尽管企业部署了各种安全技术,还有政府和行业法规规定与员工安全意识培训,但企业仍然不可能避免员工的安全错误。当员工访问、使用和共享他们的数据时,他们经常容易犯错误,而这可能导致严重的数据泄露事故。例如,他们会将机密文件通过电子邮件发送到他们家里的系统;他们会不经意地将未加密的受监管的数据保存在网络某处;他们每天可能犯其他各种错误让机密数据处于危险之中,或者以违反安全政策的方式使用数据。
Freeman Decorating公司信息安全经理Johnny Matamoros深知这些挑战。该公司的IT团队采取了正确的措施来更好地保护数据。他们将网络分成网络段,包括处理信用卡数据的那部分,他们还为员工提供了对电子邮件进行加密的方法。但Matamoros表示,他们没有有效的途径来发现潜在的数据泄露事故。“当特定数据类型进入或者离开企业时,我们并没有一个有效的解决方案或者流程来持续监控、发现、警报和报告。在我们的用例中,最重要的数据类型是信用卡信息。”
为了快速发现这类事件,Matamoros部署了McAfee数据丢失防护(DLP)。虽然这个部署成功,但并不是说他们没有遇到障碍和受到教训。尽管很多部署了DLP技术的企业都声称有一定效果,限制了数据丢失,但取得这种成功并不是容易的事。
为了学习从DLP真实部署中吸取的最常见的经验教训,我们采访了一些非常熟悉DLP市场的专家,以及成功部署DLP的安全经理。以下是他们分享的建议:
你自己的数据管理成熟度跟DLP技术即使不是更重要,也是同等重要。事实上,IT安全市场研究公司Securosis首席执行官兼分析师Rich Mogull表示,这种技术通常能够如预期运作,但它并不是成功部署DLP技术的头号帮手。“如果想要确保DLP部署的成功运作,作为一家企业,你必须提高数据管理成熟度,企业必须清楚其数据的位置以及如何保护数据。困难之处在于从头开始确定需要保护的重要数据以及这些数据的位置,这是很艰巨的工作。”
1. DLP技术部署:太过了,太快了
另一个失败部署的常见问题在于对于DLP筛选和控制的数据处理太过头、太快了。企业管理协会研究主管Scott Crawford表示:“如果你这样做的话,你可能会遇到明显的误报问题。对于收集多少数据、存在多少相关数据以及误报命中率怎样等问题时,还存在潜在的问题。你需要计划分配资源来调整你的部署。”
Mogull表示:“最初,寻求快速的胜利。通过启用一组规则来获取对你的环境的高水平的视图,但不用担心执行这些政策的问题。你只需要用这种方法以较高水平来尽可能多地寻找更多的东西,将其作为一种风险评估,来找出你最大的问题领域。”
Crawford同意寻求易实现的快速胜利,他补充说:“这将使数据具有高结构化和高识别性,提供最少误报、最简单的管理。”这通常意味着从符合特定格式的账户数据开始,例如账户号码、社会安全号码、信用卡数据和类似结构化信息。但有点麻烦的就是非结构化数据,例如知识产权,企业需要特别重视这些数据,对于这种数据,分类就显得尤为重要。
2. 未能为进行中的系统响应和调整做好计划
当你开始寻找数据时,你必须做好准备将可能被数据的数量、数据的不同类型、数据传输源以及数据本身的内容所淹没,Matamoros表示:“对数据内容做好准备是不能掉以轻心,因为你永远不知道你会捕捉到什么内容。此外,你必须明确你想要监测的数据类型,以及当数据被DLP发现时你想要采取的行动。”他补充说:“即使确定了适当的数据类型,也要准备花一些时间根据你企业的情况对误报进行调整。”
DLP是一个技术“解决方案”。医院及医疗护理服务供应商Providence Health & Services的区域信息安全官Charles Lee表示,几年前,Providence试图确保机密数据(例如患者、员工和合作伙伴的敏感信息)不会被不安全地传输。这不仅仅是通过检测可能被泄露敏感数据,就能带来真正的长期的胜利,Lee表示:“DLP只是一个工具,它只是告诉你你的风险区域在哪里,在我看来,真正的胜利是它给用户带来的警惕意识和培训。”
根据Lee表示,随着Providence逐渐提高其DLP部署,每次用户触发一个DLP事件,都是一次练兵的机会。他表示:“他们通过辅导和培训,了解正确处理信息的方式。这还能够改善企业发现不良的且不安全的业务流程。DLP不是一个部署后即忘记的技术,它可以帮助企业提高员工意识和改善业务安全工作流程。”
3. 没有运行概念证明型部署
好的开始是成功的一半,Freeman Decorating公司的Matamoros建议从可管理的概念证明开始。“至关重要的是,企业必须获得高管同意,不仅包括使用哪些捕捉过滤,还有采取怎样的措施以及联系什么人,你应该可以看到触发了哪些过滤器。此外,你应该正确地识别能够提供你想要监测的数据的网络位置,一旦你开始监控,做好准备面对结果,因为在最初这可能是很海量的。”
