(数据泄露防护) DLP-基础详解 – 作者:yudun2019-安全小百科

数据泄露

除非我们（信息安全工作者）十分勤奋，对无论存储在哪里的数据都应用正确的控制，否则我们应该能预见到其中的一些最终会落入错误的人手中。事实上，即使我们一切都做正确了，这种情况的风险也永远不会消除。若组织泄露个人的信息，则可能导致巨大的财务损失。其代价通常包括：

l 调查事故并纠正问题

l 联系受影响的个人，并告知他们该事故

l 监管机构的处罚和罚款

l 合同责任

l 减轻费用(如为受影响个人提供免费信贷监控服务）

l 对受影响的个人造成直接损害

除了财务损失，公司的声誉可能受损，个人的身份也可能被盗用。

因疏忽导致数据泄露的最常见形式为：转移信息不恰当(例如将数据由一家安全的公司系统转移到一台不可靠的家庭计算机中，以便员工能够在家工作);保护不周的笔记本电脑或磁带在出租车上、机场安全检查站中、包装箱内丢失或被盗；采用不适用于特殊用途的技术，例如将某种包含一个或几个对象的介质(如页面、磁盘扇区或磁带)重新分配用于不相关的用途，而没有确保介质中并不包含任何数据残留。

由于信息使用不当而导致信息面临风险并泄露而责备员工的做法并不恰当。员工有他们的工作要做，他们对工作的理解几乎完全基于其雇主提供的信息。雇主并不仅限于(甚至也不能)主要通过 “工作描述”向员工说明其工作。相反，他应该在每天及每年发送给员工的工作反馈中提供这些信息。如果公司在发给员工的例行通知中，以及在反复进行的培训、业绩审查以及工资/资金发放过程中没有体现安全意识的重要性，那么员工就不会将确保安全当作他们工作的一部分。

由于环境变得日益复杂，在环境中经常使用的介质类型日益增多，公司需要通过进行更多的交流和培训来确保环境得到良好保护。此外，除了政府和军事环境外，公司策略甚至是安全意识培训并不能阻止许多全心工作的员工充分利用最新的消费者技术，包括那些尚未集成到企业环境中的技术以及那些没有针对企业环境或企业信息加以适当保护的技术。公司必须及时了解新的消费者技术以及员工(希望)如何在企业环境中使用它们。只是说“不”，并不能阻止员工使用各种技术，例如员工通过个人数字助理、USB盘、智能电话或电子邮件将企业数据转寄至他们的家庭个人邮箱，以便在办公室之外的其他地方处理这些数据。公司必须通过技术安全控制(如锁定计算机)来检测和防止这类行为，阻止在非公司所有的存储设备(如USB盘)上写入敏感数据以及将敏感信息通过电子邮件发送至未经许可的地址。

数据泄露防护

数据泄露防护(Data Leak Prevention，DLP)包括组织为防止未经授权的外部各方访问敏感数据而采取的各种行动。该定义包含一些关键术语。首先，数据必须被认为是敏感的。我们不能保证每个数据被安全地锁定在我们的系统中，所以我们将注意力、努力和资金集中到真正重要的数据上。其次，DLP关系到外部各方。如果会计部门的某个人获得内部研发数据的访问权，这会是一个问题，但在技术上说它不被认为是数据泄露。最后，外部访问我们的敏感数据必须是未经授权的。如果前商业伙伴拥有我们的一些敏感数据，但他们是在被雇用时曾被授权获得的，那么这不被认为是泄露。虽然这种对语义的强调可能看起来有点过分，但是用适当的方式来应对我们组织的这种巨大威胁是必要的。大多数安全专业人员会习惯将数据丢失和数据泄露这两个术语混用。然而，从技术上讲，数据丟失意味着我们不知道数据在哪里(例如，在笔记本电脑被盗后)，而数据泄露意味着数据的机密性已经被破坏(例如，笔记本电脑窃贼将文件发布到互联网上)。DLP的真正挑战涉及我们组织的整体观。这个观点必须包括我们的人，我们的流程，然后是我们的信息。关于DLP的一个常见错误是将该问题视为技术问题。如果我们所做的是购买或开发旨在阻止泄露的最新技术，我们就很可能会泄露数据。另一方面，如果我们认为DLP是一个计划而不是一个项目，并且我们对我们的业务流程、策略、文化和人员给予应有的重视，那么我们有很好的减少许多(甚至大部分)潜在泄露的机会。最终，就像信息系统安全的其他一切方面那样，我们必须承认，尽管尽了最大的努力，我们总会有不幸的日子。我们能做的就是坚持这个计划，使糟糕日子的频率减少、程度减轻。

DLP的一般方法

DLP没有万全之策，但有一些经过检验且可靠的原则可能会有所帮助。一个重要的原则是整合 DLP与风险管理流程。这使我们能够平衡面临的全部风险，并支持在多个领域同时减轻这些风险的控制。这不仅有助于充分利用资源，还使我们避免在一个孤岛上做决定，而很少或不考虑它们对其他孤岛的影响。接下来将讨论DLP方法的一些关键要素。

数据清点

正如很难保护未知目标那样，同样，防止我们不知道或者其敏感性未知的数据泄露也是困难的。一些组织试图保护他们的所有数据不被泄露，但这并不是一个好方法。首先，获得保护所有信息所需的资源可能对于大多数组织来说成本过高。即使一个组织能够提供这种级别的保护，它通过检查其系统中的每一个数据块的方式将面临着侵犯其员工和/或客户隐私的高风险。一个好方法是在选择DLP解决方案之前查找和表征组织中的所有数据。这个任务起初看起来太过艰巨，但它有助于确定事物的优先级。你可以首先确定你的组织哪些数据最重要。这些资产的泄露可能导致直接的资金损失或给你的竞争对手在该领域的可乘之机。这些是卫生保健记录？财务记录？产品设计？军事计划？一旦你弄清楚这些，你可以开始在你的服务器、工作站、移动设备、云计算平台，以及可能存在的任何地方寻找这些数据。请注意，这些数据可以是各种格式(例如，DBMS 记录或文件)和介质(例如硬盘驱动器或备份磁带)。如果你是第一次这样做，你可能会惊讶于你发现敏感数据的地方。一旦你掌握了高价值数据及其所在位置，你可以将搜索范围逐渐扩大到价值略逊但仍然敏感的数据。例如，如果你的关键数据涉及下一代无线电的设计，那么你将需要寻找那些可以允许他人获得对这些设计的洞察力的信息，哪怕他们不能直接获得它们。因此，例如，如果你有专利文件存档、 FCC许可证申请和与电子元件供应商的合同，则对手可能在没有直接访问你新的无线电计划的情况下，也能使用所有这些数据来理解你的设计。这就是为什么苹果很难在新iPhone发布前保持其所有新功能保密的原因。你经常很少能够做到减轻这种风险，但一些组织已经大量提交了他们并不打算使用的专利和应用程序，以迷惑对手其真正的计划。显然，和任何其他安全决策一样，这些对策的成本必须与你试图保护的信息的价值相权衡。随着你不断扩大搜索范围，你将达到收益递减点。如果超过它，则你清点的数据就不值得花时间去找出它了。一旦你确信你己经清点了敏感数据，下一步就是表征它们了。表征的方式即信息分类，因此你应该完全了解关于数据标签的概念。这种表征的另一个要素是所有权。谁拥有特定的数据集？除此之外，谁应该被授权读取或修改它？根据你的组织，你的数据可能具有对于DLP工作十分重要的其他特性。例如，哪些数据受到监管以及必须保留多长时间。

数据流

保留静态数据通常对任何人没有什么用。大多数数据将根据特定的业务流程，通过特定的网络路径流动。理解在业务和IT之间的这个交叉点上的数据流对于实现DLP是至关重要的。许多组织将DLP传感器放在网络的周边，认为这是泄露发生的地方。但如果这是这些传感器所放置的唯一位置，则可能不能检测或阻止大量的泄露。此外，我们将在基于网络的DLP部分详细讨论到，周边传感器常被经验丰富的攻击者绕过。更好的方法是使用为特定数据流调准过的各种传感器。假设你有一支软件开发团队定期将完成的代码传递给QA(质量保证)团队进行测试。代码是敏感信息，但是QA团队有权读取(或修改)它。但是，QA团队并无权访问正在开发的代码或过往项目的代码。如果对手攻破了 QA团队成员使用的计算机，并尝试访问不同项目的源代码，则没有为该业务流程调准过的DLP解决方案将无法检测到该泄露。而对手则可以重新打包其数据，以绕开你的周边监视器，成功提取该数据。

数据保护策略

刚刚描述的示例强调了对综合的、基于风险的数据保护策略的需求。对手(内部或远程)从我们的系统提取数据的简单方法是对其加密和/或使用隐写术将其隐藏在无关文件中。隐写术是在其他数据中隐藏数据，使得难以或不可能检测到其隐藏的内容的过程。我们所要试图减少这些外渗途径的程度取决于我们对其使用风险的评估。显然，随着我们增加对持续增长的数据项审查，我们的成本将不成比例地增长。我们通常不能一直看到所有事物，那么我们该怎么办？一旦我们拥有我们的数据清单并了解了数据流，就有足够的信息来进行风险评估。由于我们不能保证能成功地防御所有攻击，就必须假设有时我们的对手有机会访问到我们的网络。我们的数据保护策略不仅要涵盖预防攻击者的方法，还必须描述如何保护我们的数据免受已经存在的内部威胁代理的损害。以下是在制定数据保护战略时需要考虑的一些关键领域：1、备份和恢复虽然我们一直将注意力集中在数据泄露上，但考虑采取措施防止由于机电或人为故障而丢失数据也很重要。当我们考虑这个问题时，还需要考虑的风险是：虽然我们将注意力集中在防止主要数据存储的泄露上，但我们的对手可能会将注意力集中在窃取备份数据上。2、数据生命周期我们大多数人可以直观地抓住数据生命周期每个阶段的安全问题。然而，当数据从一个阶段过渡到另一个阶段时，我们则易于忽略其安全。例如，如果我们要异地存档数据，我们是否要确保它在传送过程中受到保护呢？3、物理安全虽然IT提供了丰富的工具和资源来帮助我们保护数据，但我们还必须考虑当对手只是偷走一个留在非安全区域的硬盘驱动器的情况，就像2015年8月发生在弗吉尼亚州诺福克的Sentara心脏病医院的事件一样。4、安全文化如果受过适当的教育和激励，我们的信息系统用户可以是巨大的控制资源。通过在我们的组织内培养安全文化，我们不仅减少了用户单击恶意链接和打开附件的发生率，而且将每个用户转化为一个安全传感器，能够检测我们可能无法发现的攻击。5、隐私每个数据保护政策应仔细平衡监控数据的需要和保护我们用户隐私的需要。如果我们允许用户在休息期间检查个人电子邮件或访问社交媒体网站，那么我们的系统是否会安静地监控他们的私人通信？6、组织变革许多大型组织由于兼并和收购而成长。当发生这些变化时，我们必须确保所涉及的所有实体的数据保护方法是一致和充分的。否则，就像木桶原理那样，新组织的总体安全形势只会取决于各方中最弱的一方。

实现、测试和调优

我们迄今讨论的DLP流程的所有元素(例如，数据清单、数据流和数据保护策略)本质上都是行政性质的。我们最终来讨论我们大多数人熟悉的DLP部分：部署和运行工具集。到目前为止我们的讨论顺序是精心安排的，因为技术部分需要获得来自我们己经覆盖的其他元素的信息。许多组织在所谓的解决方案上浪费了大量资金；虽然众所周知，但这些解决方案并不适合他们的特定环境。

假设我们完成了管理作业，很好地理解了真正的DLP要求，那么我们可以根据自己的标准来评估各种产品，而不是依靠别人的评估。以下是大多数组织在比较竞争产品时需要考虑的可选解决方案的一些指标：

1、敏感数据感知

不同的工具将使用不同方法来分析文档内容的敏感性和使用它们的上下文。一般来说，产品提供的技术分析深度越深、广度越广，效果也越好。发现和跟踪敏感数据的典型方法包括关键字、正则表达式、标签和统计方法。

2、策略引擎

策略是任何DLP解决方案的核心。遗憾的是，并非所有的策略引擎都是被平等创建的。一些方案允许非常精粒度的控制，但需要模糊的方法来定义这些策略；其他解决方案则可能表现较差，但很容易理解。所以这里没有正确的答案，每个组织可差异化地衡量一组解决方案的这个方面。

3、互操作性

DLP工具必须与现有基础设施互动良好，正因为如此，大多数供应商会向你保证他们的产品是可互操作的。恰当地决定如何进行这种整合是需要技巧的。有些产品技术上具有互操作，但在实践中，需要很多努力才能整合，因此它们变得不可行。

4、准确性

一天结束时，DLP解决方案仍使你的数据不受未授权实体的影响。因此，正确的解决方案应当能精确地识别和防止导致敏感数据泄露的事件。评估此标准的最佳方法是通过模拟组织中的实际环境条件，以测试候选解决方案。

一旦选择了 DLP解决方案，下一个相关的任务就是集成、测试和调优。显然，我们希望确保在线使用的新工具集不会破坏我们现有的系统或流程，但是测试需要覆盖更多内容。在测试任何DLP 解决方案时，最关键的要素是验证其是否允许授权数据的处理，并确保防止未经授权数据的处理。

如果我们已经清点了数据和授权流程，验证那些己被授权的进程不受DLP解决方案的阻碍应该是相当直接的。特别是，数据流将告诉我们测试应该是怎样的。例如，如果我们有一个从软件开发团队到QA团队的源代码类数据流，那么我们应该测试它实际上是否被新的DLP工具所允许发生。我们可能不会有资源来彻底测试所有的流程，这就意味着我们应当根据其对组织的重要性来确定它们的优先级。只要时间允许，我们总能回头测试剩余的、可能不那么常见的或关键的进程(在我们的用户这样做之前)。

测试的第二个关键元素(即DLP解决方案防止未授权的流量)需要更多的工作量和创造力。实质上，我们要试图想象威肋、代理可能导致数据泄露的方式。在有记录这些类型的活动中一个有用的工具，被称为误用案例。误用被描述为威胁行为者及其要在系统上执行的任务。它们与用例相关，系统分析员使用这些用例来记录被授权的操作员希望在系统上执行的任务。通过编译误用案例的列表, 我们可以记录那些最可能、最危险的数据泄露情形。正如我们在测试授权流时所做的那样，如果资源有限，我们可以优先考虑首先要测试的滥用情况。当我们测试这些潜在的误用时，确保DLP系统以我们期望的方式工作是重要的。也就是说，它防止泄露，而非只是警告。一些组织曾震惊地得知，他们的DLP解决方案已经提醒他们有关数据泄露了，但并未阻止它们，就这样让他们的数据泄露对手。

最后我们必须记住，一切都在改变。如果我们不持续维护和改进，那么那些被精确实施、精细调优和能立即生效的解决方案可能在不久的将来就变得无效了。除了工具本身的功效，我们的组织也随着人、产品和服务反复变化。随之而来的文化和环境变化也将改变DLP解决方案的有效性。而且很显然，如果我们没有意识到用户正在安装非法接入点、没有限制地使用拇指驱动器或是单击恶意链接，那么我们昂贵的DLP解决方案被避开或绕过就只是时间问题了。

DLP弹性

弹性是应对挑战、损害和危机并在短时间内反弹回正常或接近正常状态的能力。它是通用安全性(特别是DLP)的一个重要因素。假设你的组织的信息系统己被入侵(并且未被检测到)，对手接下来会做什么呢？你又如何检测和处理呢？悲哀的现实是几乎所有组织都被攻击过，且大多数信息被泄露过。能承受攻击且相对毫无损失者，与那些遭到了巨大损失者之间的关键区别正是他们在有竞争的环境中运营的态度。如果一个组织的整个安全策略只是拒其对手于网络之外，那么当他们真正设法打入网络之后，将导致策略灾难性的失败。另一方面，如果该策略建立在弹性的概念上，并考虑到关键流程的延续性，即使对手在网内肆虐，那么故障可能只有较小的破坏性，并且恢复可能会快些。

网络DLP

网络DLP(NDLP)对运动中的数据应用保护策略。NDLP产品通常是一些部署在组织网络周边的设备。它们还可以部署在内部子网的边界处，并且可以作为一些模块被部署在模块化的安全设备内。下图显示NDLP解决方案如何在网络边缘部署单台设备并与DLP策略服务器通信。在实际中，NDLP设备的高成本导致大多数组织只在流量咽喉点而不是在整个网络中部署它们。因此，NDLP设备可能不会检测到在没有安装该设备的网络段里流经的泄露流量。例如，假设攻击者能够连接到一个无线接入点，并获得未受NDLP工具保护的子网的非法访问权限，如下图中假设攻击者使用的是连接到WAP的设备。虽然这看起来是一个明显错误，但许多组织在规划DLP时并未考虑其无线子网。或者，恶意内部人员可将其工作站直接连接到移动或外部存储设备，复制敏感数据，并将其从完全不执行检测的场所中移除。NDLP解决方案的主要缺点是它不会保护不在组织网络中的设备上的数据。移动设备用户面临的风险最大，因为他们只要离开办公场所就将面临攻击。我们预计移动用户人数在未来会继续增加，这将是NDLP将要面临的持久挑战。

端点DLP

端点DLP(EDLP)对静态数据和使用中的数据应用保护策略。EDLP被部署在每个受保护的端点上以软件形式运行。此软件（通常称为DLP代理)与DLP策略服务器通信，以更新策略和报告事件。下图展示了 EDLP的实现。

EDLP能实现通常NDLP无法达到的防护等级。原因是数据在其创建点是可被观察的。当用户在与客户端面谈期间并在设备上输入PII（个人验证信息）时，EDLP代理检测新的敏感数据并立即对其应用相关的保护策略。即使数据在设备上处于静止状态时己被加密，也必须在使用时被解密，并允许EDLP检查和监视。最后，如果用户尝试将数据复制到非联网设备(例如，拇指驱动器)，或者如果其被不正确地删除，EDLP将自动匹配可能对应的违规策略。而这些例子都不可能被用在NDLP上。EDLP的主要缺点在于其复杂性。与NDLP相比，这些解决方案在组织中需要有更多的存在点，并且这些点中的每一个都可能具有独特的配置、执行或身份验证挑战。此外，由于代理必须部署到可能处理敏感数据的每台设备上，所以其成本会比NDLP解决方案高得多。另一个挑战是要确保所有代理都被定期更新，包括软件修补程序和策略更改。最后，由于纯EDLP解决方案不能做到对运动中数据的违规保护，因此攻击者可能绕过保护(例如，通过恶意软件来禁用代理)并使组织对正在发生的泄露毫不知情。而通常NDLP更难被禁用，因为它通常在攻击者难以利用的设备中实施。