本文來自微信公衆号:連續創業的Janky(ID:janky-dsphere),作者:Janky,原文标題:《DLP 已經過時了嗎,該如何破局》,題圖來自:視覺中國
資料丢失防護(Data loss prevention, DLP)軟體可檢測潛在的資料洩露/非過濾資料傳輸,并通過在使用(端點操作)、移動(網絡流量)和靜止(資料存儲)時監控、檢測和阻止敏感資料來防止這些(洩露)。
——翻譯自Wikipedia
寫這篇文章着實非常惶恐,整篇用詞與修飾也是經過反複琢磨和調整。因為 DLP 是個很大的産業,涉及幾乎印有資料安全标簽的所有安全廠商,企業資料安全建設的第一站往往也以安裝 DLP 為起點,企業員工怒罵公司行為的背後也往往有 DLP 的影子在,可見該話題的影響甚大。
同樣的話題讨論,發生在國外,已經是 5 年前了。2018 年 4 月 5 日,Gartner 進階 VP 級别分析師 Avivah Litan,發表了一篇博文,名為“DLP is Dying”*,但是博文内容已經過修改,因為原始内容關于 DLP 正在消亡的言辭引起了安全廠商的極大不滿,開啟了激烈的網絡争論,作者迫于輿論壓力重新修改了文章,并關閉了自己 LinkedIn 留言功能。
作者本人從事企業資料安全相關工作的時間,不算太長也不算太短,說起來也有超過十年的時間了。自身開發過 DLP 的産品,也主導了阿裡巴巴原生 DLP 産品向 UEBA(user and entity behavior analytics,使用者和實體行為分析技術)的轉型更新,見證了身邊不少新興 DLP 廠商的迅速消亡,聽慣了企業員工的罵聲和老闆的質疑,也幫助不少企業完成了适合自身 DLP 産品與方案的選型和落地。就經驗上來講,或許能有一點點有價值的輸出,幫助安全同行們在規劃自身 DLP 産品的時候适量避坑,也讓企業們在選擇适合自身安全産品的時候多一點點參考,期望寫在這裡的一些經驗總結能起到這些作用。
一、DLP産品分類
資料防洩漏的産品有很多種類型,雲桌面、沙箱、透明加解密也都是可選方案,DLP 差別于這些方案的特點,在于其本身是通過在不改變任何使用者使用資料的習慣的前提下,自動檢測出資料洩露的行為。企業内的員工甚至都意識不到 DLP 安全産品的存在,也不需要跟該産品進行任何形式的互動。
舉些形象的例子,雲桌面(類似的叫法還有虛拟桌面、VDI、DaaS)和沙箱好比家裡的保險箱,值錢的東西都鎖在裡面出不來;透明加解密原理類似于在電影和電視劇裡,看到的故事情節:情報人員用米湯在紙上寫字,待米湯幹燥後送出。而收到情報的人員, 把這張“白紙”放入碘酒中泡一下,就可以讀到紙上的秘密資訊;DLP 就是那個挂在牆上監控攝像頭,它能震懾小偷,但也不能幹擾小偷做壞事,默默記錄下作案過程事後追責。
DLP 産品本身,按照資料所處位置的不同,國外同行們又定義出了 4 個分支,終端 DLP、網絡 DLP、雲應用 DLP、存儲 DLP。很遺憾在國内的環境裡,真正能被應用的隻有終端 DLP 和郵件 DLP,其根本原因在于國内應用生态的落後和封閉,之前的一篇文章有詳細分析過。
郵件 DLP 依附于企業自有的郵件伺服器,通常以郵件網關的形式存在,去過濾外發的郵件内容,應用場景非常直覺和單一,所能達到的防洩漏效果也比較狹窄,畢竟真正想偷盜企業資料的員工,還是會聰明到不用企業自身郵箱把資料給發出去。
是以,咱們這裡就重點講講最為複雜的,終端 DLP。
二、終端DLP及其困局
不避諱地講,DLP 是針對企業内部員工監守自盜的防範措施,不論是刻意為之還是無心之施。盜竊行為的案發地,就在辦公終端上,以前以辦公電腦為主,移動網際網路後新增了移動端裝置。輔助作案的工具就最為複雜多樣了,常見的聊天工具(微信、QQ、釘釘)、第三方網盤、U 盤、藍牙傳輸、AirDrop、雲筆記、共享目錄……無法窮舉。所有這些作案工具被 DLP 産品統稱為外發管道,需要定點進行覆寫和監控。
DLP 并不是一個新的産品形态,其曆史可以追溯到國外 25 年之前,國内 20 年之前。對于大量企業來講,企業目前的資料被一張漁網包裹着,這些資料随時都能從漁網上的一個孔洞裡漏出去,DLP 産品所做的就是不停地嘗試在新的漏洞裡面安裝上攝像頭,記錄下來什麼時候有資料從哪個洞出去了。但現實是這張漁網無限大,且還在不斷自我膨脹,DLP 在一個洞口安裝了監控的同時又生出了 2 個新的洞。還有些洞,門框太高或者牆壁太滑,連攝像頭都裝不上去。
除了産品本身研發的困難之外,DLP 還面臨着很多其它挑戰。
1. Everybody Hates DLP(人人喊打)
想想也真的覺得神奇,恐怕沒有其它任何一個産品能像 DLP 這樣,達到人人都“讨厭”的地步,即使是花錢采買的企業自己也是同樣的心理。
2. 管道覆寫不完,移動端束手無策
在移動網際網路之前,DLP 是極其有效的。那會企業員工都還在主要依靠 PC 桌上型電腦辦公,能帶離辦公室的筆記本都比較少見;企業辦公主要資料資産還是終端的檔案,不像現在有那麼多 Web 系統,各種線上文檔更是越來越普及,資料已經離開終端上雲了,脫離了非結構化形态,變成了結構化和半結構化。
那會企業有專門的區域網路,出了區域網路也無所謂工作了,沒有 996,沒有居家辦公,企業資料也局限在辦公室的區域網路内。
那會個人沒那麼多聊天工具,沒那麼多第三方服務,資料沒有好的去處,也無法自由地流動。
那會沒有那麼智能的手機,資料還在辦公電腦裡,而不像現在到處飛。
那會沒人關注個人隐私,員工不會質疑公司安裝的安全軟體;那會沒有《資料安全法》,沒有《個人隐私保護法》,安全軟體可以幹任何想幹的事情。
那會作業系統還沒有回收或者加強終端核心接口的管理,在終端采集資料不需要員工主動授權,不像現在作業系統動不動就彈窗提醒,吓得員工一激靈。
試想如果電腦裡突然彈個視窗顯示“某某安全軟體正在嘗試控制這台電腦……”的提示,那就有得熱鬧了。這些最終都會轉化為企業 IT 和安全團隊的營運成本。
3. 安全手段太容易被繞過
過往和目前的終端 DLP 技術路線,基本還是在享受資訊不對稱的紅利。普通員工對 IT 技術原理不了解,忌憚企業宣傳的安全能力,不敢輕易嘗試破解辦法,隻能想到給檔案打個壓縮包,改個字尾名這樣的辦法。
普通非安全專業的 IT 團隊,缺乏安全經驗,無法判斷 DLP 産品能給企業帶來的實際作用,而是參考同行和公開管道的乙方宣傳,而認為應該采用 DLP 方式。
搜尋引擎限制和内容缺乏,國内網際網路上給人支招去繞過 DLP 的内容很少,但是 Google 相關内容卻異常豐富。引用國外同行的總結:
I HAVEN’T SEEN A DATA LOSS PREVENTION TOOL MY TEAM CAN’T BYPASS IN TWO SECONDS.
我還沒有看到我的團隊在兩秒鐘内無法繞過的 DLP 工具。
——A CISO AT A GLOBAL FINANCIAL SERVICES COMPANY
4. 誤報太高,導緻營運成本過重
任何技術手段是有局限的,作為安全軟體技術來講,都會面臨兩個緻命的問題,不光是 DLP 獨有的問題。
①資料歸屬判定:識别到敏感資料并不困難,困難的是無法區分該資料是歸屬企業的還是個人。比如員工在辦公電腦上接收和處理了一份自己汽車保險的合同,DLP 發現合同是很敏感的資料,但它沒法知道這是員工個人的資料。
②敏感操作判定:同樣識别到資料操作的敏感行為并不困難,困難的是無法判斷該行為是否違規。比如識别到員工外發了一個敏感檔案,内部含有大量财務資料。DLP 無法判斷這是銷售人員發送給客戶的報價單,還是發送給競争對手的内部定價規則。
以上最為本質的兩個問題,無法通過程式自動化的解決,那麼就隻能在終端不斷地上報日志。随着企業員工數量和終端的增加,這些日志資料呈幾何式的增長,少量的違規行為資料埋藏在海量的正常日志中,等着某天通過别的方式發現有人偷盜公司資料的事後,進行日志溯源反查。
三、終端DLP的破局之路
嚴格意義上講,人類的技術進步,從來沒有從 0 到 1 之說,或者最開始的那個 0 我們已經無法追溯。任何所謂新技術,新産品形态的誕生,都依仗無數過往技術的鋪墊。同時也意味着,幾乎沒有哪項技術會消失,所謂的過時隻是換了一種形态和方式,去支撐下一代創新去了。碳原子從沒有消失,隻是在不同生命體之間遊走。
未來 DLP 的重點,不再是去支援更多外發管道,不是去吃力不讨好地延續國外檔案指紋的技術路線,個人的建議是走被應用內建的路線。
1. 被UEBA內建,而不是成為UEBA
新型的 DLP 多打着 UEBA 的旗号,然而事實是其永遠也成不了一個 UEBA 的産品,無論在終端采集多少行為資料都是無用功,傳統的 DLP 采集的和能夠采集的資料已經夠多了。
事實上對于任何一個期望建立在資料模型上的應用來講,最為核心的不是采集單一次元資料的能力,甚至都不是資料處理的能力,而是你到底有沒有關鍵資料的能力。例如一個 DLP 采集了所有員工的對外聊天記錄資訊,遠遠不如有一條員工和對方好友關系的資料來得重要,員工和聊天的對方是夫妻、同僚、客戶、友商還是别的關系。但這樣的資料,可不是一個第三方 DLP 産品能夠擁有的。
2. 以企業資料為中心,而不是以人的行為為中心
人的行為受制于不同上下文和在職場的角色,而千變萬化,無法預測,能夠标準化的并不多,頂多是針對快離職的員工進行定向的關照,如在離職期間大量拷貝企業組織架構和内部文檔的行為,八成是可疑的,但除此之外能标準化判斷的行為并不多。
與其盯着終端文檔,去記錄和串聯文檔的建立、修改、重命名、打壓縮包這樣的行為,不如去針對企業資料集中的應用進行特定應用的探針支援。方式上采用應用開放接口對接的方式,而抛棄終端 Hook 應用的模式。如針對釘釘、企業微信開放平台去打造企業内部安全應用,去收集應用行為資料給到 UEBA 引擎使用。
3. 從Detection的角色轉換為Response
DLP 曆來被诟病最多的就在于其風險偏事後的特性,無法在風險發生當下進行阻斷,而隻能作為事後溯源的手段。從技術實作上來講,能檢測就能阻斷,隻不過之前因為無法準确判斷行為而不敢阻斷,倘若成為 UEBA 的一部分,那麼便可在資料模型的加持下,讓阻斷能力重見天日。
4. 幫助企業去歸集所有次元資料,而不是基于終端行為模組化型
同第一點一樣,安全風險的最終解法靠資料,現有 DLP 采集的終端次元資料遠遠不足夠用于模組化,安全企業和産品應當幫助企業去收集内部能夠被用于模組化的一切資料,綜合設計資料風險模型,DLP 就聚焦在采集和響應即可。
*博文連結:https://blogs.gartner.com/avivah-litan/2018/04/05/insider-threat-detection-replaces-dying-dlp/
本文來自微信公衆号:連續創業的Janky(ID:janky-dsphere),作者:Janky
本内容為作者獨立觀點,不代表虎嗅立場。未經允許不得轉載,授權事宜請聯系 [email protected]
正在改變與想要改變世界的人,都在 虎嗅APP