本文來自微信公眾號:連續創業的Janky(ID:janky-dsphere),作者:Janky,原文標題:《DLP 已經過時了嗎,該如何破局》
Data loss prevention (DLP) software detects potential data breaches/data ex-filtration transmissions and prevents them by monitoring, detecting and blocking sensitive data while in use (endpoint actions), in motion (network traffic), and at rest (data storage).
數據丟失防護(Data loss
prevention, DLP)軟件可檢測潛在的數據泄露/非過濾數據傳輸,并通過在使用(端點操作)、移動(網絡流量)和靜止(數據存儲)時監控、檢測和阻止敏感數據來防止這些(泄露)。
——翻譯自Wikipedia
寫這篇文章著實非常惶恐,整篇用詞與修飾也是經過反復琢磨和調整。因為 DLP 是個很大的產業,涉及幾乎印有數據安全標簽的所有安全廠商,企業數據安全建設的第一站往往也以安裝 DLP 為起點,企業員工怒罵公司行為的背后也往往有 DLP 的影子在,可見該話題的影響甚大。
同樣的話題討論,發生在國外,已經是 5 年前了。2018 年 4 月 5 日,Gartner 高級 VP 級別分析師 Avivah Litan,發表了一篇博文,名為“DLP is Dying”*,但是博文內容已經過修改,因為原始內容關于 DLP 正在消亡的言辭引起了安全廠商的極大不滿,開啟了激烈的網絡爭論,作者迫于輿論壓力重新修改了文章,并關閉了自己 LinkedIn 留言功能。
作者本人從事企業數據安全相關工作的時間,不算太長也不算太短,說起來也有超過十年的時間了。自身開發過 DLP 的產品,也主導了阿里巴巴原生 DLP 產品向 UEBA(user and entity behavior analytics,用戶和實體行為分析技術)的轉型升級,見證了身邊不少新興 DLP 廠商的迅速消亡,聽慣了企業員工的罵聲和老板的質疑,也幫助不少企業完成了適合自身 DLP 產品與方案的選型和落地。就經驗上來講,或許能有一點點有價值的輸出,幫助安全同行們在規劃自身 DLP 產品的時候適量避坑,也讓企業們在選擇適合自身安全產品的時候多一點點參考,期望寫在這里的一些經驗總結能起到這些作用。
一、DLP產品分類
數據防泄漏的產品有很多種類型,云桌面、沙箱、透明加解密也都是可選方案,DLP 區別于這些方案的特點,在于其本身是通過在不改變任何用戶使用數據的習慣的前提下,自動檢測出數據泄露的行為。企業內的員工甚至都意識不到 DLP 安全產品的存在,也不需要跟該產品進行任何形式的互動。
舉些形象的例子,云桌面(類似的叫法還有虛擬桌面、VDI、DaaS)和沙箱好比家里的保險箱,值錢的東西都鎖在里面出不來;透明加解密原理類似于在電影和電視劇里,看到的故事情節:情報人員用米湯在紙上寫字,待米湯干燥后送出。而收到情報的人員,
把這張“白紙”放入碘酒中泡一下,就可以讀到紙上的秘密信息;DLP 就是那個掛在墻上監控攝像頭,它能震懾小偷,但也不能干擾小偷做壞事,默默記錄下作案過程事后追責。
DLP 產品本身,按照數據所處位置的不同,國外同行們又定義出了 4 個分支,終端 DLP、網絡 DLP、云應用 DLP、存儲 DLP。很遺憾在國內的環境里,真正能被應用的只有終端 DLP 和郵件 DLP,其根本原因在于國內應用生態的落后和封閉,之前的一篇文章有詳細分析過。
郵件 DLP 依附于企業自有的郵件服務器,通常以郵件網關的形式存在,去過濾外發的郵件內容,應用場景非常直觀和單一,所能達到的防泄漏效果也比較狹窄,畢竟真正想偷盜企業數據的員工,還是會聰明到不用企業自身郵箱把數據給發出去。
因此,咱們這里就重點講講最為復雜的,終端 DLP。
二、終端DLP及其困局
不避諱地講,DLP 是針對企業內部員工監守自盜的防范措施,不論是刻意為之還是無心之施。盜竊行為的案發地,就在辦公終端上,以前以辦公電腦為主,移動互聯網后新增了移動端設備。輔助作案的工具就最為復雜多樣了,常見的聊天工具(微信、QQ、釘釘)、第三方網盤、U 盤、藍牙傳輸、AirDrop、云筆記、共享目錄……無法窮舉。所有這些作案工具被 DLP 產品統稱為外發渠道,需要定點進行覆蓋和監控。
DLP 并不是一個新的產品形態,其歷史可以追溯到國外 25 年之前,國內 20 年之前。對于大量企業來講,企業當前的數據被一張漁網包裹著,這些數據隨時都能從漁網上的一個孔洞里漏出去,DLP 產品所做的就是不停地嘗試在新的漏洞里面安裝上攝像頭,記錄下來什么時候有數據從哪個洞出去了。但現實是這張漁網無限大,且還在不斷自我膨脹,DLP 在一個洞口安裝了監控的同時又生出了 2 個新的洞。還有些洞,門框太高或者墻壁太滑,連攝像頭都裝不上去。
除了產品本身研發的困難之外,DLP 還面臨著很多其它挑戰。
1. Everybody Hates DLP(人人喊打)
想想也真的覺得神奇,恐怕沒有其它任何一個產品能像 DLP 這樣,達到人人都“討厭”的地步,即使是花錢采買的企業自己也是同樣的心理。
2. 渠道覆蓋不完,移動端束手無策
在移動互聯網之前,DLP 是極其有效的。那會企業員工都還在主要依靠 PC 臺式機辦公,能帶離辦公室的筆記本都比較少見;企業辦公主要數據資產還是終端的文件,不像現在有那么多 Web 系統,各種在線文檔更是越來越普及,數據已經離開終端上云了,脫離了非結構化形態,變成了結構化和半結構化。
那會企業有專門的局域網,出了局域網也無所謂工作了,沒有 996,沒有居家辦公,企業數據也局限在辦公室的局域網內。
那會個人沒那么多聊天工具,沒那么多第三方服務,數據沒有好的去處,也無法自由地流動。
那會沒有那么智能的手機,數據還在辦公電腦里,而不像現在到處飛。
那會沒人關注個人隱私,員工不會質疑公司安裝的安全軟件;那會沒有《數據安全法》,沒有《個人隱私保護法》,安全軟件可以干任何想干的事情。
那會操作系統還沒有回收或者加強終端內核接口的管理,在終端采集數據不需要員工主動授權,不像現在操作系統動不動就彈窗提醒,嚇得員工一激靈。
試想如果電腦里突然彈個窗口顯示“某某安全軟件正在嘗試控制這臺電腦……”的提示,那就有得熱鬧了。這些最終都會轉化為企業 IT 和安全團隊的運營成本。
3. 安全手段太容易被繞過
過往和當前的終端 DLP 技術路線,基本還是在享受信息不對稱的紅利。普通員工對 IT 技術原理不了解,忌憚企業宣傳的安全能力,不敢輕易嘗試破解辦法,只能想到給文件打個壓縮包,改個后綴名這樣的辦法。
普通非安全專業的 IT 團隊,缺乏安全經驗,無法判斷 DLP 產品能給企業帶來的實際作用,而是參考同行和公開渠道的乙方宣傳,而認為應該采用 DLP 方式。
搜索引擎限制和內容缺乏,國內互聯網上給人支招去繞過 DLP 的內容很少,但是 Google 相關內容卻異常豐富。引用國外同行的總結:
I HAVEN’T SEEN A DATA LOSS PREVENTION TOOL MY TEAM CAN’T BYPASS IN TWO SECONDS.
我還沒有看到我的團隊在兩秒鐘內無法繞過的 DLP 工具。
——A CISO AT A GLOBAL
FINANCIAL SERVICES COMPANY
4. 誤報太高,導致運營成本過重
任何技術手段是有局限的,作為安全軟件技術來講,都會面臨兩個致命的問題,不光是 DLP 獨有的問題。
①數據歸屬判定:識別到敏感數據并不困難,困難的是無法區分該數據是歸屬企業的還是個人。比如員工在辦公電腦上接收和處理了一份自己汽車保險的合同,DLP 發現合同是很敏感的數據,但它沒法知道這是員工個人的數據。
②敏感操作判定:同樣識別到數據操作的敏感行為并不困難,困難的是無法判斷該行為是否違規。比如識別到員工外發了一個敏感文件,內部含有大量財務數據。DLP 無法判斷這是銷售人員發送給客戶的報價單,還是發送給競爭對手的內部定價規則。
以上最為本質的兩個問題,無法通過程序自動化的解決,那么就只能在終端不斷地上報日志。隨著企業員工數量和終端的增加,這些日志數據呈幾何式的增長,少量的違規行為數據埋藏在海量的正常日志中,等著某天通過別的方式發現有人偷盜公司數據的事后,進行日志溯源反查。
三、終端DLP的破局之路
嚴格意義上講,人類的技術進步,從來沒有從 0 到 1 之說,或者最開始的那個 0 我們已經無法追溯。任何所謂新技術,新產品形態的誕生,都依仗無數過往技術的鋪墊。同時也意味著,幾乎沒有哪項技術會消失,所謂的過時只是換了一種形態和方式,去支撐下一代創新去了。碳原子從沒有消失,只是在不同生命體之間游走。
未來 DLP 的重點,不再是去支持更多外發渠道,不是去吃力不討好地延續國外文件指紋的技術路線,個人的建議是走被應用集成的路線。
1. 被UEBA集成,而不是成為UEBA
新型的 DLP 多打著 UEBA 的旗號,然而事實是其永遠也成不了一個 UEBA 的產品,無論在終端采集多少行為數據都是無用功,傳統的 DLP 采集的和能夠采集的數據已經夠多了。
事實上對于任何一個期望建立在數據模型上的應用來講,最為核心的不是采集單一維度數據的能力,甚至都不是數據處理的能力,而是你到底有沒有關鍵數據的能力。例如一個 DLP 采集了所有員工的對外聊天記錄信息,遠遠不如有一條員工和對方好友關系的數據來得重要,員工和聊天的對方是夫妻、同事、客戶、友商還是別的關系。但這樣的數據,可不是一個第三方 DLP 產品能夠擁有的。
2. 以企業數據為中心,而不是以人的行為為中心
人的行為受制于不同上下文和在職場的角色,而千變萬化,無法預測,能夠標準化的并不多,頂多是針對快離職的員工進行定向的關照,如在離職期間大量拷貝企業組織架構和內部文檔的行為,八成是可疑的,但除此之外能標準化判斷的行為并不多。
與其盯著終端文檔,去記錄和串聯文檔的創建、修改、重命名、打壓縮包這樣的行為,不如去針對企業數據集中的應用進行特定應用的探針支持。方式上采用應用開放接口對接的方式,而拋棄終端 Hook 應用的模式。如針對釘釘、企業微信開放平臺去打造企業內部安全應用,去收集應用行為數據給到 UEBA 引擎使用。
3. 從Detection的角色轉換為Response
DLP 歷來被詬病最多的就在于其風險偏事后的特性,無法在風險發生當下進行阻斷,而只能作為事后溯源的手段。從技術實現上來講,能檢測就能阻斷,只不過之前因為無法準確判斷行為而不敢阻斷,倘若成為 UEBA 的一部分,那么便可在數據模型的加持下,讓阻斷能力重見天日。
4. 幫助企業去歸集所有維度數據,而不是基于終端行為建模型
同第一點一樣,安全風險的最終解法靠數據,現有 DLP采集的終端維度數據遠遠不足夠用于建模,安全企業和產品應當幫助企業去收集內部能夠被用于建模的一切數據,綜合設計數據風險模型,DLP 就聚焦在采集和響應即可。
