俗話說，外行看熱鬧，內(nèi)行看門道。隨著國家網(wǎng)絡(luò)安全法及一系法規(guī)制度陸續(xù)推出，企業(yè)網(wǎng)絡(luò)安全成為近年IT領(lǐng)域風(fēng)口浪尖上的話題，與其相關(guān)的資本、市場和技術(shù)信息讓人目不暇接。但是企業(yè)信息安全從業(yè)人士深刻體會到這次熱潮中一個非常大的亮點：對企業(yè)數(shù)據(jù)資產(chǎn)的保護，即數(shù)據(jù)安全成為企業(yè)信息安全的核心。

雖然國內(nèi)企業(yè)信息安全已經(jīng)過二十多年的高速發(fā)展，但思維還停留在防火墻、入侵檢測、防病毒等傳統(tǒng)的、被動的企業(yè)邊界南北防護手段上，其核心目的仍然是防止黑客從外向內(nèi)進行病毒、蠕蟲或者木馬等的攻擊行為。據(jù)國家計算機信息安全測評中心等權(quán)威機構(gòu)提供的數(shù)據(jù)顯示，國內(nèi)企事業(yè)單位內(nèi)部重要機密通過網(wǎng)絡(luò)泄密而造成重大損失的事件中，只有1%是被黑客竊取造成的，其余97%都是由內(nèi)部員工有意或無意泄露而造成的。因此，企業(yè)網(wǎng)絡(luò)安全的重心必然會從傳統(tǒng)的由外到內(nèi)的攻防而轉(zhuǎn)向由內(nèi)到外的數(shù)據(jù)防泄露。

數(shù)據(jù)防泄漏解決方案在國內(nèi)并不是空白之地，數(shù)據(jù)防泄漏產(chǎn)品已上市很長時間，其功能滿足企業(yè)文件數(shù)據(jù)加解密需求，其技術(shù)是利用加密解決數(shù)據(jù)傳輸?shù)陌踩珕栴}，利用認證解決訪問者權(quán)限問題。究其原因，是因為國內(nèi)企業(yè)仍專注對人或設(shè)備的安全進行管理，并沒有把企業(yè)數(shù)據(jù)做為安全的重點。目前，國內(nèi)最典型、最成熟的數(shù)據(jù)安全案例，是很多大型機構(gòu)都正在使用的企業(yè)郵件系統(tǒng)加密解決方案，該類方案的實施結(jié)果是員工需要經(jīng)常在“降低業(yè)務(wù)效率（郵件因為被不適宜的安全規(guī)則阻斷等）”和“發(fā)生安全事故（繞過這個加解密路徑）”兩者之間做出選擇。目前這波企業(yè)網(wǎng)絡(luò)安全熱潮中雖然數(shù)據(jù)成為中心，但一個令人擔(dān)憂的現(xiàn)象也隨之而來。數(shù)據(jù)安全法規(guī)出臺后，很多企業(yè)因為之前沒有數(shù)據(jù)安全解決方案，現(xiàn)在為了免責(zé)倉促上馬安全方案，在市場上缺乏指導(dǎo)理念和合適的數(shù)據(jù)安全方案的大前提下，往往又會選擇類似的數(shù)據(jù)文件加解密方案，重蹈別人的覆轍。

因為美國企業(yè)文化中對知識產(chǎn)權(quán)和個人隱私非常重視，所以數(shù)據(jù)防泄漏一直就是企業(yè)網(wǎng)絡(luò)安全的重中之重，CIA（Confidentiality， Integrity， Availability）理論和4A（Account，Authorization，Authentication， Audit）體系從本質(zhì)上講都是圍繞著企業(yè)的數(shù)據(jù)安全做文章。而DLP做為企業(yè)網(wǎng)絡(luò)安全里面的一個獨立垂直市場，從一開始就和終端EDR、網(wǎng)絡(luò)數(shù)據(jù)加解密/認證等技術(shù)在不同的軌道上發(fā)展。在美國，2003/4兩年是DLP技術(shù)的爆發(fā)時期，從那時起，DLP技術(shù)產(chǎn)品一直在不停地演進。直到現(xiàn)在，市場上雖然DLP解決方案一直是剛需，技術(shù)也層出不窮地涌現(xiàn)，卻一直沒有非常完美的產(chǎn)品出現(xiàn)。

DLP技術(shù)根據(jù)其部署位置可分為終端DLP、網(wǎng)絡(luò)DLP和服務(wù)器端（存儲）DLP，根據(jù)可能的泄露載體又可分為終端DLP、郵件DLP和WEB DLP等。現(xiàn)代DLP產(chǎn)品核心技術(shù)包括以下幾點：

01

DCI（Deep Content Inspection）：不同于網(wǎng)絡(luò)流量分析產(chǎn)品NPM/APM里面用到的DFI和DPI技術(shù)，只需要在網(wǎng)絡(luò)層基于包（Packet）或流（Flow）做掃描匹配，DLP是需要在內(nèi)容層面做深度掃描，匹配精確度和掃描性能是衡量技術(shù)的標尺。

02

內(nèi)容還原：因為要做DCI，所以我們需要要把網(wǎng)絡(luò)中傳輸?shù)奈募暾剡€原出來，提供給DCI引擎做掃描匹配處理，這里最大的挑戰(zhàn)是必須把文件完整地還原出來，意味著無論旁路鏡像還是inline proxy都不能丟包，做到不丟包說易行難，相比較而言，DPI技術(shù)是沒有這個要求的，因為客戶往往對此無感知。

03

敏感規(guī)則定義：企業(yè)用戶需要根據(jù)自身業(yè)務(wù)的需求定義所需要匹配的敏感字典，DCI引擎掃描還原出的傳輸文件，匹配該敏感字典內(nèi)的敏感字（段），以確定該文件是否包含敏感內(nèi)容，這里最大的難點有兩個，一是如何定義完整的、敏感程度準確的規(guī)則，如何做到1）不影響業(yè)務(wù)、2）不漏報、3）不誤報，是對企業(yè)安全運維人員的巨大考驗；二是和其他傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品一樣的相關(guān)規(guī)則的系統(tǒng)管理問題。

既然DLP是企業(yè)安全市場的剛需，又有近二十年的發(fā)展歷史（指美國歐洲而言，國內(nèi)還是在春秋戰(zhàn)國時期），為什么市場上還是沒有完美的DLP解決方案或產(chǎn)品出現(xiàn)呢？國內(nèi)企業(yè)如何從歐美企業(yè)實施的DLP案例里取得真經(jīng)、少走彎路呢？實際上DLP本身的內(nèi)容掃描和敏感字匹配的技術(shù)已近爐火純青之境界，以下幾點因素應(yīng)該是目前企業(yè)DLP所處困境的根源所在：

01

DLP產(chǎn)品需要客戶預(yù)先定義復(fù)雜的敏感匹配規(guī)則，而客戶定義好這個規(guī)則的前提是對企業(yè)網(wǎng)絡(luò)上的數(shù)據(jù)有非常清晰的了解，按當下時髦的術(shù)語就是有很好的數(shù)據(jù)梳理。并且對使用這些數(shù)據(jù)的業(yè)務(wù)也有所了解，對于現(xiàn)在絕大多數(shù)企業(yè)的網(wǎng)絡(luò)安全運維人員來說，沒有企業(yè)決策層和業(yè)務(wù)團隊的鼎力支持和配合，沒有時間和資源的大量投入，這個清晰了解企業(yè)數(shù)據(jù)和相關(guān)業(yè)務(wù)的前提基本上是一個不可能完成的任務(wù)。

02

目前的DLP產(chǎn)品和其他傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品一樣，都是應(yīng)對單個事件（single event）的產(chǎn)品，只是在網(wǎng)絡(luò)上的文件內(nèi)容匹配到預(yù)先定義的敏感數(shù)據(jù)規(guī)則那一時刻產(chǎn)生預(yù)警或阻斷的動作，這種單個事件的處理方式往往因為缺乏上下文的關(guān)聯(lián)分析而產(chǎn)生大量誤報（False Alert）或阻斷正常的業(yè)務(wù)。

03

DLP產(chǎn)品在控制維度上比較單一，定義規(guī)則和數(shù)據(jù)（匹配上敏感規(guī)則）IP相關(guān)，最多再加一個時間點，這對于特定業(yè)務(wù)場景定義準確的DLP匹配規(guī)則往往顯得捉襟見肘。

04

目前DLP所遇困境最關(guān)鍵的一點，企業(yè)的數(shù)據(jù)不是靜止不變而是有生命周期的，在這個周期里數(shù)據(jù)的敏感度不斷變化，新數(shù)據(jù)隨著企業(yè)業(yè)務(wù)的進行每天層出不窮。如何為敏感度變化的已有數(shù)據(jù)和新出現(xiàn)的數(shù)據(jù)定義并實時調(diào)整匹配規(guī)則，在當前企業(yè)安全文化和技術(shù)體系下，企業(yè)網(wǎng)絡(luò)安全人員能夠做好DLP規(guī)則實時調(diào)整優(yōu)化，基本上就是癡人說夢。

雖然目前DLP技術(shù)看似走到了死胡同，但并不是一個無解之局。他山之石，可以攻玉，最近幾年網(wǎng)絡(luò)安全在其他領(lǐng)域的創(chuàng)新為DLP帶來了涅槃之機，大數(shù)據(jù)分析、態(tài)勢感知、UEBA等技術(shù)的結(jié)合使用都使得NG DLP呼之欲出：

01

企業(yè)業(yè)務(wù)每天都在產(chǎn)生新的數(shù)據(jù)，數(shù)據(jù)的敏感度也在隨時變化。因為企業(yè)數(shù)據(jù)不是靜止狀態(tài)，而是有其生命周期，所以對數(shù)據(jù)動態(tài)的監(jiān)控就至關(guān)重要，需要有一個“無規(guī)則、無死角”對企業(yè)網(wǎng)上流轉(zhuǎn)數(shù)據(jù)的全方位監(jiān)控并高效呈現(xiàn)的工具。這樣企業(yè)網(wǎng)絡(luò)安全運維人員就能夠針對性地與業(yè)務(wù)人員進行敏感性討論，使得實時優(yōu)化調(diào)整DLP匹配規(guī)則成為可能。

02

傳統(tǒng)的DLP定義匹配規(guī)則時考慮的維度太少，使得應(yīng)對復(fù)雜場景的合理規(guī)則無法定義，下一代的DLP產(chǎn)品通過對企業(yè)內(nèi)網(wǎng)上多個維度的實體1）畫像并實時更新、2）建立實體畫像間關(guān)聯(lián)關(guān)系、3）學(xué)習(xí)實體網(wǎng)上行為等技術(shù)手段，為企業(yè)提供很多場景下的定義復(fù)雜規(guī)則的可能。譬如：提供更完整的敏感（好的：知識產(chǎn)權(quán)；壞的：病毒/惡意代碼）數(shù)據(jù)溯源證據(jù)鏈、資產(chǎn)管理保護、行為異常分析等等。

03

發(fā)展到今天，企業(yè)需要的是一個完整的數(shù)據(jù)安全解決方案，目前的DLP產(chǎn)品預(yù)先定義規(guī)則，是一個single event產(chǎn)品，只管當下，缺乏分析功能；而審計產(chǎn)品都是一種事后被動的查找過程，無法滿足企業(yè)及時主動發(fā)現(xiàn)的需求。譬如滿足GDPR提出的企業(yè)如果能夠72小時內(nèi)發(fā)現(xiàn)并上報數(shù)據(jù)泄露事故可免職的需求。下一代的DLP產(chǎn)品一定能夠通過采用AI機器學(xué)習(xí)技術(shù)在時間軸上做數(shù)據(jù)行為的預(yù)測監(jiān)控分析，主動及時發(fā)現(xiàn)異常行為。總之，力圖把數(shù)據(jù)泄露的發(fā)現(xiàn)變被動為主動，滿足及時發(fā)現(xiàn)并處理的需求。

我們有理由相信，下一代DLP能夠真正成為為企業(yè)數(shù)據(jù)安全保駕護航的堅強之盾，具有“審計過去，監(jiān)視現(xiàn)在，預(yù)測未來”的功能是NG DLP與傳統(tǒng)DLP的分水嶺！

關(guān)于全息網(wǎng)御：全息網(wǎng)御科技融合NG-DLP、UEBA、NG-SIEM、CASB四項先進技術(shù)，結(jié)合機器學(xué)習(xí)（人工智能），發(fā)現(xiàn)并實時重構(gòu)網(wǎng)絡(luò)中不可見的”用戶-設(shè)備-數(shù)據(jù)”互動關(guān)系，推出以用戶行為為核心的信息安全風(fēng)險感知平臺，為企業(yè)的信息安全管理提供無感知、無死角的智能追溯系統(tǒng)，高效精準的審計過去、監(jiān)控現(xiàn)在、防患未來，極大提高IT安全運維和安全人員響應(yīng)事故、抓取證據(jù)鏈、追責(zé)去責(zé)無責(zé)、恢復(fù)IT系統(tǒng)的能力和效率。

總結(jié)

以上是生活随笔為你收集整理的DLP之来世今生的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。