测到这样的数据，安全管理员必须为这样的传输设计一个策略。人们可以加密全数据库然后用邮件发出去。管理员必须能看见这样的传输。在这些案例中，DLP系统要么应该阻止、隔离，要么记录这些事件。同时，邮件加密是危险的。用户可能决定对邮件进行加密，你也有同样的问题。如果需要，自动加密邮件是DLP系统的责任。

7  静止数据管理 – eDiscovery

静止数据是相对于那些在网络上流动的数据而言的。机密数据不仅通过网络出口点泄漏，丢失的笔记本、入室盗窃也是泄密的风险，这些都增加了对静止数据加强管理的必要。静止数据管理是从公司网络、员工笔记本电脑和备份介质上找到那些机密数据。一旦找到机密数据，可对数据加密、挪到安全地方、用IAM或DRM系统对其保护。一个完整的DLP解决方案必须包括静止数据管理模块。

小心：静止数据管理软件对网络上最重要的文件拥有全部的访问权限。确认它是只读的—就是说，它没有能力删除、移动或修改网络上的文件。否则，一个错误可能摧毁最重要的数字资产。

8 终端保护

最后，用户将文件复制或存储到移动介质（如U盘、SIM卡、相机卡）上，敏感数据会因此泄漏。管理员必须能够强制执行与网络DLP一致的策略，在终端上控制这些渠道。系统应该允许根据LDAP或活动目录（AD）轻松定义例外。在一些案例中，系统应能够自动加密敏感文件。还有，PV离线脱离域连接后，策略必须在PC上强制执行。一个好的特性是支持镜像，DLP系统存储“允许”和“阻止”的文件拷贝。

 

四、结论

在现今受管制的商业环境中，数据流失可能遭受巨大的惩罚，可能是时间、金钱、客户关系和利润的流失。今天，大多数企业的外部威胁受到重视，但是对内部人员仍存在漏洞。和防火墙、反病毒软件一样，综合的DLP系统是网络安全的重要组成部分。检测内部泄漏的合适时机是在数据从网络泄漏之前，而不是等到执法部门上门送传票的时候。