随着国家对网络安全相继立法,一系列的法律法规陆续推出,企业网络安全成为这几年IT领域风口浪尖上的话题,相关的资本、市场和技术信息让人目不暇接,但是真正的企业信息安全从业人士会深刻探查到这次热潮中亮点:对企业数据资产的保护成为这次企业信息安全的中心话题,即数据安全成为企业信息安全的核心本质。
之前,虽然国内企业信息安全虽已经历二十多年高速发展,但行内思维基本上还停留在防火墙、入侵检测、防病毒等传统、被动的南北向边界防护手段,其防御核心还是防止黑客从外向里的病毒、蠕虫或者木马的攻击行为。但据国家计算机信息安全测评中心等权威机构提供的数据显示,国内企事业单位由于内部重要机密通过网络泄密而造成重大损失的事件中,只有1%是被黑客窃取造成的,而97%都是由于内部员工有意或者无意泄露而造成的。因此,企业网络安全的重心必然会从传统的从外到内的攻防转向自内而外的数据防泄露。
数据防泄漏解决方案在国内并不是空白之地,市场上数据防泄漏产品存在有很长时间了,但提供的功能基本上就是企业文件数据的加解密,其技术就是简单地利用加密解决数据传输的安全问题,利用认证解决访问人权限问题。究其原因,还是因为国内企业网络安全一直以来并没有把企业的数据做为安全的中心,还是专注在对人/设备的安全管理之上。
国内目前较为典型成熟的数据安全相关案例就是现在很多大型机构正在使用的企业邮件系统加密解决方案,我们看到的该类方案的实施结果就是需要当事员工经常在降低业务效率(邮件因为被不适宜的安全规则阻断等)和冒着发生安全事故(绕过这个加解密路径)两者之间做出选择。目前这波企业网络安全热潮中虽然数据成为中心,但伴随着一个让人担忧的现象是,很多企业之前没有相关数据安全解决方案,现在因为数据安全相关法规出台,这些企业为了去责问题又要仓促上马相关安全方案,在市场上缺乏相关的指导理念和合适的数据安全方案的大前提下,往往又会选择这样的数据文件加解密方案,别人踏过的坑自己再踩一次。
美国因为企业文化中对知识产权和个人隐私重视的原因,数据防泄漏一直就是企业网络安全的重中之重的问题,所谓的CIA(Confidentiality, Integrity, Availability保密性、完整性、可用性)理论和4A(Account,Authorization, Authentication, Audit账号,授权,认证,审计)体系从本质上讲都是围绕着企业的数据安全做文章。而DLP做为企业网络安全里面的一个独立垂直市场,从一开始就和终端EDR、网络数据加解密/认证等技术在不同的轨道上发展。在美国,2003-2004年,是DLP技术的爆发时期,从那时开始到现在,相关技术产品一直在不停地进化演进,但客观地讲,直到现在DLP解决方案虽然在市场上一直是刚需,相关技术也层出不穷涌现,但却一直没有完美的产品出现。
DLP技术根据其部署位置可分为终端DLP、网络DLP和服务器端(存储)DLP;根据可能的泄露载体又可分为终端DLP、邮件DLP和WEB DLP等。
现代DLP产品基本核心技术包括以下几点:
1.DCI(Deep Content Inspection深度内容检查)
不同于网络流量分析产品NPM/APM里面用到的DFI和DPI技术,只需要在网络层基于包(Packet)或流(Flow)做扫描匹配,DLP是需要在内容层面做深度扫描,匹配精确度和扫描性能是衡量技术的标尺;
2.内容还原
因为要做DCI,所以我们需要要把网络中传输的文件完整地还原出来,提供给DCI引擎做扫描匹配处理,这里最大的挑战是必须把文件完整地还原出来,意味着无论旁路镜像还是inline proxy内联代理都不能丢包。做到不丢包说易行难,相比较而言,DPI技术是没有这个要求的,因为往往客户对此无感知;
3.敏感规则定义
企业用户需要根据自身业务的需求定义所需要匹配的敏感字典,DCI引擎扫描还原出的传输文件,匹配该敏感字典内的敏感字(段),以确定该文件是否包含敏感内容,这里最大的难点有两个:一是如何定义完整的、敏感程度准确的相关规则,如何做到1)不影响业务、2)不漏报和3)不误报,这些是对企业安全运维人员的巨大考验;二是和其它传统网络安全产品一样面临的相关规则的系统管理问题。
既然DLP是企业安全市场的刚需,发展历史又近二十年(对欧美而言,国内尚处于春秋战国),为什么市场上还是没有完美的相关DLP解决方案或产品出现呢?国内企业如何从欧美企业的DLP实施案例中取得真经,少走弯路呢?实际上DLP本身的内容扫描和敏感字匹配的技术已近炉火纯青之境界,以下几点因素应该是目前企业DLP所处困境的根源所在:
1.数据难梳理,规则难定义
DLP产品需要用户预先定义复杂的敏感匹配规则,而用户定义规则的前提是对企业网络上的数据有非常清晰的了解,按当下时髦的术语就是有很好的“数据梳理”,同时还对与调用数据的相关业务有所了解。对于现在绝大多数企业的网络安全运维人员来说,没有企业决策层和相关业务团队的鼎力支持和配合,没有大量时间和资源的投入,这个清晰了解企业数据和相关业务的大前提基本上是一个不可能完成的任务。
2.single event,误报,业务阻断
目前的DLP产品和其他传统网络安全产品一样,都是应对单个事件(single event)的产品,只是在网络上的文件内容匹配到预先定义的相关敏感数据规则那一时刻产生预警或阻断的动作,这种单个事件的处理方式往往因为缺乏上下文的关联分析而产生大量误报(False Alert)或阻断正常的业务。
3.控制维度单一
DLP产品在相关控制维度上比较单一,定义规则基本上就和数据(匹配上敏感规则)、IP相关,最多再加上一个时间点,这对于特定业务场景定义准确的DLP匹配规则往往显得捉襟见肘。
4.匹配规则难,无法应对动态流转数据
目前DLP所遇困境关键的一点,企业的数据不是静止不变的,企业数据有生命周期,在这个数据周期里的敏感度不是一成不变的,而且新的数据随着企业业务频繁交易,天天更,日日新,如何为敏感度变化的存量数据和新增数据定义并实时调整相关的匹配规则,在当前企业安全文化和技术体系下,企业网络安全人员能够做好DLP规则实时调整优化基本上是痴人说梦。
源于NG DLP进化的全息流动数据监控技术
虽然目前DLP技术看似走到了死胡同,但并不是一个无解之局,他山之石,可以攻玉,最近几年网络安全在其他领域的创新为DLP带来了涅槃之机,大数据分析、态势感知、UEBA等技术的结合使用正以创新之势缔造NG DLP,这也是全息网御流动数据监控技术的起源之一。
全息网御推出以数据为核心,针对流动数据的安全监测和溯源审计产品,结合了DLP、UEBA和CASB三个网络安全领域的核心技术,在一个类SIEM平台上为用户提供某些特定场景下的态势感知功能。
具体到DLP技术上,全息的产品提取了最核心的DCI(深度内容扫描)技术,用以发现用户网络上流动的敏感数据。
源于NG DLP,全息的产品技术体系又区别于(网络)DLP:
首先,传统DLP产品需要预先定义复杂的规则,对企业网络上的相关数据进行阻断或预警,并不具有分析功能;而全息的产品是一个分析为主的产品,在无规则或少规则的情况下对企业数据进行分析。
其次,DLP产品是单个事件(single event)产品,一般只是在相关数据匹配到预先定义的规则那一时刻产生作用;全息的产品是一个时间轴全程记录分析(包括基于机器学习的异常预警功能)的产品。
第三, DLP产品在相关控制维度上比较单一,规则基本上就和数据、IP相关,最多再加上时间;全息的产品将企业内网安全所需要考虑的维度尽量全覆盖,对数据、人、设备和应用四个大维度及其它小维度都建立关联关系以解决企业的相关安全问题。
全息产品彰显出的NG DLP技术优势
1.无规则,无死角的动态数据监控
企业数据不是一个静态的实体群,有其生命周期,每天都在产生新的数据,数据的敏感度也在随时变化,那么对数据动态的监控就至关重要。DLP需要预先设定规则的局限已经远远满足不了现代企业对数据资产保护的需求,而全息产品的NG DLP技术提供了一个“无规则、无死角”的对企业网上流转数据的全方位监控。
另一方面,全息的产品不是一个DLP的完全替代品(无阻断功能),全息产品在全面监控数据变化的同时,可以为第三方DLP产品提供一个实时优化规则(这个是DLP真正发挥作用的必要前提)的最有价值工具。
2. 多维度实体分析,实现多场景、复杂规则定义
传统的DLP定义匹配规则时考虑的维度太少,使得应对复杂场景的合理规则无法定义,全息产品体现的NG DLP功能除了传统DLP相关的功能外,还通过对企业内网上多个相关维度的实体1)画像并实时更新、2)建立实体肖像间关联关系、3)学习实体网上行为等技术手段,为企业提供很多场景下的定义复杂规则的功能,譬如提供更完整的敏感(好的譬如知识产权、坏的譬如病毒/恶意代码)数据溯源证据链、资产管理保护、行为异常分析等等。
3.主动发现,数据行为预测监控
发展到今天,企业需要的是一个完整的数据安全解决方案,目前的DLP产品预先定义规则,是一个single event产品,只管当下,缺乏分析功能;而相关审计产品都是一种事后被动的查找过程,无法满足企业实际上需要及时主动发现的需求,像最近GDPR提出的72小时内发现并上报相关数据泄露事故可免职,现存的产品根本无法满足这类需求。
全息产品具备的NG DLP功能,在实体行为上通过AI机器学习在时间轴上做数据行为基线的监控预测,主动及时发现异常行为并发出相关预警。总之,全息产品力图把数据泄露的发现变被动为主动,满足及时发现并处理该类安全时间的需求。
我们有理由相信下一代的DLP能够真正成为为企业数据安全保驾护航的坚强之盾,全息产品具有“审计过去,监视现在,预测未来”的功能是正是NG DLP与传统DLP的分水岭!