業務流程漏洞成數據丟失隱患 DLP成熱點市場
糟糕的業務流程會向公司外部人員敞開大門、引誘內部人員,或者干脆助紂為虐、幫助黑客或不懷好意的內部人員為非作歹。
現狀恐怕就是這樣。媒體幾乎每周都會報道某組織發生重大數據泄漏事件的新聞。家得寶(Home Depot)、零售商TJX、退伍軍人管理局(VA)、輝瑞制藥公司(Pfizer)、Monster.com和美國在線(AOL)等公司都遇到了糟糕的公關和法律問題,而這些問題都是伴隨數據丟失而來的。
一個相關問題就是知識產權(IP)失竊。公司內部人員輕而易舉就能訪問、復制及移動敏感數據,這讓IT安全人員坐立不安。內部人員出售竊取的知識產權,利用知識產權自己開公司,或者以此向競爭對手謀求職位,這樣的事情更是舉不勝舉。
舉例來說:內部人員輕而易舉就能竊取知識產權,這讓NeoGenesis制藥公司的主管們大為震驚,于是他們著手創建一家安全公司:Verdasys來解決這個問題。公司內部的一名人員企圖竊取藥方來開辦一家新公司;讓公司主管們有所注意的不是任何IT安全警報,而是一份可疑的光盤采購單。
這種情況并非不同尋常。不同尋常的是,NeoGenesis公司發現并且阻止了竊取行為。一項又一項的調查表明內部人員發動的攻擊呈上升趨勢。據美國商務部聲稱,知識產權失竊導致美國公司每年損失大約2500億美元,同時使美國經濟減少了近75萬份崗位。
看似無害,實則災難
導致數據泄漏和知識產權失竊的原因有好多:有的是驗證機制不夠完備、數據保存不當,有的是筆記本電腦丟失;但通常存在一個根本的問題是,業務流程存在缺陷。糟糕的業務流程會向公司外部人員敞開大門、引誘內部人員,或者干脆助紂為虐、幫助黑客或不懷好意的內部人員為非作歹。
“業務流程”是一個非常模糊的概念;不過說到確認存在缺陷的業務流程,你該如何開始入手呢?第一件事就是明白本公司存在哪些看似無害的業務流程。
Steve Roop是Vontu公司負責產品營銷及開發的副總裁,他發現許多小錯誤讓許多公司面臨巨大風險。他說:“有些錯誤可笑、愚蠢,而有些卻是惡意為之的;不過就連可笑愚蠢的錯誤也有可能極其危險。”他強調并舉例說,他們為之提供服務的一家大公司每周平均要招聘400名員工。這些新員工每個人都需要名片。可問題在于,多年來,人力資源部門一直把電子表格副本送到印刷公司,而這些表格上面記錄有著員工的社會保障號碼、出生日期及其他信息;這樣一來,它們就有可能遭到身份失竊。
數據泄漏預防廠商Verdasys公司的營銷副總裁William Munroe說:“如果公司想大幅降低信息丟失的風險,它們就要對數據安全采取注重風險的方法。”
注重風險的安全方法其核心就是,重新考慮最基本的21世紀的業務流程:數據是創建如何、保存、修改及移動的。實際上,進入到桌面系統及其他端點上的任何數據都面臨危險。大多數應用服務器和數據庫都得到了相當有效的保護;但極少有任何安全規則負責管理桌面系統上的數據如何操縱、復制及保存。
一旦數據遷移到了桌面系統上,就可以刻錄到光盤上、拷貝到USB驅動器上或者MP3播放器上,還可以用電子郵件發給任何地方的任何人。許多公司已經認識到了一種風險:電子郵件;但即便是在這方面,安全機制仍然更多地針對的是外部風險(垃圾郵件和網絡釣魚等騙局),而不是內部風險。
要是你保存數據的范圍從桌面系統擴大到其他端點,這個問題就更嚴重了。不妨想想銷售點(POS)終端。眾所周知、代價慘重的TJX數據泄漏事件就是從POS終端開始泄漏數據的,而這些終端原本是不該保存數據的。
按照支付卡行業數據安全標準(該標準規定了商家如何處理信用卡數據)的要求,磁條上的個人信息不能收集及保存。遺憾的是,這項明智合理的隱私/安全流程卻常常與營銷及銷售流程相沖突,后者促使許多公司不擇手段地收集消費者信息。
就拿TJX來說吧,不該收集的信息結果被收集了;而且采取了保護不力的方式來保存。
研究機構阿伯丁集團的安全技術部門調研主任Carol Baroudi說:“每個人都需要大大增強數據的安全意識。公司至少要問一下:數據保存在何處?誰可以訪問數據?數據得到了怎樣的保護?”
DLP吸引風險資金
由于許多公司很容易忽視存在缺陷的流程,而數據又很容易在一家典型的電子商務公司的幾乎任何地方流動,國際上知名的安全廠商正在設法讓發現及執行與敏感數據有關的業務策略的工作實現自動化。
就最基本的功能而言,這種工具可以掃描在公司網絡上傳輸的信息,并且阻止所謂的“結構化數據”(structured data)。非結構化數據是因采用一致格式而容易被識別的數據,比如社會保障號碼和信用卡號碼。比較先進的這種工具可以研究分析數據本身的內容,試圖保護結構較為松散的信息,比如知識產權。
對數據保護采取DLP方案似乎正在流行起來,這個領域也因而吸引了大量的風險資金。而且這個領域還出現了一系列收購案,DLP新興公司紛紛被傳統安全廠商所收購:McAfee收購了Reconnex公司;RSA公司收購了Tablus公司;Websense公司收購了PortAuthority公司;賽門鐵克公司也收購了Vontu公司。
不得不說,在DLP市場里面出現的一系列收購案有力地證明,DLP實際上只是極其龐大的新興數據安全市場當中的一小部分。
雖然跨國公司正力求通過加強員工、合作伙伴與外包商之間的協作,從而提高用戶的工作效率、業務敏捷性及競爭能力,但它們在開始考慮自由共享數據帶來的風險時,就止步不前。除非這些風險得到解決,否則協作和“敏捷”業務實踐有望提高工作效率的好處將無法實現,風險也會壓倒潛在的收益。
每家公司為了保護數據應當采取的五個步驟如下:
一、確認一旦離開公司、會帶來嚴重問題的五六種數據,比如包括社會保障號碼、客戶信用卡號碼、銷售記錄和知識產權。
二、弄清楚敏感數據保存在貴公司里面的什么地方。成立時間比較長的公司往往會發現,敏感數據到處都是,甚至放在員工的桌面上。
三、一旦你知道了敏感數據的位置,就要制訂相應策略,以明確如何創建、保存、訪問、共享及保護數據。
四、監控及執行針對電子郵件、網絡郵件、即時通訊及其他通信方法的數據保護策略。
五、揣摩及執行針對保存在端點及可移動存儲介質上數據的策略。
【編輯推薦】
