10年前,數字經濟開始騰飛的時候,數據防泄漏(DLP)技術被視為公司敏感內部數據和客戶數據的救星。若干年來,DLP經歷了從英雄到狗熊再到英雄的循環往復。
在經典的“許愿需謹慎”情況下,企業開啟了DLP,然后忽然發現自己的業務流程都癱瘓了,而他們的DLP管理員也被大堆警報淹沒。這是初始實現者沒能認識到DLP技術對日常業務流程影響的后果,他們也沒有想象到該工具策略“違反”的規模會有多大。
更糟的是,很多警報最終被查明是誤報,浪費了分析師和調查人員的時間去撲滅并不存在的火災,讓大家都血壓升高。
于是,沮喪的買家大多直接關掉了DLP策略,防止其阻礙到業務流程。但同時,這也減少了從該技術獲得的好處。
有些買家聘用了大量分析師來盡力過濾噪音,爭取抓住作亂者。剩下的一些客戶,壓根兒就沒實現DLP策略,讓他們的公司或某些滲漏途徑(比如USB端口、電子郵件網關等)大喇喇地敞著。無論哪家公司的做法,總體結果都是令DLP技術名聲變臭,達到了連提都不能提的程度。
不過,此一時,彼一時。很多因素讓DLP技術枯木逢春,作為保護敏感數據的方法東山再起。
原因之一,是一系列重大敏感數據泄露事件的發生。沒有什么能像“董事會和高管詢問CISO的數據泄露負面事件防護工作”那么有推動效果了。另一個原因,是云應用、移動計算和遠程連接的爆炸式發展。
數年前,云和移動應用才剛剛起步的時候,數據還相對受控,但現在,數據分散而流動性大,已經遠不及當年受控。
最后,壓垮駱駝的最后一根稻草,是包括了強制敏感數據保護的監管要求。若沒實現保護措施,將會受到大額罰款和相應懲處。
監管法案中首要提及的就是歐盟的《通用數據保護條例》(GDPR)。數據防護方面,GDPR重點放在保護歐盟公民權益上。其要求寬泛,還有高達全球收益4%的罰款。該條例的基本要求,是確保敏感數據不暴露在未授權人士眼下,尤其是“非GDPR國家”的人。
DLP無疑是很適合做這項工作的技術,但僅DLP一項,尚不足以擔負起該重大責任。以上因素,加上DLP及相關技術的重大發展,讓DLP實現更加重要、實用和有效了。其結果就是,DLP東山再起。
DLP技術已有重大改進,不僅僅是在多渠道,比如云上數據滲漏事件的捕獲能力,還有其可調查對象格式的擴展,比如圖像格式也可進行檢查。這些新功能,讓DLP在更多場景中的檢測更加可靠,形成了更好的防護效果。但,這還沒解決報告事件數量過多的問題。
而用戶及實體行為分析(UEBA)技術的誕生,讓DLP的有效性有了長足進步,可以將無盡的事件級警報汪洋大海,使需調查的可疑用戶列表大幅減少到能夠處理的程度。
采用類似“同事分析”之類的技術,也就是將個人行為與同家公司同個經理手下的同事做對比,UEBA可以最少化誤報,加速人類分析員的工作進度。
UEBA與DLP攜手進化,如今可集成多種用戶活動方法。比如身份驗證、代理及云安全訪問代理(CASB),還有威脅情報之類的數據源,用以提升對不良通信和攻擊指標(IoC)的識別度,找出被入侵的賬戶。該進化帶來了更加基于風險的威脅視圖,可以了解用戶的潛在動機,指征可疑用戶電腦上所發生事件的風險性。
DLP和UEBA技術已不復當年模樣,有了跨越式發展。它們身處其中的網絡分析生態環境,也在持續快速進化,綜合額外的數據來源,進一步提高機器學習算法的準確性。
這些持續的發展將提升此類技術的功能,并減少“識別和緩解內部人威脅”這一過程中的人類參與度。
數據防護的挑戰并未消失。即便壞人沒有不斷改進其攻擊戰術,數據的膨脹也讓安全人員的工作越來越難以著手。DLP將繼續成為敏感數據防護和未授權暴露預防的基石,重裝上陣。
京公網安備 11010502049343號