企业级 DLP 的未来—云应用数据安全
星期二, 十月 29, 2019
当安全能力逐渐成为业务发展的重要支撑,确保数据资产的安全,特别是敏感数据,也受到安全工作的格外重视。无论是财务数据、人事数据、还是诸如 VIP 客户等重要的业务数据,几乎没有企业愿意接受这些重要数据的外泄。这些数据泄露事件的发生,或因曝光导致公众形象受到负面影响,或直接帮助了商业竞争对手,甚至可以侵害到国家安全。
文档加密、数据防泄露 (DLP) 是预防和制止数据泄露发生最为直接的两种安全能力。而且在国内,都占有重要的市场份额。但是在能力侧重点上,又有明显区分。文档加密通过兼具效率和强度的加密技术,以及文档水印(可显可隐),在牺牲一定办公效率和体验的前提下,在事前阶段实现泄密的预防以及事后的审计追责。DLP 则是基于深度内容发现能力,在终端、邮件服务器、Web 出口等位置,对包含敏感内容的数据进行发现,并根据基于企业架构、业务流程和数据资产价值预设的安全策略,事中阶段进行不同的响应操作,譬如告警、阻断等。相比于加解密方案,基于内容检测的 DLP 对使用人员的业务流程的改动最小,在允许的范围内,基本上不会改变使用者的使用习惯。
本文聚焦在以 DLP 为核心技术体系与解决方案的发展路线,基于安全牛近期对成立近 5 年,专注数据安全的安全初创企业——天空卫士董事合伙人、高级技术总监杨明非的采访内容,从天空卫士的视角阐述对数据安全体系的理解与变化。
统一内容安全 (UCS) 是天空卫士在成立之初就在推行,以 DLP 为核心基础能力的安全体系。
Gartner 从十年前就已经开始关注 DLP 的市场,到今天,杨明非认为,DLP 的内容识别和发现能力,并不是一个多么新颖的安全技术或应用。通过在员工办公终端安装客户端,以及在网络出口旁路镜像流量的方式,对敏感内容进行识别、发现,是非常经典的一种 DLP 方案。
天空卫士在 2015 年推出 UCS 的理念,则要更为复杂、全面。
从方案来看,为了更好地应对大型企业多分支机构管理方面的困难和挑战(这包括 DLP 客户端的覆盖率、策略的有效性等),天空卫士在典型的 DLP 方案中,基于 DLP 的内容发现能力,以代理或网关形式,扩充了对邮件服务器、Web 访问的管控,并通过集中的管控平台,集中进行策略的下发、部署和更新。
当然,UCS 的方案虽然更加能力覆盖更加全面(特别是从邮件角度做了重要补充),但是,在实施,特别是策略的配置、优化方面,需要大量的原厂工程师配合的人力投入,仍是不小的挑战。
此外,部分行业客户,如互联网,在实施时也有来自员工对隐私担忧的阻力。
对此,杨明非表示,目前普遍的情况是,基于终端对员工的深度监控能否顺利推行,和相关地区的国家的法律、企业的战略和内部文化都有关系。配发办公终端的情况,企业一般会提前告知;但其它情况,一般是只对涉及企业工作空间的应用进行监控,在后端工作和个人的界线会比较清楚。
推行 DLP 的决心和成本,对企业而言都是不小的考验。有时,这是隐私和监管的平衡。愿意去做这件事情的企业,更多情况是如果管控不到位,大概率会给企业带来更多商业上的损失。
当然,也有收获和发展。那就是越来越多的客户,看到、愿意相信基于 DLP 能力的方案价值。直接表现就是,在客户环境测试一段时间后,越来越多的客户选则了(部分)串联阻断,而不只是旁路告警或审计的方式。
近几年,内部威胁事件频发,各行业都对内部威胁防范工作愈加重视。这也是天空卫士在 2018 年初,将原有 UCS 体系结合 UEBA、统计学模型、威胁情报和机器学习算法,提出内部威胁防护 (ITP) 的契机。
天空卫士和 Gartner 合作的报告 (Newsletter)《市场洞察:先进内部威胁检测产品的市场进入策略》对四种典型的内部威胁检测技术的优缺点进行了分析。
这四种技术可大致分为三类,一是以数据为中心的审计和保护,二是用户和实体行为分析,三是基于代理对雇员进行监控。
总体而言,每种技术都有各自的优势和成本,每个客户的需求也有不同的侧重点。因此,对多种关键技术和能力的有效融合,是天空卫士 ITP 解决方案的重要价值。
天空卫士认为,内部威胁的检测和防护,要更关心人和数据的行为,并实现人员和实体的风险评估,以此来持续优化安全管理。
ITP 方案从(移动端)终端(行为)、网络、邮件、APT活动等角度,结合用户现有的威胁情报、上网行为、NGFW、身份认证等安全能力,汇总到 ITM 分析引擎进行风险评估,评估结果将用于策略的优化、更新,设备的管理和统计报表生成。
从经典的 DLP 旁路方案,到集成 DLP 深度内容发现能力,根据客户需求和技术发展趋势延展而出的UCS和 ITP 方案,我们不难发现,DLP 方案中,DLP 技术似乎已经慢慢从原来的绝对 C 位退下,成为一个基础能力。并且,DLP 方案还在根据事件、需求、(安全&IT)技术的发展、变化,而不断扩大、吸纳更多的能力。
那么,我们还可以继续称之为 DLP 方案么?
对这个疑问,杨明非认为,从天空卫士的积累和实践来看,企业级 DLP 能力不能只狭义的认为是旁路部署的 DLP 盒子,而应是一个以理解数据为基础能力,随着 IT 架构和应用场景不断变化而延展的安全能力体系。
安全保护的对象是数据,只有理解数据,能够更好的利用数据,才能有效的保护数据。
Gartner 在其 2018 年企业级 DLP 的魔力象限报告中也陈述了类似的观点:
DLP 是一个定义良好的安全过程……企业级 DLP 方案应提供集中式的策略和事件的管理,用于定义、分发、监控多个部署方案(如终端、网络边界/云访问安全代理、邮件、云、发现等)的 DLP 策略……同时,企业级 DLP 解决应采用高级内容检测技术,提供广泛且灵活的部署方案,以适用诸如法律和内部策略合规、知识产权保护等不同需求。
顺应此趋势,天空卫士在 2019 年年初发布了其云战略,作为原有 ITP 方案在数字化转型的大趋势下,聚焦云内数据安全,进行能力延伸。
天空卫士的云数据安全方案,有两个角度。一是云内应用的数据安全,这包括存储数据的敏感内容发现、数据流动的监控和保护、以及数据内容的安全分析,以便进一步处理。另一个角度是对企业云应用的访问,也有两个方向,分别是从移动端的访问,以及处于分支机构或互联网来自 PC 的访问。
其中,云内(敏感)存储数据的发现能力,天空卫士云数据安全方案的核心应用,也是后续数据管理、安全策略制定的前提。
杨明非介绍,存储数据的风险,主要有三点,分别是敏感数据未经加密或脱敏,或者加密和脱敏措施没有完全成功,以及在开放区域存放了敏感内容。但是,混合的云环境,让实现敏感数据分布的可视相较于经典IT架构更加困难。天空卫士的优势在于对IT架构和云应用覆盖的全面性,无论是本地数据中心、终端,还是 SaaS 或 IaaS 提供服务的云应用,客户都可以根据预先定制的策略(如敏感数据的格式、内容、匹配方式等),对存放在 NAS 服务器、云应用、云盘等位置的存储数据进行敏感内容的发现,而且是可以定时、持续的数据发现。
云应用的广泛和灵活,也让云内的数据发现和治理更加复杂和困难。无论是从合规,还是源码、用户隐私等敏感信息存储配置的审查以及防泄露的角度,敏感数据发现能力都是有关键意义的。
此外,云环境下还有大量机构化和非结构化数据的交换场景。云应用自身对数据出入缺乏管控的依据和能力,也是亟待补充的一点。
所以,在整个云数据安全方案中,天空卫士的思路是应用也要能对出入数据进行实时内容安全审查。企业级应用往往自带丰富、细致的控制能力,通过 RESTful API,天空卫士可以将出入特定应用数据的深度内容分析结果反馈给应用,用户可以从应用管理的角度,对流转数据进行实时审计,并对异常行为进行响应。
后续,杨明非表示,扩充企业级 DLP 方案的适用场景,更多的依托云的灵活与便捷、探索(托管式)数据安全服务会是天空卫士的重点方向。
安全技术和方案的价值在于能够真正解决客户的痛点,而不是理念的新颖、前沿。以深度内容发现能力为代表技术的 DLP,能够针对性的结合其它技术(不局限于安全),并持续适应客户 IT 环境和安全需求变化而变化,这也正从侧面体现了这一安全技术的生命力。而这,从更宏观的角度看,也正与信息安全的定位的转变——从事件驱动、安全厂商的 “噱头” 转向 IT 和核心业务的重要底层支撑相匹配。数据安全是近两年安全行业的热点,顺应各行业数字化转型的浪潮,以内容发现能力为基础,企业级 DLP 方案的能力内涵势必会跟加丰富。
相关阅读