数据丢失防护(DLP)是企业信息安全团队工具包中越来越受欢迎的解决方案。然而,选择DLP系统的标准往往像购买防腐剂的清单一样模糊。因此,他们选择了一个使用更具侵入性的广告并承诺提供额外功能且价格极具吸引力的品牌。值得注意的是,这些系统提供了许多营销手册中未列出的功能。在这里,错误选择的成本可能远高于错误购买家用化学品的成本。信息安全专业人员最好仔细检查这些功能,而不是对可用功能进行正式比较。如今,许多DLP系统提供了不同复杂程度的选择。在比较表中提及额外的功能总是很诱人,但这并不一定意味着额外的好处就能满足客户的期望。在急于推出产品时,一些软件发行商可能会忽视对产品质量、用户体验和可靠性的保证。技术成熟的企业解决方案的主要优点是供应商可以对其进行适当维护并发布新功能。DLP系统通常是根据三年或五年的规划期限来选择的,因此满足当前需求并不是唯一的选择标准。您需要了解供应商的发展方向,并预测贵公司未来可能面临的任务和问题。以下注意事项将为您指明正确的方向,以了解解决方案的好坏以及您的投资是否能让您获得完全符合基本企业软件标准的产品。内容阻止DLP系统旨在阻止由员工错误或恶意软件引起的数据泄露。主动终止可疑操作是实现这一目标的唯一途径。但是,一些公司会选择在监视模式下利用这些解决方案,而不是直接篡改数据移动。同时,所有信息都存储在档案中,安全主管通常会在事后对泄漏做出反应。也就是说,对内容阻止功能的请求可能会失去优先级,因为它们未计划主动使用。通过采取侵入性较小的监控路线,信息安全专业人员还可以尝试避免DLP系统的误报或故障。例如,如果解决方案通过中断电子邮件或其他同等重要的服务对可疑事件反应过度,其后果可能会超过数据泄露的后果。这种缺陷通常是提供稀缺配置选项的不成熟DLP系统所固有的。由于缺乏阻止模式而发生的数据泄露可能会很麻烦且恢复成本高昂。此外,越来越多的国际法规(如欧盟的GDPR)也开始要求组织机构使用内容拦截来防止数据泄露,不遵守规定的企业可能需要支付巨额罚款。由于技术原因,DLP工具监督的某些通信机制可能无法被阻止。例如,由于Telegram和WhatsApp使用的数据加密技术的特殊性,被动监控将是它们的唯一选择。但是,如果DLP系统不支持在检测到异常活动时阻止电子邮件、打印机、USB端口和基于HTTP/HTTPS的Web服务,那么它将无效。策略和内容分析并非所有当前的DLP系统最初都设计为成熟的保护工具。一些开发人员从一开始就加入了一层安全性,并辅以额外的控制,以便能够在以后监控通信通道的其余部分。由于必须与后续架构增强保持一致的原始模块的约束和独特特性,结果可能与最终产品的预期效率不一致。因此,DLP系统如何实施内容分析的性质可能会为您提供有关它从何处开始的线索。例如,如果受监控设备上的端点代理使用SMTP协议将数据提交给DLP服务器进行分析,则可以安全地推断该解决方案最初可能仅包含电子邮件检查模块。在这种情况下,代理可能无法从服务器接收分析结果。如果是这样,则在打印文件或将文件保存到驱动器时??无法进行内容屏蔽。此实现的另一个弱点是它需要依赖与服务器的永久连接,这意味着网络拥塞可能会中断该过程。检查您的DLP解决方案是否可以优先处理网络流量是个好主意。使用经过深思熟虑的架构,可以在端点代理级别的策略生效的地方执行内容分析。这样,不需要通过网络提交大量数据,流量优先级问题也不是安全问题的一部分。未连接到公司网络除了启用内容分析和应用公司策略外,DLP代理还需要向服务器发送事件日志、不同文件的卷影副本和大量其他信息。如果服务器的数据存储库变得不可访问,这些有价值的详细信息不应丢失。通常,此信息保存在本地磁盘上,并且需要在连接恢复后立即提交给服务器。根据服务器的连接状态,应采用不同的策略。在建立连接、通过VPN服务连接端点或关闭连接时需要指定它们。当使用公司发放的笔记本电脑的员工不在办公室时,例如旅行或在家远程工作时,这一点尤为重要。便利性不同的用户对系统使用和管理的便利性可能有不同的看法。有些人喜欢使用命令行来管理DLP,而另一些人则喜欢通过脚本语言来设置策略和规则。在许多情况下,简洁直观的界面的可用性可以解释为高质量产品的标志,因为其重要模块可能同样设计精良。当谈到界面的用户体验时,有几个细微差别需要考虑。首先,最好是一个一体化的管理仪表板。Web控制台现在是最常见的。它们受不同平台支持,不需要任何附加软件,并且易于在移动设备上使用。如果产品提供单独的控制台来处理不同的模块,则意味着它不是作为一个单一的综合系统创建的。这些组件很可能被不同的软件工程团队或供应商集成到解决方案中,然后在开发周期中相互链接。精心定制的系统的另一个方面归结为所谓的“全渠道”政策。例如,如果您需要设置一个策略来管理法律合同,您只需执行一次并指定它应该包括哪些渠道(电子邮件、USB驱动器、Web服务等)。在设计不佳的DLP系统中,您必须分别为每个通道创建类似的策略。虽然乍一看这似乎没什么大不了的,但随着保单数量的增加,事情可能会变得一团糟。当它们有几十个时,它们的规则定义了多管齐下的条件,包括时间范围和用户组,让它们保持同步可能会很麻烦。服务器数量要求不成熟的DLP设计的另一个标志是系统正常运行所需的服务器数量过多。例如,如果一个最多有100名员工的试点项目需要一台以上的服务器,则可能需要改进架构,并且在生产中可能需要额外的资源。一流的解决方案可确保全面平衡扩展。对于大型组织,应该有一个选项来隔离一些系统组件并为每个组件分配单独的服务器资源。然而,对于较小的计算机网络,保持DLP系统平稳运行的服务器数量不应不成比例。实施值得称赞的DLP系统的灵活性应该在实施机制上提供足够的回旋余地。这不仅可以更轻松地将解决方案与现有数字基础架构集成,还可以让您在保持对多个渠道的控制的同时平衡功能和处??理负载。如果跨DLP范围的多个系统提供在端点代理级别控制所有通道的选项。通过减少开发时间和软件工程支出,供应商可以从这些工具中获益。这种架构不符合企业级标准。因为在网关层管理网络通道更有意义。对于大规模DLP部署,这可能是唯一合理的选择。除了使用端点代理作为数据移动控制源之外,有效的DLP工具还提供以下可选实施:邮件服务器集成。此策略还允许您监控内部电子邮件。选择接收来自您的技术邮箱的电子邮件通信。使用Internet内容适配协议(ICAP)与现有Internet网关集成。独立邮件传输服务器。主要供应商提供自己的代理服务器,可以与DLP系统无缝集成以监控HTTP和HTTPS流量。云基础设施云DLP解决方案的质量和数量肯定会增长,因为许多公司正在转向远程工作模式,同时希望在安全服务上节省资金。如今,通常需要将DLP系统的服务器组件也保存在云端。这通常发生在试点项目或小型组织中。DLP系统的档案通常包含公司的所有机密,没有多少企业主希望将其置于不受控制的环境中。但是,如果DLP系统不支持在云中托管服务器模块的选项,则可能会在某些时候产生不利后果。试图控制云存储和服务会带来一些问题。例如,当组织使用GoogleWorkspace(更名为GSuite)或Office365邮件服务时,就会发生这种情况。这里有很多细微差别。例如,要访问邮件服务器,您可以同时使用浏览器和MicrosoftOutlook等经典客户端。对于每个选项,您必须应用不同的协议。此外,在组织中使用云存储时,需要确保DLP系统定期扫描所有云文件夹以监控存储在其中的机密信息。为了解决这些问题,将出现一个全新的解决方案集群——云访问安全代理(CASB)。就所解决的任务而言,这些系统在概念上接近DLP。与其他企业安全系统集成在这种情况下,我并不是说与MicrosoftActiveDirectory集成,因为这应该是任何当前DLP系统默认内置的功能。相反,我指的是与以下类型的解决方案集成:安全信息和事件管理(SIEM)。这可以说是企业安全生态系统中最常见的兼容性缺陷之一。每个信息安全专业人员都希望DLP中的事件与SIEM集成。虽然绝大多数现代SIEM系统都能够从DLP数据库下载数据,但如果DLP解决方案支持Syslog和CEF等现成协议,这种串联将更加有效。如果是这样,您可以将DLP系统配置为始终位于SIEM数据库中的信息之上。企业数字版权管理(EDRM)。这些类型的系统补充了DLP解决方案,反之亦然。当两者结合并正确配置时,它们会形成坚固的保护层。在这种情况下,DLP不考虑EDRM政策的问题,并且可以在他们自己的政策中使用他们的一些规则,这些规则将涉及生成报告或搜索档案等活动。此外,DLP系统还可以利用一些基于预定义原则的EDRM策略。数据分类系统。最好的DLP工具应该能够处理Titus和BoldonJames等数据分类系统嵌入到文档中的标签和标签。如果临时服务已经经历了这个漫长的过程,那么就可以在数据分类方面走捷径。多平台兼容性一个好的DLP系统应该兼容不同的端点平台。最基本工具的功能可能仅限于Windows支持。然而,这可能还不够。谁知道呢,也许有一天我们需要大规模转向Linux。好消息是一些DLP系统已经为Windows、Mac和Linux提供了代理模块。此外,还应提及运行iOS和Android的移动设备。由于技术原因,目前几乎不可能为智能手机和平板电脑创建一个完全成熟的代理,尤其是苹果制造的智能手机和平板电脑,它们也受到各种攻击。在这种情况下,Web控制台将是在旅途中与DLP交互的最佳方式。因此,在实施BYOD策略时,您可以(并且应该)使用移动设备管理(MDM)解决方案。它将允许您使用移动操作系统内置的功能、创建隐私策略并将数据泄露的风险降至最低。DLP系统的演变是异构的。这个因素会影响它们的完整性、协调良好的功能以及支持单个信息分发渠道的能力。在现代世界中,这也会对解决方案的价格和后续维护成本产生影响。但是,可靠的DLP值得投资,因为它可以解决不同的安全问题。
