從DLP技術真實部署中吸取的經驗教訓
盡管企業部署了各種安全技術,還有政府和行業法規規定與員工安全意識培訓,但企業仍然不可能避免員工的安全錯誤。當員工訪問、使用和共享他們的數據時,他們經常容易犯錯誤,而這可能導致嚴重的數據泄露事故。例如,他們會將機密文件通過電子郵件發送到他們家里的系統;他們會不經意地將未加密的受監管的數據保存在網絡某處;他們每天可能犯其他各種錯誤讓機密數據處于危險之中,或者以違反安全政策的方式使用數據。
Freeman Decorating公司信息安全經理Johnny Matamoros深知這些挑戰。該公司的IT團隊采取了正確的措施來更好地保護數據。他們將網絡分成網絡段,包括處理信用卡數據的那部分,他們還為員工提供了對電子郵件進行加密的方法。但Matamoros表示,他們沒有有效的途徑來發現潛在的數據泄露事故。“當特定數據類型進入或者離開企業時,我們并沒有一個有效的解決方案或者流程來持續監控、發現、警報和報告。在我們的用例中,最重要的數據類型是信用卡信息。”
為了快速發現這類事件,Matamoros部署了McAfee數據丟失防護(DLP)。雖然這個部署成功,但并不是說他們沒有遇到障礙和受到教訓。盡管很多部署了DLP技術的企業都聲稱有一定效果,限制了數據丟失,但取得這種成功并不是容易的事。
為了學習從DLP真實部署中吸取的最常見的經驗教訓,我們采訪了一些非常熟悉DLP市場的專家,以及成功部署DLP的安全經理。以下是他們分享的建議:
你自己的數據管理成熟度跟DLP技術即使不是更重要,也是同等重要。事實上,IT安全市場研究公司Securosis首席執行官兼分析師Rich Mogull表示,這種技術通常能夠如預期運作,但它并不是成功部署DLP技術的頭號幫手。“如果想要確保DLP部署的成功運作,作為一家企業,你必須提高數據管理成熟度,企業必須清楚其數據的位置以及如何保護數據。困難之處在于從頭開始確定需要保護的重要數據以及這些數據的位置,這是很艱巨的工作。”
1. DLP技術部署:太過了,太快了
另一個失敗部署的常見問題在于對于DLP篩選和控制的數據處理太過頭、太快了。企業管理協會研究主管Scott Crawford表示:“如果你這樣做的話,你可能會遇到明顯的誤報問題。對于收集多少數據、存在多少相關數據以及誤報命中率怎樣等問題時,還存在潛在的問題。你需要計劃分配資源來調整你的部署。”
Mogull表示:“最初,尋求快速的勝利。通過啟用一組規則來獲取對你的環境的高水平的視圖,但不用擔心執行這些政策的問題。你只需要用這種方法以較高水平來盡可能多地尋找更多的東西,將其作為一種風險評估,來找出你最大的問題領域。”
Crawford同意尋求易實現的快速勝利,他補充說:“這將使數據具有高結構化和高識別性,提供最少誤報、最簡單的管理。”這通常意味著從符合特定格式的賬戶數據開始,例如賬戶號碼、社會安全號碼、信用卡數據和類似結構化信息。但有點麻煩的就是非結構化數據,例如知識產權,企業需要特別重視這些數據,對于這種數據,分類就顯得尤為重要。
2. 未能為進行中的系統響應和調整做好計劃
當你開始尋找數據時,你必須做好準備將可能被數據的數量、數據的不同類型、數據傳輸源以及數據本身的內容所淹沒,Matamoros表示:“對數據內容做好準備是不能掉以輕心,因為你永遠不知道你會捕捉到什么內容。此外,你必須明確你想要監測的數據類型,以及當數據被DLP發現時你想要采取的行動。”他補充說:“即使確定了適當的數據類型,也要準備花一些時間根據你企業的情況對誤報進行調整。”
DLP是一個技術“解決方案”。醫院及醫療護理服務供應商Providence Health & Services的區域信息安全官Charles Lee表示,幾年前,Providence試圖確保機密數據(例如患者、員工和合作伙伴的敏感信息)不會被不安全地傳輸。這不僅僅是通過檢測可能被泄露敏感數據,就能帶來真正的長期的勝利,Lee表示:“DLP只是一個工具,它只是告訴你你的風險區域在哪里,在我看來,真正的勝利是它給用戶帶來的警惕意識和培訓。”
根據Lee表示,隨著Providence逐漸提高其DLP部署,每次用戶觸發一個DLP事件,都是一次練兵的機會。他表示:“他們通過輔導和培訓,了解正確處理信息的方式。這還能夠改善企業發現不良的且不安全的業務流程。DLP不是一個部署后即忘記的技術,它可以幫助企業提高員工意識和改善業務安全工作流程。”
3. 沒有運行概念證明型部署
好的開始是成功的一半,Freeman Decorating公司的Matamoros建議從可管理的概念證明開始。“至關重要的是,企業必須獲得高管同意,不僅包括使用哪些捕捉過濾,還有采取怎樣的措施以及聯系什么人,你應該可以看到觸發了哪些過濾器。此外,你應該正確地識別能夠提供你想要監測的數據的網絡位置,一旦你開始監控,做好準備面對結果,因為在最初這可能是很海量的。”
