在資安風險管理架構中,資料外洩防護(Data Loss Prevention,DLP)可說是必備的機制之一,其可結合技術、政策與流程來避免未經授權者取得機敏資料,讓使用中、傳遞中、靜止中的機敏資料得以具備防護力。
根據IBM發布的《2021年資料外洩成本報告》統計,2021年全球資料外洩事件平均損失達424萬美元,較2020年的386萬美元增加了10%,為連續統計17年來最高的代價。其中COVID-19大流行實施遠端工作可說是關鍵因素,顯見當疫情改變現代企業工作模式,資料外洩防護措施仍有待調整以降低衍生的資安風險。
自從COVID-19全球大流行至今超過兩年,儘管台灣始終控管得宜,仍得面對遠端工作或混合辦公新常態。精品科技專案經理陳育徽觀察,居家辦公考驗著企業IT反應能力,多數難以完整滿足異地工作者需求,使用者被迫藉由私人的桌機或筆電來執行公務,完全脫離公司建置的防護網,便凸顯出資料外洩風險無法得到控管的問題。
辦公型態改變凸顯資料外洩防護價值
過去資料外洩防護部署思維是依據防火牆定義內網與外網隔離,機敏資料被保存在公司內網多層式防護環境,在工作流程中設立控管關卡避免人為疏失等因素外流。如今的混合辦公模式,開始採用雲端平台提供的工具與檔案儲存空間,基礎架構完全不同,造成以往的防護措施隨之失效。
趨勢科技資深技術顧問吳宗霖亦指出,資料外洩防護措施主要用於偵測與保護企業內對外的行為,當工作型態轉變成混合辦公後,IT必須打破以往邊界防護的邏輯。若要繼續沿用部署在閘道端的資料外洩防護措施,來對遠端工作者執行機敏檔案檢測與管制,唯有完全以公務配發的筆電、手機、平板電腦,甚至私人裝置皆強制透過VPN連線才允許執行存取內部資源、瀏覽網際網路、收發郵件等日常工作,否則資安機制便無法發揮實質效益。問題是這樣做,卻可能損失了工作效率與彈性。
隨著持續推動數位轉型計畫,採用雲端服務已是可接受的選項,疫情期間更是大舉開放遠端工作者採用雲端儲存空間存放檔案,讓攻擊者有機可趁。吳宗霖進一步說明,攻擊者入侵手法不外乎設法滲透任一端點,伺機橫向移動竊取關鍵應用服務的登入憑證,以便取得高經濟價值的資料後,再觸發加密勒索軟體執行,讓攻擊活動獲得最大利益。至於滲透端點的方法始終是以社交工程郵件為主,其次是在免費軟體中嵌入惡意程式,騙取使用者信任點選執行以入侵作業系統,對此,企業須在端點部署防護機制,例如端點防護平台(Endpoint Protection Platform,EPP),才有機會即時攔阻。
企業工作模式轉變為遠端或混合辦公後,現階段執行任務的電腦許多為私人裝置,攻擊者同樣利用社交工程與免費軟體來滲透,得逞機率勢必大幅增長,畢竟公司無法強制要求員工私人裝置環境安裝代理程式接受控管,根本無法壓制風險。此外,儘管公務配發的行動裝置可接受控管,仍須有機制來判定操作執行的究竟是員工本人,抑或是竊得憑證的攻擊者。假設企業採用雲端平台已限制僅允許特定IP位址登入操作,在轉換為混合辦公後勢須取消限制,駭客只要掌握憑證即可存取,資安風險恐大幅增長。
遠端工作適用的資料 控管機制
根據Verizon公布的2021年資料外洩調查報告(DBIR),釣魚郵件增長11%,超過50%的IT人員認為現階段資料外洩防護方案只能解決一半問題,無法延伸保護遠端工作者所接觸與取用的機敏資料操作行為。陳育徽認為,主因是資料外洩防護方案針對資料內容進行辨識與過濾、控制存取行為的機制,若使用者筆電安裝的代理程式未能連線到伺服器取得檔案特徵碼資料庫,恐無法發揮完整偵測防護效果。
目前資安市場上的資料外洩防護方案,大致區分為整合型與企業型兩種模式,吳宗霖認為,所謂的企業型資料外洩防護方案通常須在端點環境安裝獨立運行的代理程式,搭配閘道端部署的感知器,為機敏文件建立唯一識別碼(Fingerprint),用以輔助辨識。例如,針對檔案伺服器儲存的機敏文件,透過爬蟲程式學習每個檔案的特徵,將唯一識別碼存放於專屬資料庫。但在檔案逐年暴增的情況下,資料庫負擔確實將加重。
所幸Fingerprint技術是把文件透過編碼轉換後,依據條件取出特徵值,做為比對的基準。假設一份文件共10頁,減少2頁或許無須改變特徵值,資料外洩防護方案亦可判斷相似程度。「如今工作模式改變,員工未必得進入辦公室才會處理公務,可能存取到機敏資料的人數變多,此時趨勢科技設計的整合式資料外洩防護即可發揮效益,透過防毒引擎即可運行,省去部署的麻煩。其次是啟用模組費用較低,有效降低遠端工作者存取資料安全衍生的風險。」吳宗霖說。
陳育徽則表示,精品科技自主研發X-FORT端點資料安全防護解決方案為主從式架構,控管政策為強制套用,不論員工在何處辦公,端點政策不會受環境變更而影響效果。針對異地或居家辦公應用場景,員工透過私人裝置連線登入,則是設計以桌面虛擬化機制部署控制點,存取機敏文件的行為同樣可藉此完整記錄,並管制機敏資料被複製或另存新檔等違規操作。
企業型DLP延伸建構 安全服務邊緣
現階段市場上的資料外洩防護方案,除了網路閘道與端點技術以外,亦有雲端平台提供的服務可選用。Forcepoint北亞區技術總監莊添發說明,不同技術領域的資安廠商,例如網頁安全、郵件系統、防毒軟體等,為了協助企業達到法規遵循與落實資料管理措施,大多已在既有的方案基礎上增添資料外洩防護機制,成為整合型方案。
Forcepoint定位為企業型資料外洩防護,獨特之處在於承襲Websense技術發展,可涵蓋網路、端點、儲存裝置,甚至延伸到雲端服務,無須採取整合建構,因而能強制一致性控管政策,讓資料存取行為更具可視性,事件被觸發當下可立即回應。
莊添發強調,日前最新發布的Forcepoint ONE整合平台可建構安全服務邊緣(Secure Service Edge,SSE),其具備企業營運所需的資安防護機制,例如雲端存取安全代理(CASB)、網頁安全閘道器(SWG)、瀏覽器隔離(RBI)、資料外洩防護等,把過去不同領域各有擅長的供應商技術,改為基於雲端平台建構安全服務邊緣來提供,讓防護機制無所不在。