在數據時代,通過漏洞利用、防護繞過等手段侵入企業或組織的內部網絡實現數據竊取或破壞的安全事件仍常有發生,但隨著網絡安全防護設施的普及和加強,明顯增加了侵入內部網絡的難度。伴生而來的新的攻擊和外部數據安全威脅層出不窮,導致數據的竊取、篡改和非法使用等威脅。同時內部數據安全威脅也非常嚴重,內部人員有意或無意行為引發的數據安全風險、敏感個人信息非法利用嚴重侵害個人權益、業務頻繁變化引起的數據誤用、濫用。
基礎定義
數據防泄露(DLP)指的是使用先進的內容分析技術,在統一的管理控制臺內對靜止的、流轉的、使用的敏感數據進行保護的系統,是當前支撐數據資產保護的重要技術之一。
OCR (Optical Character Recognition),光學字符識別:是指電子設備檢查圖片上的字符,用字符識別方法將形狀翻譯成計算機文字的過程。
DLP(Data Loss Prevention,數據防泄露):是通過一定的技術手段,防止組織內敏感數據或信息資產, 以違反安全策略規定的形式流出組織的一種策略。
SMTP(Simple MAIl Transfer Protocol,簡單郵件傳輸的協議):主要用于系統之間的郵件信息傳遞,并提供有關來信的通知。
HTTP/HTTPS(Hyper Text Transfer Protocol,超文本傳輸協議):是一個簡單的請求 - 響應協議。HTTPS 在 HTTP 的基礎上通過傳輸加密和身份認證保證了傳輸過程的安全性。
Hadoop:利用集群進行高速運算和存儲的分布式數據庫。
IP(Inte.NET Protocol,網際互連協議):是 TCP/IP 體系中的網絡層協議,為主機提供數據包傳輸服務。
HTTP Post:HTTP 請求方法之一,向指定資源提交數據進行處理請求,數據被包含在請求體中。
HTTP Response:HTTP 響應方法,在接收 HTTP 請求消息后,服務器會返回一個 HTTP 響應消息。
LDAP(Lightweight Directory Access Protocol,輕型目錄訪問協議):輕量級的目錄存儲協議,通過 IP 協議提供訪問控制和維護分布式信息的目錄信息。
SIEM ( Security Information Event Management,安全信息與事件管理):收集網絡內的主機系統,安全設備和應用程序生成的日志以及事件數據,并在集中平臺上進行整理分析。
SOC(Security Operations Center,安全管理平臺):收集網絡內資產的安全信息,通過對收集到的各種安全事件進行深層的分析、統計和關聯,及時反映被管理資產的安全情況。
DHCP(Dynamic Host Configuration Protocol,動態主機配置協議):局域網的網絡協議。使網絡 環境中的主機動態的獲得 IP 地址、Gateway 地址、DNS 服務器地址等信息。
ICAP(Internet Content Adaptation Protocol,圖像采集接口):用來從一個傳感器捕捉圖像數據。
USB(Universal Serial Bus,通用串行總線):計算機或其他智能設備與外部設備連接的接口技術。
CDROM(Compact Disc Read-Only Memory,緊湊型光盤只讀儲存器):只讀光盤。
DLP的應用
-
數據防泄露(DLP)為實現數據分類分級保護提供技術支撐;
2、數據防泄露(DLP)在數據生命周期提供安全防護;
數據防泄露貫穿于數據生命周期的全過程。從數據的生成開始,到數據的存儲、應用、傳輸、備份歸檔到數據的銷毀,每一個步驟都有相應的數據防泄露技術作為支撐。
3、對使用中的數據進行權限細分,并進行相應的控制。
DLP核心技術
1、方案部署
a)分布式部署架構(分層管理):DLP 系統應支持在多個監控位置部署,這些監控節點應該能夠將所有 DLP 事件發送回中央管理服務器以便形成工作流、報告、調查和歸檔,應支持分層部署,支持在不同區域的管理服務器上運行不同區域的策略。
b)策略分級部署:DLP 系統應支持對下屬機構設置獨立的管理員,對所管理的區域對像放開策略設置、事件查看、報告查看等功能;管理員的功能模塊不可以超出上級管理員;為了滿足統一策略集中管理的需求,總管理員可以向下屬機構進行策略推送,子管理員可以對總管理員推送的策略進行查看,但無法進行編輯和刪除的動作。
c)證據文件外置部署:DLP 系統應能夠對數據泄露事件提供證據文件外部保存能力,可采用外置文件存儲(NFS/SMB)的方式進行集中存儲。
d)管理服務器高可用 :DLP 系統應支持使用兩臺管理服務器進行主備模式部署,如果主服務器關閉或服務不可用,備用服務器將自動接替行使管理功能。
e)數據庫高可用 :DLP 系統應支持數據庫服務集群部署,通過虛擬 IP 技術使數據庫節點保持高可用狀態,如果主數據庫活動節點關閉或不可用時,備用節點將接管活動角色,入庫日志、事件、證據、配置等保持同步且不丟失。
2、策略定制
a)內容檢測的組合檢測:由于 DLP 系統中存在眾多內容識別分類器,每個分類器均可以獨立配置作為內容識別的手段。
b)檢測對象的鎖定與過濾:通常,DLP 的檢測對象可以涵蓋兩類對象,分別是檢測對象和檢測通道。檢測對象一般指發送數據來源 / 目的、郵件地址、組織架構等,而檢測通道則泛指網絡通道和終端通道這兩種通道類型。利用 DLP 的檢測對象過濾功能,應更加精準地鎖定檢測的范圍和目標,使得檢測結果更加準確。
c) 策略響應動作 :策略的響應動作是指當流量或執行的動作命中了預設的檢測策略后,針對不同的通道在網絡側或終端側執行的動作,通常情況下的動作執行包括但不限于放行、阻止、隔離、確認、個人密鑰加密等。
d) 策略觸發通知 :在運維工作中,當最終用戶的動作命中了檢測策略,管理員應可以在不登陸 DLP 系統的情況下及時獲知觸發策略的事件行為。DLP 系統可以通過執行發送郵件通知,提醒特定人員等相關事件的發生。通知的內容應該支持定制和常見的變量引用,如:企業特定的 Logo、公司名稱、郵件主題、正文內容等。
3、數據識別
數據識別技術是 DLP 解決方案中使用各種技術分析深層內容的能力。當前全球主流 DLP 產品所支持的數據識別技術根據其匹配敏感信息的精準程度,至下而上依次為:關鍵字識別、字典權重識別、正則表達式識別、文件屬性識別、圖像內容識別、自然語言分析處理、標簽識別、機器學習識別 和 指紋識別 共計 9 種。檢驗 DLP 產品
是否具有完備及可用的數據識別技術是檢驗 DLP 產品最核心的功能指標。
4、管理與控制
a)統一管理控制臺:全套 DLP 解決方案的一個獨特而關鍵的功能是完善的中央管理控制能力,應可以管理覆蓋包括“發現、網絡、 郵件、終端、應用、移動”等所有 DLP 技術架構下的安全組件,從而實現對移動數據、靜止數據和使用中數據的覆蓋范圍、創建和管理策略、報告和事件工作流進行相應的管控。
b)策略多模塊分發:策略多模塊分發是指最終用戶不需要為各 DLP 模塊設置不同的檢測策略,通過控制臺即可集中為 DLP 產品各模塊下發統一的檢測策略 , 也可以單獨為某個 DLP 產品模塊或模塊組合下發獨立策略。
c)預置策略:預置模板是指為了方便 DLP 用戶更加便捷的使用數據防泄露產品,DLP 系統在內部提前給使用者定制好檢測內容的檢測模板。預置策略模板應該是開箱即用并能對外發的數據進行有效且精確的識別。
d)角色管理:DLP 系統應該允許基于角色的內部管理來進行內部管理任務以及監視和執行。在內部可以將用戶分配到管理和策略組以分離職責,為監視和執行提供靈活的支持,使之能投入到不同的策略管理工作中。
e)多權分立 系統應支持多權分立方式登陸管理平臺,包括:系統管理員(負責系統管理),安全管理員(負責審批管理), 審計管理員(負責審計管理),事件管理員(負責事件審計)
f)策略審批部署:在實現分權管理后,DLP 系統應支持使用特定角色對發布的檢測策略進行有效性稽核及審批生效的工作,滿足了大型機構對 DLP 管理權限分離的需求,降低了因錯誤 DLP 策略對生產或辦公業務產生影響的可能性。
g)接口集成:DLP 系統應支持在組織內對接特定的集成產品,包括并不局限于 SIEM、SOC、甚至是安全自動化運維平臺等,具備細顆粒度的事件外發能力。同時 DLP 系統應支持與運維系統進行對接,通過 API 對策略中的來源和目標進行增加、刪除和修改的動作。
h)用戶識別:事件管理需要合理利用組織內的用戶信息,將所有違規者與用戶身份數據關聯起來,DLP 系統應可以支持基于用戶的認證(Active Directory)登錄,從而使 DHCP 租約信息與企業登陸用戶聯系起來,將身份信息的上下文關聯添加到每個事件告警中,避免將策略違規與正常用戶聯系在一起。
5、分析與報告
DLP 系統應具備提供實時告警及對受保護數據實時分析的能力,及時通知組織內安全人員有關泄露或違規事件的信息,并根據需要采取手動操作。這對于涉及到核心數據資產外泄或嚴重的違規事件的及時處理特別有用。
其次,分析和報告功能可幫助 DLP 管理員密切關注數據的整體安全性以及解決方案的效能,應能提供相應的 合規報告,以確保組織滿足相應的合規要求。
a)事件處理:事件處理隊列,是指分配給 DLP 管理員進行事件處理程序但事件仍處在處理階段的事件摘要。每一個事件可以對任何字段進行排序或過濾,包括通道,違反策略,用戶,事件狀態和處理流程。
b)事件日志:DLP 系統應具備記錄單個事件的詳細信息能力,包括但不限于事件類型、發生時間、上報時間、發送者、接收者、違反策略、告警級別等內容。
c)事件工作流:DLP 系統應具備多種工作流程,所有工作流記錄都必須包含:發送者、接收者、傳輸方式、所涉及內容的類型、內容的安全等級以及實際內容本身。這將為安全團隊提供調整策略,糾正數據濫用和跟蹤潛在高風險用戶所需的相關信息。
d)格式化顯示:DLP 系統應支持對使用 Webmail 外發敏感數據時,能夠在事件詳情內智能格式化展現郵件發送人、郵件接送者、郵件抄送者、郵件密送者、郵件主題等相關信息。
e)事件關聯合并:DLP 系統應支持對短期內同一來源及同一目標和同一外泄方式的相似事件進行合并展示 ,降低管理員處理事件的復雜性,減少問題處理時間。
f)日志查詢功能:DLP 系統應具備完善的日志查詢功能,支持按不同參數進行查詢、過濾和排序報告。可以通過相應的過濾器,對所有的日志進行精確查詢和報告,例如:用戶組、策略組、策略規則、嚴重性、用戶名等。
g)基于用戶的報告 DLP 系統應可以針對個人風險值、個人風險排名、個人事件數據統計等生成以人為中心的報告。
h)數據分類查詢:DLP 系統應提供基于“數據分類”并且以數據分類的形式來呈現數據安全報告。
DLP應用場景
DLP 解決方案既能保護敏感數據,又能深入了解組織內數據的使用情況。DLP 幫助安全人員更好地理解數據,并提高其分類和管理內容的能力。
如下圖所示:全套 DLP 解決方案需要提供對整個組織的網絡、郵件、數據庫、移動應用、端點、內部業務應用的全面覆蓋。
1、發現DLP
2、網絡DLP
3、郵件DLP
4、終端DLP
5、應用DLP
6、移動DLP
