剖析資料外洩防護產品的技術與應用
這一類產品在功能上,具備了內容過濾的能力,所以可以不影響操作的前提下,透過內容比對,控管使用者傳送機密資料的行為
| ▼ ADVERTISEMENT ▼ |
 |
| ▲ ADVERTISEMENT ▲ |
目前能保護企業資料安全、防止檔案內容外流的解決方案相當多,和其他可以達到相同目的的資安產品相比,我們這次主要測試的是4款資料外洩防護(Data Loss Prevention,DLP)產品,在功能上,它們皆具備了內容過濾的能力,因此可以在不需要封鎖傳輸管道,及限制讀取的前提下,透過內容比對,控管使用者傳送機密資料的行為。
DLP的用途是防止機密資料從內部流出,或者在使用者將電腦攜出內部的離線狀態下,仍然不能將硬碟裡的機密資料傳送出去。但如果企業有其他型式的資料防護需求,那麼就有必要購買其他性質相近的資安產品做為替代,或者搭配,舉例來說,假設是需要控管的資料具有流動性,由不同使用者,乃至於有業務往來的其他公司所使用,此時較為適合的產品會是數位版權管理(Digital Right Management,DRM),它可以限定個別使用者擁有不同的存取權限,使得層級較高的某些人可以修改內容,而某些人只能唯讀,此外,如果是為了避免裝置遺失而導致機密外洩,就可以利用磁碟加密的產品做為搭配。
可透過多道程序,檢查檔案是否帶有機密內容
就技術上而言,DLP主要是依序透過格式比對、關鍵字過濾,及特徵辨識等3道程序,檢查檔案本身是否包含需要受到保護的機密內容。
格式比對
就我們這次的測試經驗來說,這4款DLP產品在檔案格式的比對能力上並沒有太大落差,就算是經過加密,或者修改過副檔名的情況下,產品還是可以辨識、分析其中內容。比較特別的是,如果使用者將檔案加密,或者轉換成為圖檔,嘗試突破DLP的控管,此時,某些產品在功能上,可以做到禁止無法分析內容的檔案傳送,或者以比較常見的做法,利用DLP,及其他閘道端設備的輔助,限制使用者不能傳送可以帶有機密資料的檔案格式,例如AutoCAD的.DWG檔,及可能含有機密文字的圖檔格式。
關鍵字過濾
關鍵字可以分為自定關鍵字及特殊關鍵字等2種。其中,後者指的是信用卡卡號、身分證字號等採用特定格式所組成的字串,及程式碼一類具有固定結構的文字內容。早期的DLP產品,對於原廠所在的歐美地區才具有較完整的支援度,臺灣本地的企業想要導入DLP,通常就必須利用正規表示式(Regular Expression)手動制定規則,才能過濾臺灣身分證字號一類的個資;不過隨著產品版本的演進,大多數的DLP在此一方面已有所改進,現在用戶可以在設定介面選取已經內建好的規則,就可以很輕易地過濾使用者傳送的資料當中,是否含有本地的個資。
特徵辨識
特徵辨識是DLP產品對於資料最後一道的檢查程序,同時也是最關鍵的核心技術。目前DLP產品採用的特徵辨識技術可分為2種,一種是指紋(Fingerprint)特徵,其次則是利用標記(Tag)的方式加以識別,DLP產品在技術上大多支援其中一種,不過也有少數較為特別,同時採用兩者。
指紋特徵的概念,類似於用來過濾垃圾郵件的貝氏(Bayes)演算法,同樣是必須提供範本檔案供產品分析、產生指紋檔,以相似度的高低,判定檔案是否為機密資料。隨著產品的廠牌不同,指紋特徵的產生方式也有所差異,某些產品的做法,是先將內容文字的無效字元(像是標點符號、空白間隔)去除之後,最後經過DLP分析引擎的運算,找出字詞間的相關性之後,才會擷取出特徵,產生指紋,例如Websense的Data Security Suite。另外一種常見的做法,同樣是將無效字元去除之後,最後將每個段落,或者各頁的剩餘文字經過DLP分析引擎的運算,各自產生一組Hash值之後,比對使用者傳送的資料是否為內部的機密檔案,像是Symantec的Data Loss Prevention 9.0即屬於這一類型的產品。
至於標記,則是一種和指紋特徵截然不同的技術。我們同樣必須告知DLP產品,存放機密檔案的路徑所在,有些DLP會對於此一路徑下的所有可支援的檔案格式內部,加入一組標記,讓DLP產品判別此一檔案是否為機密資料,有些則不會針對檔案本身有任何寫入動作,僅會由管理伺服器告知代理程式,來自此一路徑的檔案,皆為機密,如McAfee的DLP產品就是應用這種技術(他們稱此種做法為虛擬標記)。
不僅是最初被DLP掃描過的檔案會有標記存在,當使用者將此一檔案複製到自己電腦,然後編輯內容,另存新檔、新產生的文件同樣會有標記。
雖然沒有辦法利用分析檔案內容的方式判別屬性,不過,當DLP檢測到此一檔案含有標記時,就可以在不需得知檔案內容的情況下,直接判定檔案為機密資料,此外,無論機密資料經過何種程度的重製、改變,只要有標記存在,無論文件與原始範本檔案的相似程度高低,DLP還是可以辨識,有效掌握機密資料的流向。
視建置環境需求不同,挑選架構適合的DLP產品
| ▼ ADVERTISEMENT ▼ |
| ▲ ADVERTISEMENT ▲ |
在架構上,DLP產品可以分為部署在閘道端的網路型(Network-based),及需要在個人端電腦上安裝代理程式的主機型(Host-based)等2種,某些DLP產品同時提供了2種架構的部署元件。
網路型DLP
這是目前企業測試DLP產品時,最常採用的一種架構,好處是不需要更動目前的作業環境,就可以了解DLP產品的過濾能力。
目前所有的DLP閘道器設備,都是採用鏡射(Mirror)的架構部署於內部的骨幹網路,藉由交換器複製、轉送而來的流量,過濾封包當中是否帶有機密資料。由於監測的對象是網路封包,因此可以針對內部所有連接網路的端點加以監測,包含Windows平臺的個人端電腦、Mac/Linux平臺的異質工作站,及智慧型手機一類的手持裝置。
如果要即時封鎖目前傳送中的機密資料,網路型的DLP通常得整合第3方的閘道器設備才能提供這項功能,以我們這次測試的4家產品來說,可以相整合的第3方閘道器產品包括了Blue Coat的ProxySG,以及McAfee的Web Gateway(先前稱之為Webwasher)。
主機型DLP
主機型DLP的防護對象以Windows平臺個人端電腦為主,需安裝代理程式。這麼做的好處在於可以透過代理程式,直接從個人端攔截資料的傳送,不需要整合其他產品。
相較於網路型的DLP產品,由於代理程式的元件直接和作業系統相嵌,因此具備較深層的控管能力,舉例來說,像是複製、貼上、列印,及螢幕截圖等動作,就可以透過代理程式來做防護,此外,一部分的主機型DLP產品也能透過代理程式提供周邊控管的能力,或者搜尋個人端電腦是否有機密資料的存在。
部署此一類型產品時,需注意的是代理程式與現有應用程式間的相容性。在某些比較封閉的資訊環境,一部份電腦硬體及系統環境在久未更新的情況下,貿然安裝後,就有可能因此而影響到原有的作業環境。
除了對於機密資料的保護需求, 法規要求也是導入的原因之一
企業導入DLP的原因,除了本身對於機密資料的保護需求之外,來自外部的法規要求也是主要的一個原因,目前的DLP產品至少對於幾種常見的法規,像是金融業常用的PCI-DSS,及專為醫療業者量身打造的HIPPA等,皆提供可以直接套用的範本。
對於應該採用什麼樣的功能檢查資料內容,範本當中皆有明確的定義,如此一來,用戶不需要花費時間研究,或者請廠商就此一部分客製化功能,可降低DLP產品的導入難度。
企業導入DLP時的4個要點
導入DLP之前,企業必須先思考幾件事情,並且作好前置作業,才能有效發揮產品功能
有鑒於資料外洩對於企業造成的危害,以及未來的法令規範,因此DLP成為最近相當熱門的資安產品類型,不過在導入之前,企業必須思考幾件事情,才能將產品的功能發揮到最大功效。
Tips1 :了解本身是否適合採用DLP
在一開始,企業必需評估資料外洩的漏洞來自於何處?再決定是否適合購買DLP,或者是其他的資安產品。如同我們在前面一篇文章當中所提到的,DLP的功能是防止機密資料從內部流出,如果你要保護的資料必須在不同的業務單位間「流動」,或者儲存在隨身碟這類容易遺失的移動性裝置,在這個時候,比較適合的工具會是DRM等其他功能的資安產品。
至於在內部,如果你要監控的對象不是大多數的員工,可能只是一小部份具有特殊權限的使用者,例如資料庫的管理者,這時,DLP在功能上雖然也能做到防止這些人偷取機密資料,不過,業界也有推出專用的稽核產品協助評估寫出、寫入的行為是否正常。要採用何者比較適合,需視企業的實際需求做決定。
Tips2 :界定機密資料的來源及種類
| ▼ ADVERTISEMENT ▼ |
 |
| ▲ ADVERTISEMENT ▲ |
決定購買DLP後,接著需要界定機密資料的來源,以及種類,才能有效避免產品導入後,仍不斷有外洩事件的發生。
DLP在功能上,是一種內容過濾型式的資安產品,因此我們必須提供機密資料的範本檔,供產品分析,產生特徵檔,才能以相似度高低的方式,辨識資料的真實屬性。就來源來說,除了一般最常見的檔案伺服器之外,像是SQL Server資料庫、SharePoint Server這類的知識平臺,乃至於員工儲存在郵件伺服器的郵件,都有可能在其中儲存了需要保護的資料或機密內容。
隨著企業的產業別不同,乃至於同一企業的不同部門,被界定為機密資料的檔案也不盡相同,因此以我們這次採訪的兩家實際導入DLP的企業來說,都是先確定好機密檔案可能擺放的來源位置之後,再請相關部門提供範本檔,而不是先直接針對放有資料的整臺伺服器做掃描分析,貿然作業,可能會增加DLP的導入難度。
Tips3 :分階段導入產品
| ▼ ADVERTISEMENT ▼ |
 |
| ▲ ADVERTISEMENT ▲ |
導入DLP最好是採分階段的方式做建置,以免影響到現有運作中的環境。一般來說,很多企業都是先以閘道器的產品來部署DLP,待過濾能力沒有問題,或者是有更進一步的控管需求,才會考慮在個人端電腦上安裝代理程式。以安裝代理程式的做法,大多都是先以資訊部門的員工做為測試對象,即使產生問題也不會造成太嚴重的影響,直到測試確認不會和企業現有的應用程式相衝突之後,再擴大部署範圍。
郵件稽核等防護與DLP同時採用
製造業公司B採網路型架構來建置Websense的Data Security Suite,在DRM與周邊控管的保護基礎下,增強資料的保護
| ▼ ADVERTISEMENT ▼ |
|
| ▲ ADVERTISEMENT ▲ |
總部位於臺灣,從事製造業,在其他地方也設有據點的B公司(對方同樣不願具名),為了防止內部的技術資料不被外洩,因此在今年購買了Websense的Data Security Suite(DSS) 7.0,採網路型DLP的架構,以鏡射方式,部署在臺灣2個據點的網路出口,檢查流量當中是否含有機密資料。
目前他們一共部署了2臺DLP的閘道器,及1臺管理伺服器。對於他們來說,被界定為機密資料的檔案,主要是微軟的Office文件、設計圖,及圖檔等3種。
利用多種產品,提供多層次的資料防護
在此以前,其實B公司已經導入DRM及周邊控管等2種類型的防護產品,前者在功能上,雖然可以防止其他使用者不當存取檔案,但是對於擁有完整讀寫權限的人來說,可說是防不勝防,至於後者則是僅能封鎖一部分的資料傳輸管道,他們覺得購買DLP還是有必要性。
資訊部門表示,DLP的測試時間,前後為2個多月,在他們公司內部,前述幾種的機密資料主要都是放在檔案伺服器上,因此,也是從中抽取一些檔案做為範本,供DLP分析,製作出PreciseID指紋特徵。
PreciseID的防護對象以內含文字內容的Office文件為主,至於設計圖及圖檔等2類型的檔案,則是透過格式辨識的方式加以控管。
依各部門需求產生報表
相較於先前版本,他們所購買的DSS 7.0在架構上已有提供代理程式的元件,因此也具備主機型DLP的功能,不過在內部其他單位的要求下,他們目前先以網路型產品的方式部署DLP。
在設定上,對於DSS能夠支援的網路流量類型,他們選擇全部開啟,雖然他們內部也裝有郵件稽核的設備,不過由於員工的郵件寄出後,會先經過稽核設備,最後才會到達網路出口的閘道器,不會因為企業部署DLP而影響到原來的網路架構。
在報表的管理方面,目前他們的做法是由各部門主管要求閱覽報表時才會產出,至於當洩密事件發生時,DLP會先寄發郵件告知資訊部門,再由資訊部門轉告該單位的主管處理。
 |  | |||
| ||||
 | 某製造業公司 ● 員工人數:全球共10,000人以上 ● 使用的DLP產品:Websense Data Security Suite 7.0 ● 使用現況:目前已部署2臺DLP的閘道器,及1臺管理伺服器,對於DSS能夠支援的網路流量類型,他們選擇全部開啟。 | |||
保護了檔案伺服器與員工電腦
半導體產品製造公司A採主機型DLP架構來建置趨勢的LeakProof 3.1,在不同資料類型上可對應各自的控管方式
| ▼ ADVERTISEMENT ▼ |
|
| ▲ ADVERTISEMENT ▲ |
總部設於臺北,在新竹、臺南等地及大陸都有據點的A公司(該企業不願具名受訪),為了掌握機密資料的流向,因此在去年11月購買了趨勢的LeakProof 3.1,目前他們一共部署了3臺DLP的管理伺服器,透過代理伺服器,控管全公司600多位員工的電腦。
A公司以製造半導體相關的產品為主,對他們來說,界定為機密的資料類型有內部系統的程式碼、設計圖、交易資料,及ERP系統的表單資料等4種。
考慮過本身的使用需求之後,最後決定導入DLP防護機密資料
購買DLP以前,A公司也測試過以DRM來保護前面幾種類型的機密資料,不過,後來因為DRM在功能上沒有辦法符合需求,因此他們將評估的重點轉為採購DLP。
該公司目前負責管理DLP的系統資訊整合部表示,測試DLP的期間為2個多月。在一開始,他們必須提供機密資料的範本檔供DLP分析,產生日後用來辨識機密資料的指紋特徵,這些資料的來源除了檔案伺服器以外,也包括放置在知識管理(Knowledge Management,KM)平臺上的檔案。
由於檔案伺服器的資料量相當龐大,不容易透過網路掃描,一次產生所有的指紋特徵,所以他們的做法是請相關部門先行提供一部分的資料;至於KM的部分,他們則是找到系統放置檔案所在的資料夾,並且設定唯讀的共享權限,讓DLP分析放置在KM上的交易資料PDF檔及程式碼檔案。
就各類型資料的機密控管的做法來說,該公司決定在不同資料上以適合的方式監控,像是交易資料就是透過指紋特徵(File Type)來做判別,設計圖採格式比對的方式過濾AutoCAD所產生的.DWG檔,程式碼及ERP表單的部份則是採關鍵字,搜尋資料內容中的特定字串及流水號等項目。
他們表示,除了趨勢的產品之外,還有評估過另外一家的DLP產品,雖然該產品在價格上較LeakProof來得便宜,不過考慮到產品間的技術差異、針對問題的除錯能力,以及客製化功能等項目後,最後決定購買目前所使用的產品。
建置上的注意事項
代理程式的部署上,A公司利用Logon Script的方式,當個人端電腦登入網域之後,就會在背景安裝代理程式。測試期間,除了資訊部門的員工電腦之外,也將代理程式安裝在少數特定員工的電腦上,結果發現有人利用離職前夕,從檔案伺服器異常複製大量資料的洩密事件。
由於A公司並不允許員工在電腦上安裝即時通訊等和工作無關的應用程式,對於LeakProof所能支援的傳輸通道類型,除了SMTP的郵件流量之外,其餘皆全部啟用。
他們表示,由於已經在閘道端設置了郵件稽核的系統,而DLP一旦攔截到郵件的洩密事件,就無法在稽查設備上查詢到此筆郵件,考量到記錄的完整性,因此決定由稽核設備來控管員工,是否利用企業的郵件系統傳送機密資料。
對於報表的管理,目前他們是採由資訊部門產出報表之後,再提供給各部門主管閱覽,當洩密事件發生時的處理動作,是由代理程式封鎖資料的傳送,然後以郵件方式告知資訊部門處理。
A公司在臺北總部、研發中心所在的新竹及較為偏遠的大陸,各自設有一臺DLP的管理伺服器,由於各伺服器會透過網路掃描其他據點的檔案伺服器,因此3臺伺服器上的指紋特徵是完全相同的,除了臺北的管理伺服器還要負責管理其他規較較小的據點之外,其他2臺伺服器主要是用來管理當地的員工電腦。
他們也向原廠要求,須透過單一介面閱覽3臺伺服器所產生的事件記錄。由於LeakProof 3.1在功能上並不支援,因此這部分的需求是採客製化,請原廠撰寫額外功能模組的方式加以解決。
隨著新版產品的推出,目前A公司也有將LeakProof升級到5.0版的想法,不過他們也表示,需重新安裝代理程式是一項難題,至於近期,他們則是規劃將檔案伺服器加以瘦身,刪除不必要的資料,使得LeakProof可以完整掃描所有檔案,加強DLP的防護效果。
| | |||
| ||||
| 某半導體產品製造公司 ● 員工人數:600多人 ● 使用的DLP產品:趨勢 LeakProof 3.1 ● 使用現況:目前已部署3臺DLP的管理伺服器,將代理程式部署到全公司的員工電腦,對於DLP所能支援的傳輸通道類型,除了SMTP的郵件流量之外,其餘皆全部啟用,至於洩密事件發生時的處理方式,則是透過代理程式即時封鎖。 | |||
 |  | |||
4款DLP產品測試總評
我們測試的產品包含了主機型DLP產品,以及兼具網路DLP架構的產品
| ▼ ADVERTISEMENT ▼ |
|
| ▲ ADVERTISEMENT ▲ |
這次我們一共測試了4家廠商所送測的DLP產品,其中,McAfee的Data Loss Prevention 3.0和趨勢的LeakProof 5.0都是主機型產品,至於Websense的Data Security Suite 7.1及Symantec的Data Loss Prevention 9.0則是具備代理程式及閘道器等2種元件,因此這兩款產品同時能以主機型及網路型的DLP架構部署於內部,或者是只使用其中一種配置。
兩種架構雙管齊下是未來趨勢
網路型DLP的好處在於,可以在不需要更動內部原有環境的前提下設置產品,同時由於它是採過濾流量的方式控管機密資料的外洩,因此只要是可以連接網路的任何裝置都必須接受管理,至於缺點則是無法控管機密資料在內部的流動狀況、不提供離線保護的功能,欲即時封鎖機密資料透過網路傳輸時,大多必須再整合第3方的閘道器產品,無法靠產品本身來完成。
主機型產品則剛好相反,由於是採代理程式的方式安裝在使用者的個人端電腦,因此可以和欲監控的平臺達到最緊密的整合,你可以透過代理程式封鎖機密資料的傳輸,同時可以搜尋個人端電腦上是否有需要控管的機密資料存在,不過此一類型產品的保護對象以Windows平臺的個人端電腦為主,無法管理異質平臺的主機,同時,由於是在個人端電腦上安裝軟體做管理,因此需留意代理程式與現有應用程式間的相容性問題,此外,在DLP搜尋電腦內部是否有機密資料時,會佔用到較多的系統資源。
最好的辦法,就是在內部同時部署2種不同類型的DLP產品。像Websense和Symantec兩家公司的產品早期是網路型DLP,不過後來為了因應用戶端的實際需求,因此便開始提供代理程式的元件。另外,在資安廠商中,McAfee是很早就有提供2種不同架構產品的業者,不過他們的做法和前者較為不同,兩者是各自獨立的產品,不過網路型設備可以透過自家的ePO平臺收集及產出報表訊息。
至於趨勢則是針對閘道器的部分加以努力,他們目前已經將DLP的模組移植到了現有的Threat Discovery Appliance(TDA)病毒防護設備,利用前款產品和DLP閘道器同樣採鏡射方式部署的特型,使其具備過濾機密資料的能力,據了解,產品目前已經在幾個企業內部的實際環境做測試,正式產品很快會推出。
針對部署架構差異,提供適當的元件做因應
| ▼ ADVERTISEMENT ▼ |
|
| ▲ ADVERTISEMENT ▲ |
部署架構是導入DLP時需要考慮到的一個重點,尤其是企業的架構龐大,甚至於需要針對多個據點來做管理。
以Symantec的DLP 9.0來說,這套產品在網路型的DLP方面,提供了多種不同的閘道器元件,用戶可以將閘道器部署在遠端據點內部,同時由於遠端設備本身也同時具備一份指紋特徵資料庫,因此檢查資料內容時,不需要一直和管理伺服器之間連線,可減少DLP傳送資料時,對於頻寬所造成的消耗,及管理伺服器的效能負荷。
基於相同目的,趨勢LeakProof隨著新版5.0產品的推出,也加入了一些新功能來做因應,他們的Remote Crawler技術,可以在本地分析完範本資料的內容特徵後,再將做好的指紋特徵檔傳送回遠端的管理伺服器,在DLP的建置初期,這樣的功能相當好用。
| | |||
| ||||
| 在iThome的測試環境,我們實際部署了Windows AD、SQL Server及檔案伺服器各一臺,以及數臺加入網域環境的Windows XP個人端電腦,模擬企業應用的真實環境來驗證DLP產品的功能。 在檔案伺服器上,我們準備了約4.5GB大小的檔案做為範本,讓各家的DLP產品製作指紋特徵,最後透過我們設定好一些的傳輸路徑測試DLP產品的防護能力。 我們在個人端電腦上安裝了MSN、Skype等2種即時通訊軟體,並且在政策上開放這類應用;除此之外,允許電腦透過HTTP、HTTPS閱覽網頁及收取郵件,本地端也開放使用Outlook離線收取郵件;其他不必要的服務,則假設透過閘道端的防火牆設備來阻擋。 此外,在個人端電腦上,我們也透過各家送測的DLP產品,設定了USB儲存裝置的白名單功能。 另外,我們也部署了一臺SQL Server,其中存放了測試用身分證字號及信用卡卡號等個資,模擬使用者透過內部系統偷取大量個資的洩密行為,了解DLP如何針對這些個資提供防護。 
| |||
| | |||
McAfee Host Data Loss Prevention 3.0
McAfeeHost Data Loss Prevention 3.0
可透過標籤及指紋特徵等2種特徵辨識技術,比對檔案內容
| ▼ ADVERTISEMENT ▼ |
| ▲ ADVERTISEMENT ▲ |
我們此次測試的Host Data Loss Prevention(以下簡稱為HDLP) 3.0,主要提供DLP及周邊控管的功能。它也是McAfee Total Protection for Data功能的一部分,這套最高階的資料防護產品同時具備DLP、周邊控管及目錄檔案的加密等3項功能。McAfee的DLP技術,主要來自於2006年被該公司併購的資安廠商Onigma。
就架構而言,HDLP是一款主機型的DLP產品。它和同廠牌的許多資安產品一樣,都是架構在McAfee行之有年的ePolicy Orchestrator(ePO)。透過ePO的管理介面,我們可以設定HDLP的控管政策、閱覽報表,及派送DLP的代理程式。就計價方式來說,由於這套產品有版本的差異,因此它主要是以用戶所採購的功能模組不同,再以使用者授權數量的方式決定價格。
支援標籤及指紋特徵等2種辨識技術
McAfee的HDLP在技術上可以同時支援標籤及指紋特徵等2種技術,其中後者是HDLP 3.0這次所特別加入的新功能。
在設定上,我們可以根據檔案的存放路徑,及特定應用程式所產生的檔案等2種方式,將辨識所需的標籤加入,貼上檔案,但有別於採用同類型技術的DLP產品,HDLP在做法上並不會針對檔案本身執行任何的寫入動作。
舉例來說,當資料從定義為機密存放路徑的共享資料夾,複製到個人端電腦後,HDLP會將標籤寫入到一個資料庫檔案,而不是檔案本身,因此不會對於內容造成任何改變,造成企業管理上的疑慮。
McAfee表示,HDLP的指紋特徵在做法上,是採用字詞方式比對檔案間的相似度,做法上,和我們這次所借測的Websense DSS及趨勢LeakProof等2款產品較為類似。實際設定時,我們可以指定讓HDLP分析共享資料夾的檔案,後續可透過排程方式定期掃描,維持指紋庫的完整性。
而HDLP的代理程式在使用上,必須在個人端電腦已經安裝ePO代理程式的前提下,才能透過前者的管理介面主動派送。完成安裝之後,雖然代理程式會在系統列顯示一個常駐圖示,不過使用者無法透過手動方式關閉它,以規避DLP的檢查。此外,它的代理程式在電腦無法連線到DLP管理伺服器的離線狀態下,仍然可以針對使用者傳送機密檔案的行為加以控管。
檢測能力完整
在我們這次的測試環境中,對於存放在SQL Server資料庫裡的個資,HDLP可以採取特殊關鍵字的方式加以過濾;信用卡的部份,可以直接套用內建在HDLP的規則做檢查;至於臺灣使用者環境才獨有的身分證字號,目前仍然必須透過手動方式設定規則後,才能加以檢測。
對於我們設定開放使用的SMTP、Webmail等2類郵件,HDLP可以在使用者寄信過程中,當完成夾檔,準備傳送時,就中斷資料的傳送,同時透過代理程式秀出警告訊息。至於將機密文字內容貼在郵件本文傳送出去的方式,則可設定HDLP禁止使用者針對機密檔案的內文剪貼、複製;啟動這項功能之後,轉貼過去的內文將會變成DLP的警告文字。
針對即時通訊的控管,HDLP在功能上可以支援我們這次開放使用的2種即時通訊軟體,當我們透過即時通訊軟體傳送被DLP界定為機密資料的檔案時,MSN和Skype會立即離線,中斷所有訊息的傳輸,同時電腦桌面的右下角也會出現警告訊息,提示你須重新啟動即時通訊軟體的主程式後,才能繼續使用。
和我們這次測試的大多數產品一樣,產品本身具備周邊控管的功能,除了封鎖之外,也能設定儲存裝置的白名單。
可透過ePO平臺閱覽DLP的完整事件報表
我們透過HTTPS登入ePO的正體中文管理介面,點選首頁的DLP狀態摘要連結後,可切換閱覽DLP的狀態儀表板,快速了解機密資料的控管狀況。
點選DLP監視器的項目,看到所有記錄所得的事件皆條列在此,我們可以設定篩選器,選取我們所需要的事件加以閱覽,HDLP針對事件提供了相當完整的記錄,除了一般的違規原因,及查閱傳送出去的原始檔案之外,也一併列出欲傳送的目的地,便於日後舉證。
McAfee另推出硬體閘道器,專門過濾網路流量中的資料
除了主機型的DLP產品之外,McAfee其實也有採硬體型式推出的DLP閘道器設備,兩者在架構上是各自獨立運作的產品。早期的DLP閘道器,是從該公司的Secure Internet Gateway(SIG)硬體閘道器所修改而來,可用來檢測使用者透過網路的方式傳送機密資料的行為。不過,隨著McAfee在2008年併購了另外一家網路型DLP廠商Reconnex後,前述的設備便為新款的產品所取代。
因此,目前McAfee的DLP閘道器分為Network DLP Discover、Network DLP Monitor、Network DLP Manager,及Network DLP Prevent等4種,前身皆為Reconnex所推出的硬體閘道器設備。
這些設備的差異主要是功能。就像Network DLP Discover是一款稽核設備,它可以透過網路掃描的方式,檢查內部端點是否有可能造成資料外洩的漏洞存在;Network DLP Monitor的運作方式和其他廠商推出的DLP閘道器相同,都是以鏡射方式收集進出網路的流量;Network DLP Prevent則是能夠和自家Web Gateway等第3方閘道器產品相整合的設備,攔截透過網路傳送的機密資料;至於Network DLP Manager則是用來管理前述3種設備的管理伺服器硬體。
| | ||||||||||||||||||||||||||
| |||||||||||||||||||||||||||
| 建議售價:每人 5,957元(251至500人使用授權) 原廠●McAfeeˉ 電話●(02)2721-7766
| ||||||||||||||||||||||||||
| | ||||||||||||||||||||||||||
Symantec Data Loss Prevention 9.0
Symantec Data Loss Prevention 9.0
支援主機型及網路型等2種部署架構,並提供多種不同功能的防護元件
| ▼ ADVERTISEMENT ▼ |
|
| ▲ ADVERTISEMENT ▲ |
在2007年併購資安廠商Vontu之後,Symantec推出自己的DLP產品線,這次我們測試的Data Loss Prevention 9.0(以下簡稱為DLP 9.0),是該公司在去年下半所推出的版本。和前一版本相比,DLP 9.0的代理程式具備了更多功能,可以偵測使用者對於資料剪貼、複製的重製行為,同時能針對更多的資料傳輸管道提供保護,另外,產品本身還可以和Blue Coat的ProxySG,及McAfee的Web Gateway(Webwasher)等第3方的Proxy閘道器產品相整合,在網路出口攔截欲傳送出去的機密資料。
提供多種不同功能的防護元件
這套DLP產品,早期是架構單純的網路型DLP,不過後來也提供代理程式的元件,因此同時具備了主機型DLP的功能,可以隨著需求不同,而彈性調整DLP的部署架構。DLP 9.0的計價方式隨著企業採購的模組不同,及使用者授權數的多寡而有差異,它的伺服器套件為軟體,可安裝在符合硬體需求的Windows伺服器上運作。
安裝DLP 9.0的伺服器套件時,除了最基本的Enforcer(管理伺服器)角色外,還有Network Monitor(DLP閘道器)、Discover or Protect(資料庫防護伺服器)、Email Prevent(郵件防護伺服器)、Web Prevent(網頁防護伺服器),及Endpoint Server(用戶端防護伺服器)等幾種模式可供選擇,在人數較少的環境下,用戶可以在一臺伺服器上同時啟用多種角色。以這次iThome的測試環境為例,我們便在做為Enforcer的伺服器,同時啟用了Network Monitor的模式,使其能擔任DLP閘道器的角色,以便從鏡射而來的流量當中,檢查是否帶有受到管制的機密資料。
可透過Altiris的單一平臺, 監控多款同廠牌產品的運作情況
和其他多數的送測產品一樣,DLP 9.0也具備了指紋辨識的能力,做法上是採Hash的方式產生資料的指紋特徵。管理者可以透過掃描本機、遠端主機的共享資料夾,及SharePoint等應用程式伺服器的方式,分析檔案範本。在架構上,製作完成的指紋特徵除了會放置一份於管理伺服器之外,在前面提到的幾種防護伺服器上也會同樣放置一份,因此在這些伺服器與管理伺服器失去連線的情況下,仍然可以發揮作用。
搭配Altiris,除了派送DLP 9.0的代理程式,可以透過Windows AD的Logon Script、微軟的System Center Configuration Manager(SCCM)等第3方的套件伺服器,及Symantec自家的Altiris平臺派送,安裝完成之後,代理程式會以偽裝的方式,在系統的背景程式中執行,除了在洩密事件發生時可以秀出警告訊息之外,在一般狀態下,使用者很難查覺到它的存在。
除了派送軟體的功能之外,我們也可以透過該系統的管理介面,偵測、收集代理程式的狀態訊息,透過單一平台就可以了解同廠牌產品的運作情況,使得安全管理的工作更加容易。
能針對資料庫內容提供防護
不同於這次送測的其他產品,DLP 9.0並不會將指紋特徵的資料庫派送到個人端電腦,當資料被複製到DLP閘道器,或者使用者透過自己的電腦將資料傳送出去時,可以利用指紋特徵,針對檔案內容做深層分析。
對於存放在資料庫裡的個資,DLP 9.0提供了相當良好的防護功能,用戶可以透過ODBC,或者匯入文字等2種方式,讓DLP能夠過濾出儲放在資料表裡的文字內容。
2種設定方式中,ODBC的操作較為複雜,實際操作時,我們將一份內含所有個資的文字檔,上傳到DLP 9.0的管理介面,這時,可以設定由系統直接套用文字檔的欄位資料,使得資料的匯入更加方便,此後我們可以設定僅選用資料表當中的某幾個欄位,做為比對機密資料的依據,DLP 9.0對於資料的過濾相當精準,可以設定在所有欄位資料確定為同一人所有的情況下,才會觸發DLP的控管政策。
即時通訊的控管方面,對於我們開放使用的2種即時通訊軟體,DLP 9.0目前僅支援微軟的MSN,至於Skype的管理,則必須透過Windows AD的群組原則等其他方式,限制一部份的功能,降低洩密事件的發生機率。
在周邊裝置的管理上,DLP 9.0可以搭配Symantec自家的Endpoint Protection防毒軟體,或者其他的周邊控管產品,提供我們所要求的USB儲存裝置的白名單功能。 報表功能完整
針對幾種常見的資安法規,DLP 9.0已經事先內建好相關的範本,可以直接套用,控管企業內部的機密資料流動。
在我們這次測試的4款DLP產品當中,DLP 9.0在報表功能方面,算是比較完備的一款,當我們透過HTTPS登入產品的管理介面,就可以看到儀表板型式的報表介面。
依產品部署的架構做區分,這套DLP記錄所得的事件可以分為網路及本機等2種,查詢單一筆的記錄時,除了可以看到使用者傳送出去的完整資料內容,所觸發的控管政策之外,報表也一併列出相同事件在過去一段時間曾經發生過的頻率,協助管理者判斷這是否為蓄意發生的洩密事件。
| | ||||||||||||||||||||||||||
| |||||||||||||||||||||||||||
| 建議售價:50萬元起(全功能模組,30人使用授權,含安裝設定) 原廠●Symantecˉ 電話●(02)8761-5800ˉ 網址●www.symantec.com
| ||||||||||||||||||||||||||
| | ||||||||||||||||||||||||||
|
趨勢LeakProof 5.0
它原本是資安廠商Provilla推出的DLP產品,2007年底趨勢併購該公司之後,使其成為旗下產品。相較於先前的3.1版本,最近推出的LeakProof 5.0在功能上的主要不同之處,在於採用體積更小的指紋特徵檔,提高比對資料內容的速度,其次,則是具備正體中文的操作介面,及更加完整的法規範本,因此使得產品的部署變得愈加容易。 提供可安裝在虛擬平臺的管理伺服器套件,降低產品的部署費用 LeakProof是一款主機型的DLP產品,原本由一臺專用的管理伺服器硬體,搭配代理程式所組成,不過,從本版產品開始,趨勢也提供可以安裝在VMware虛擬平臺的管理伺服器套件,在採用後者部署的前提下,產品只需要依使用者授權人數的多寡計價,而不需要負擔額外購買硬體設備的費用。 趨勢目前已將DLP的功能模組移植到現有的Threat Discovery Appliance(TDA),這款網路病毒的防護設備,使它能兼任DLP閘道器的角色,預計在明年第2季會有正式的產品推出,除此之外,未來也有可能推出單一功能的閘道器產品。和其他廠商的DLP閘道器一樣,TDA也是採用鏡射方式設置在企業內部的網路骨幹,檢查進出的流量當中,是否有需要受到保護的機密資料存在。 透過Remote Crawler,可在遠端的檔案伺服器本機分析檔案內容,製作指紋特徵 DataDNA是LeakProof的指紋特徵技術,LeakProof 5.0將單一檔案擷取出來的指紋特徵體積,從3.1版本的2KB上限,縮小到只有128Bytes,在不影響辨識率的前提下,加快檢查檔案內容的速度。 除了透過共享資料夾將檔案取回管理伺服器分析之外,LeakProof也能透過HTTP連接微軟的SharePoint伺服器,利用後者的知識庫,產生機密資料的指紋特徵。 Remote Crawler是LeakProof 5.0的新功能,透過它可以在不需要開啟資料夾共享的情況下,直接在檔案伺服器本機分析機密資料的內容,最後將製作出來的指紋特徵傳回到管理伺服器,如此一來,可以減少DLP傳送資料時所使用到的網路頻寬(當資料在單一伺服器、多點管理的跨廣域網路架構下,影響較為明顯),及管理伺服器分析檔案內容時的硬體消耗。 我們可以從管理伺服器的網頁介面,下載約70MB大小的Remote Crawler主程式,安裝在Windows平台的檔案伺服器。開啟Remote Crawler的應用程式介面,在此可以設定供LeakProof分析內容的本機資料夾路徑。 可透過代理程式即時阻攔洩密訊息 LeakProof的代理程式可以透過Windows AD的Logon Script等多種方式安裝到使用者電腦,程式執行時,系統列預設不會出現常駐圖示,同時也會在背景程式的清單當中自行隱藏,避免使用者將其關閉,而影響防護效果。 產品對於洩密事件的預設處理動作為僅作記錄,然後放行通過,我們可以修改DLP的控管設定,改採即時阻攔的方式加以管理,此外,也可以將有問題的檔案複製一份儲存於管理伺服器,做為日後備查之用,或者由使用者在代理程式顯示出來的詢問畫面,填寫資料的攜出原因之後,才會解除封鎖。 LeakProof能辨識300種以上的檔案格式,在此之後,和其他這次所測試的DLP產品一樣,可以透過關鍵字(包含身分證字號一類的特殊關鍵字),及指紋辨識兩道程序,檢查使用者傳送出去的資料是否需要控管。 對於SQL伺服器存放的個人資料,我們可以透過關鍵字過濾的方式來做防護,LeakProof採用的做法和McAfee的DLP產品一樣,可以設定當傳送出去的資料大於一定筆數時,才會觸發DLP的防護動作,範圍之內的資料則視為正常動作。 當我們以郵件嘗試傳送機密資料,此時LeakProof的代理程式會刪除郵件附檔,僅允許不含機密內容的郵件本文傳送出去,如果試圖將檔案的內容複製起來,貼至郵件內文傳送時,在按下「Ctrl+C」的快速鍵時,就會觸發DLP的防護動作,禁止文字轉貼。 在即時通訊的洩密預防上,除了各家DLP產品皆支援的MSN之外,LeakProof也支援具有加密能力的Skype,可防止使用者透過文字訊息,或者是傳送檔案的方式傳送機密資料。 周邊裝置的控管方面,LeakProof在功能上相當彈性,不僅可以完整封鎖連接埠的使用,對於隨身碟一類的USB儲存裝置,則可以設定白名單,允許特定的裝置連接個人端電腦。實際設定時,至少需要輸入USB儲存裝置的廠牌、型號,序號的其中之一,才能制定白名單的控管規則,為了方便設定,LeakProof提供了一支工具程式,從管理伺服器下載執行之後,程式會將結果輸出於網頁,以便收集裝置的相關資訊。 較前版產品易於部署及管理 LeakProof 5.0比起前一代的3.1版,要更加易於部署。在外觀上,除了將設定介面的語系全面中文化,同時也提供了流程圖形式的設定介面,讓用戶不需要多花時間研究產品的設定邏輯,只要按照流程圖所要求的5個步驟,完成各項設定,很輕易地就可以完成政策的制定與派送。 此外,產品本身也內建5個可以直接套用的法規範本,因此也不用像舊版產品一樣,要手動設定法規範本的稽核項目。 LeakProof的網頁介面首頁提供了儀表板式的事件圖表,因此我們能夠快速瀏覽違規事件的摘要統計,值得一提的是LeakProof 5.0在功能上,強化了與Windows AD之間的整合,因此我們可以透過產品所提供的報表,得知目前有那些人違反了企業的管理政策。
| |||||||||||||||||||||||||||||||||||||||||||||
WebsenseData Security Suite 7.1
同時具備主機型、網路型的DLP能力,並能整合多種網路伺服器提供防護
| ▼ ADVERTISEMENT ▼ |
|
| ▲ ADVERTISEMENT ▲ |
和這次的其他3款送測產品一樣,Websense的Data Security Suite(DSS)是該公司在2006年收購資安廠商Port Authority,利用其技術推出的資安產品線。不同於iThome在去年曾經測試過的6.5版本,7.0之後版本的DSS在功能上的最顯著不同處,在於提供了代理程式的元件,使得它和Symantec的DLP 9.0一樣,同時具備了主機型和網路型DLP的能力。
能整合多種網路伺服器提供保護
在架構上,DSS主要是由DSS Management Server(管理伺服器)、DSS Protector(DLP閘道器),及代理程式等3者所組成。其中管理伺服器是安裝在Windows平臺的軟體套件,至於閘道器則是整合Linux環境的系統套件。
這套產品有進階版和標準版之分,其中,前者可以在偵測到洩密事件發生時便加以攔截,後者則是單純提供事件記錄能力的版本。計價方式的差異,主要是依照用戶所購買的版本功能不同、代理程式的有無,並且根據使用者多寡等方式。
DSS Protector的部署上,包含鏡射方式的建置,也能以In-Line的架構部署在內部的骨幹網路,即時過濾進出的流量中是否帶有機密資料。
除了採用本身套件外,DSS對於其他的網路應用伺服器也具有良好的整合性,像是微軟的Internet Security and Acceleration(ISA)、Exchange Server,及Websense自家的Email Security等,在這些伺服器上安裝外掛程式後,就可使其兼任DLP閘道器的角色。
除此之外,DSS在架構上,也可以和Blue Coat的ProxySG等支援ICAP的第3方閘道器產品搭配,當系統偵測到洩密事件發生時,即由前者阻斷流量的傳輸。
可透過多種方式產生指紋特徵
PreciseID是Websense的指紋特徵技術,它從檔案內容擷取特徵的方式,和趨勢LeakProof的DataDNA相類似,兩者都是在去除內容的無效字元後,再根據字詞間的相關性,重新組合成多道特徵,由相似度的高低,辨別資料的真實屬性。
至於範本資料的來源,可由DSS的管理伺服器從內部網路的共享資料夾,及微軟的SharePoint Server等途徑,將檔案的文字內容傳送回本機運算,最後才會產生指紋特徵。在架構上,DSS的閘道器本身尚不具備指紋特徵的資料庫,因此必須透過管理伺服器的分析,才能得知是否為機密資料。Websense表示,未來版本的DSS閘道器也會具有一份指紋特徵,如此一來,當閘道器與管理伺服器間的連線中斷時,資料的過濾服務還是可以正常運作。
至於DSS的代理程式的派送,可以透過Windows AD及其他第3方的套件伺服器來執行,產品本身提供了一支打包工具的程式,我們可以在此預先完成代理程式的功能設定,然後再產生安裝檔,使得軟體部署的工作變得更加容易。
防護功能相當完整,同時針對周邊控管能力予以加強
DSS對於資料庫提供了相當良好的防護功能,它和Symantec的DLP 9.0一樣,都可以透過ODBC及匯入文字檔等2種方式加以保護。
就我們這次的實際操作來說,是透過前者與資料庫相連接,我們可以在DSS管理伺服器的設定介面,透過Windows的ODBC連線設定,連結測試環境中的SQL Server,並且手動選取資料表當中想要防護的欄位加以分析;當系統判斷某一欄位的內容重複性太高(例如居住縣市),這時會在分析結果中,以紅字做為標示,提醒用戶修改設定,整個設定流程相當容易,可以在簡短的6個步驟之內快速完成。
這種做法的好處是,可以完全避免員工傳送個人資料時,因為重複輸入造成DLP的誤判,同時,它也可以做到當所有欄位資料皆為同一人所有時,才會觸發DLP的控管政策。
就我們在個人端電腦上開放使用的幾種服務來說,DSS皆能有效予以過濾,當機密資料傳送時,DSS的代理程式會顯示目前正在掃描資料的動作訊息,接著則是出現洩密事件的警告訊息,並且加以封鎖。
在代理程式當未推出前,DSS必須整合其他廠商的周邊控管產品,才能防止資料透過本機的連接埠外洩,此次我們測試的7.1版,在此方面又有所加強,我們可以透過DSS的設定介面,將特定廠牌、型號的裝置加入到白名單,其餘不是企業所配發的裝置則一律封鎖。
政策範本完整
DSS內建相當完整的政策範本,操作各項功能的設定之前,我們可以透過精靈模式,先以地區、產業別的方式,篩選出適合套用的範本,最後再調整DLP的過濾功能設定,就這點來說,和我們此次所測試的其他款DLP產品較為不同。
這款產品的報表事件相當詳細,可顯示資料是由何人,透過什麼樣的管道所外洩,又是因為什麼樣的原因被DLP所攔截,而傳送出去的資料,被攔住之後,會留存一份副本於管理伺服器上,做為日後舉發洩密事件的證據。除了透過報表介面查閱記錄外,也可以和這次我們所測試的一些其他款DLP一樣,在事件發生時,可以依照員工在企業的組織層級,透過郵件方式通知主管處理。
| | ||||||||||||||||||||||||||
| |||||||||||||||||||||||||||
| 建議售價:850,000元(250人使用授權) 原廠●Websense 電話●(02) 2717-5608(代理商:達友科技) 網址●www.websense.com
| ||||||||||||||||||||||||||
| | ||||||||||||||||||||||||||
596
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
