DLP:从英雄到狗熊再到英雄
10年前,数字经济开始腾飞的时候,数据防泄漏(DLP)技术被视为公司敏感内部数据和客户数据的救星。若干年来,DLP经历了从英雄到狗熊再到英雄的循环往复。
在经典的“许愿需谨慎”情况下,企业开启了DLP,然后忽然发现自己的业务流程都瘫痪了,而他们的DLP管理员也被大堆警报淹没。这是初始实现者没能认识到DLP技术对日常业务流程影响的后果,他们也没有想象到该工具策略“违反”的规模会有多大。
更糟的是,很多警报最终被查明是误报,浪费了分析师和调查人员的时间去扑灭并不存在的火灾,让大家都血压升高。
于是,沮丧的买家大多直接关掉了DLP策略,防止其阻碍到业务流程。但同时,这也减少了从该技术获得的好处。
有些买家聘用了大量分析师来尽力过滤噪音,争取抓住作乱者。剩下的一些客户,压根儿就没实现DLP策略,让他们的公司或某些渗漏途径(比如USB端口、电子邮件网关等)大喇喇地敞着。无论哪家公司的做法,总体结果都是令DLP技术名声变臭,达到了连提都不能提的程度。
不过,此一时,彼一时。很多因素让DLP技术枯木逢春,作为保护敏感数据的方法东山再起。
原因之一,是一系列重大敏感数据泄露事件的发生。没有什么能像“董事会和高管询问CISO的数据泄露负面事件防护工作”那么有推动效果了。另一个原因,是云应用、移动计算和远程连接的爆炸式发展。
数年前,云和移动应用才刚刚起步的时候,数据还相对受控,但现在,数据分散而流动性大,已经远不及当年受控。
最后,压垮骆驼的最后一根稻草,是包括了强制敏感数据保护的监管要求。若没实现保护措施,将会受到大额罚款和相应惩处。
监管法案中首要提及的就是欧盟的《通用数据保护条例》(GDPR)。数据防护方面,GDPR重点放在保护欧盟公民权益上。其要求宽泛,还有高达全球收益4%的罚款。该条例的基本要求,是确保敏感数据不暴露在未授权人士眼下,尤其是“非GDPR国家”的人。
DLP无疑是很适合做这项工作的技术,但仅DLP一项,尚不足以担负起该重大责任。以上因素,加上DLP及相关技术的重大发展,让DLP实现更加重要、实用和有效了。其结果就是,DLP东山再起。
DLP技术已有重大改进,不仅仅是在多渠道,比如云上捕获数据渗漏事件的能力,还有其可调查对象格式的扩展,比如图像格式也可进行检查。这些新功能,让DLP在更多场景中的检测更加可靠,形成了更好的防护效果。但,这还没解决报告事件数量过多的问题。
而用户及实体行为分析(UEBA)技术的诞生,让DLP的有效性有了长足进步,可以将无尽的事件级警报汪洋大海,使需调查的可疑用户列表大幅减少到能够处理的程度。
采用类似“同事分析”之类的技术,也就是将个人行为与同家公司同个经理手下的同事做对比,UEBA可以最少化误报,加速人类分析员的工作进度。
UEBA与DLP携手进化,如今可集成多种用户活动方法。比如身份验证、代理及云安全访问代理(CASB),还有威胁情报之类的数据源,用以提升对不良通信和攻击指标(IoC)的识别度,找出被入侵的账户。该进化带来了更加基于风险的威胁视图,可以了解用户的潜在动机,指征可疑用户电脑上所发生事件的风险性。
DLP和UEBA技术已不复当年模样,有了跨越式发展。它们身处其中的网络分析生态环境,也在持续快速进化,综合额外的数据来源,进一步提高机器学习算法的准确性。
这些持续的发展将提升此类技术的功能,并减少“识别和缓解内部人威胁”这一过程中的人类参与度。
数据防护的挑战并未消失。即便坏人没有不断改进其攻击战术,数据的膨胀也让安全人员的工作越来越难以着手。DLP将继续成为敏感数据防护和未授权暴露预防的基石,重装上阵。
相关阅读