資訊外洩防護系統規劃建議實務

資料是現今組織的生存命脈,因此防止資料外洩是 IT 團隊和管理階層的當務之急。資料外洩的原因很廣泛,從內部人員疏忽,錯誤操作、被外部駭客竊取資料惡意曝光,造成的後果也有很大差異。關鍵業務流程很容易受到中斷,而重要關鍵文件最終落入競爭對手,可能造成致命性的後果。組織還可能面臨政府合規罰款和商譽損失,進而失去客戶信任。

取得高層的認可與支援

首先,獲得領導管理階層的認可並充分授權,包括可能受到影響的所有相關部門和負責人。他們的支持是計畫順利推動,取得成功的必要因素。當然,有時候是由於已經發生資安事件,使得高層授意交辦,自然就師出有名。

確認實施範圍,建立防禦地圖

盤點組織內的資安系統,建立你的防衛戰略地圖。一般而言除了新創公司,組織可能已經存在各種資安系統。諸如電腦端的端點安全軟體(例如反間諜軟體、入侵防禦系統或防毒軟體),閘道端代理伺服器,防火牆等。防止資料外洩的需求,會跟傳統的資安系統做法很大不同,可能需要考慮針對性有效的工具。 

識別關鍵資料

區分識別關鍵資料可能是建置防外洩系統最重要步驟。部分原因可能來自於法規要求,必須識別出某些類型以符合法規。以下是您可能需要保護的一些資料類型:

– 智慧財產權:包含研究成果、開發專利、生產流程等

– 營業秘密相關:銷售資料、客戶資訊、個人識別資訊(PII)、行銷資料、市場預測、財務記錄、人力資源資料等。

– 其他因應合規性而受任何法規約束的資訊。

評估成本與預算

在實施安全計畫時,財務預算也是一個成敗決定性因素。雖然,教育員工遵守安全規範,像是更改密碼或將檔案加密是系統內建,而且免費;但投資足夠的IT 支援系統可能會顯著影響專案成效。在起草預算規劃時除需要考慮有效的工具外;更需要以前面提到的保護的資料類型、組織使用範圍與組織業務內容,排出優先順序。像是防毒軟體或防火牆對於組織內的端點電腦都至關重要,但安全資訊管理系統 (SIM) 可能與小型零售業務關係不大。實事求是的評估符合成本效益的輔助工具,就像是為了保護價值10元的物件,不會去使用100元的安全鎖一樣;除非不使用將面臨企業存活的後果。

設計有效的資料外洩防護計畫

組織依據保護目標資料屬性,選擇正確有效的防外洩工具來實現安全目標。各種資安系統也有其一定的設計目標,產業用途等,會有適用上的差異與優缺點。通常不太可能只建置一套防外洩系統,就可以完全適用各種組織的業務。常見用來防護資料外洩的工具,各自有其擅長特點與做法:

1. DRM/EDM 

企業 DRM(數位版權管理)應用在組織文件安全管理,也有人稱為企業文件管理。通常是以檔案(File Based)為保護標的的解決方案,允許組織對檔案加密保護、控制編輯、追蹤檔案版本、授權發布等;進階的方案也提供了流程管理。特點是藉由這種保護控制機制,組織可以在內部和外部安全的共用機密文件,為其業務提供安全的環境,而不必擔心意外的由裝置、網路等管道外流檔案。

2. Anit-Malware/Anti-Virus/EDR

EDR (Endpoint Detection and Response)端點偵測和回應平臺是監視端點電腦(網路上的電腦,而不是網路本身)可疑活動的解決方案。EDR 解決方案由 Gartner 分析師于Anton Chuvakin 2013 年創建,專注于終端使用者設備、筆記型電腦、桌上型電腦和行動裝置。EDR 解決方案為可疑活動(如惡意軟體和網路攻擊)提供可見度和活動監視,相較於傳統的端點防毒軟體或端點防駭軟體,EDR 加強了像是APT 這種威脅的偵測,威脅情資的蒐集比對,評估威脅模型,較能夠對付未來之未知的威脅。

3. SIEM / UEBA

SIEM (Security information and event management)是一種解決方案,集中收集各式網路設備、IT服務系統、使用者端點設備的系統日誌和事件記錄。 透過關聯分析系統日誌、事件記錄來識別威脅。UEBA(User and entity behavior analytics) 則是專注在使用行為分析來監視使用者和設備實體(如伺服器和應用程式)活動的系統。UEBA 系統利用建立使用者活動的基準線等級及其與各種實體的交互活動,分析它們偏離活動的基準線的情況,以此判斷裝置是否受到侵害及追蹤威脅來源。

4. DLP 及 Enterprise Device Control

Data Loss Prevention (DLP) 對端點電腦及網路活動的內容(content)及上下文(context)分析,找出可能外流的檔案標的,進而控制其傳輸管道,防止資訊外洩。

也有的系統專門對連接裝置、傳輸活動、應用程式等外洩的管道進行控管,而不管內容為何。端點型的通常也提供了如IT資產管理、遠端遙控、錄影、Help Desk及對應的活動記錄,甚至還包含UAM部分功能。

5. UAM

User Activities Monitoring是監視和記錄使用者操作活動。UAM記錄使用者操作,包括應用程式使用、打開的視窗、執行的系統命令、檔案操作、瀏覽的URL、連結裝置以及螢幕擷取,以確保員工使用設備時活動在指定的任務中,並且不會對組織造成外洩風險,從而保護資料。使用者活動監視軟體也提供類似錄影活動的播放,並把錄影放到使用者活動記錄中,這些記錄操作可以搜索和分析,以調查任何範圍外的活動。

適度的混合採用,截長補短

在分析組織的需求後,適度地運用各種防護系統的專長,找出最符合目標效益的組合。舉例來說,有的DLP 系統只有在DLP規則符合時才會有活動記錄。對於稽核和鑑識來說,就沒辦法追蹤分析事件來龍去脈。而網路端DLP 支援的通訊協定通常有限,離開IT 環境時使用者設備的管制縮水或存在限制。除了保護安全的目的之外,應該進一步考量稽核管理及系統管理方面的複雜度。當組織具備一定規模時,各單位的業務屬性差距大,影響到管理防外洩系統的複雜度。像是規則制定的複雜度,處理事件的流程,都會衝擊營運業務流暢。在不妥協安全性之下,選擇功能包含廣,管理簡便,影響使用者輕微,是比較容易被接受的。


關於Version 2 Limited
Version 2 Limited是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於精品科技
精品科技(FineArt Technology) 成立於1989年,由交大實驗室中,一群志同道合的學長學弟所組合而成的團隊,為一家專業的軟體研發公司。從國內第一套中文桌上排版系統開始,到投入手寫辨識領域,憑藉著程式最小、速度最快、辨識最準等優異特性,獲得許多國際大廠的合作與肯定。歷經二十個寒暑,精品科技所推出的產品,無不廣受客戶好評。