當混合工作模式逐漸興起,確保隨處辦公的資料安全性便成了當前企業IT與資安人員必須正視的議題。趨勢科技基於端點防護引擎優勢,增添了整合式資料外洩防護(Integrated Data Loss Prevention)機制,以簡化複雜的部署過程,為儲存中、使用中、傳輸中的機敏資料增添控管措施。
趨勢科技資深技術顧問吳宗霖指出,工作模式變得彈性後,員工無須進入辦公室也可以處理公務,確實有必要重新審視機敏資料保護標的與工作流程,以免員工誤操作或憑證遭竊不自知,而引發資料外洩事件。
現階段企業採用的機敏資料保護方案,常見的是運用加密技術的數位版權管理(Digital Rights Management,DRM),以及具備內容感知技術的資料外洩防護(Data Loss Prevention,DLP),兩種方案趨勢科技皆可提供。保護方式則依據資料標的使用中、傳輸中、靜止狀態,各有不同機制協助實作。
吳宗霖說明,內容感知技術保護的是傳輸中的資料,立即檢測檔案內容是否存在機敏性。使用中的資料則採DRM加密保護。至於靜止狀態下的資料,則可透過整合式資料外洩防護中控台設定,呼叫作業系統內建的演算法執行全硬碟加密,例如Mac OS內建FileVault、Windows則是BitLocker,確保即使筆電被拆解取出硬碟後也無法開啟檔案。
防毒引擎內建模組簡化部署程序
趨勢科技資料外洩防護技術源自於十多年前收購Provilla取得,當時為企業型獨立架構模式,經過趨勢科技整合測試,發現存放文件識別碼(Fingerprint)資料庫過於龐大的情況下,端點裝置須離線運行比對恐影響效能。吳宗霖說明,當初為了先滿足本土企業因法規遵循驅動的應用需求,決定拆解Provilla既有的架構,整合至既有防毒引擎,成為內建功能模組之一,改以整合式資料外洩防護模式提供。
經過十多年來持續發展,吳宗霖觀察,實際上啟用資料外洩防護的端點數量並不多,僅針對執行特定工作的用戶環境啟用防護,直到近兩年為了防疫實施全體員工居家辦公,所有日常工作須存取機敏資料的員工也須盡快增添防護機制,反而凸顯出趨勢科技整合式方案的優勢,無須繁瑣的部署流程,啟用模組即可降低遠端工作者存取機敏資料的風險。
本土企業對於資料保護的觀念,大多為了符合國際商業貿易往來地區的個資法、產業規範等,針對現行的GDPR(歐盟通用資料保護法)、PCI/DSS(信用卡資料保護標準)、HIPAA(美國健康保險可攜性與責任法)、GLBA(金融服務現代化法)、SB-1386(美國州政府資料外洩法)、US PII(美國個人身分識別資料)等國際法規,因此整合式資料外洩防護解決方案已預先撰寫合規性控管規則範本,企業IT或資安人員只要選定套用,再依據營運環境風險狀態,微調控管文件機敏等級,例如「身分證字號、姓名、生日三項特徵同時存在」才觸發執行禁止傳遞行為,即可簡單地達到合規的要求,同時增進資料安全防護力。
辨識傳輸中檔案屬性防洩密
前述合規性文件內容比對的基礎較為單純,可歸納出規則的特徵採以正規表示式描述。另一種比對辨識是針對檔案屬性,例如預防存放營運核心知識的資料庫或設計圖被竊取,則是藉由整合式資料外洩防護功能執行檢查表頭,來判斷該檔案屬性避免外流。針對檔案屬性的辨識機制,在工業設計領域更可發揮價值,先行定義重要的數位資產檔案格式,再加強防護。
針對自主開發的程式碼,不論是C++、Java等程式語言,在撰寫階段必定會呼叫的函式庫,可運用關鍵字方式定義納入檢測規則,假設每個關鍵字比對成功為3分,若單一文件解析後的分數高達13分,則觸發阻斷與發出告警。企業可依據應用場景與審查嚴謹程度,制定不同管控條件。
台灣製造業為了確保上下游廠商彼此之間的資料交換安全,常見仰賴DRM方案全數皆以加解密機制來保護,實際上,加解密有破壞檔案格式的疑慮,未必適合所有企業。吳宗霖以實際客戶經驗舉例,加密過後的檔案拋送到生產機台環境時得先行解密,經常發生文件內標示的生產座標位移狀況。他說明,DRM技術要達到控管目的,須針對特定文件指定唯讀、允許寫入等權限,確實可能影響文件本質。
加解密機制的另一個問題是無法保護傳輸中的資料,例如某自行車廠商,所有設計圖預設都先予以加密保存,再交付給合作夥伴執行解密後閱讀。遞交前得先申請主管審核,但為了不耽誤營運業務的效率,主管通常難以精準地判斷便全數予以放行,如此一來,審核關卡形同虛設。吳宗霖認為,加解密機制雖較容易讓人理解,套用到實際工作流程卻經常出現難以克服的限制,用於防範外部人員盜取更為合適。
預防惡意或操作錯誤導致資料外流
在工作流程中欲增添資料保護機制,企業IT得先釐清資料標的型態。趨勢科技的整合式資料外洩防護技術,著重於檢測檔案內容機敏性,設計理念並非在於攔阻,核心價值是偵測到違規使用機敏資料的行為,藉由代理程式的整合來偵測機敏檔案傳輸中型態,預防惡意或操作錯誤導致資料外流,同時避免佔用端點環境運算資源。
吳宗霖以台灣的個資法舉例,資料外洩達20筆可提起團體訴訟,資料外洩防護機制理應設定為檢測到單筆機敏資料尚可放過,累計到5筆發出告警通知稽核審查,20筆則直接逕行攔阻。抑或是在整合式資料外洩防護偵測到高風險行為時跳出告警視窗,若用戶仍堅持必須傳送檔案,可讓點選特殊狀況的理由,例如接收檔案者為供應鏈夥伴、公司允許的商業流程等,才可予以放行,同時備份當下傳送的原始檔,保留為日後稽核所用。
至於後續維運,IT管理者可藉由Trend Micro Control Manager控管平台設定配置政策、釐清告警事件,以及產出統計報表。此外,控管平台還可隨時取得趨勢科技Smart Protection Network雲端防護基礎架構的最新威脅情資,讓IT管理者即時掌握全球威脅態勢以及偵測機制運行狀態,適時微調管理政策,避免新攻擊手法得逞。