搜索
Securosis公司了解和选择数据泄露防护(DLP)解决方案Securosis公司该报告由发起作者备注:本报告内容由各赞助商独立开发。本报告以最初发表于Securosisblog上材料为基础但在此基础上进行了深入探讨,由美国系统网络安全协会(SANS)进行了评估,也进行了专业编辑。本报告由Websense公司赞助,与SANS协会联合发行。特别感谢ChrisPepper提供了编辑和内容支持。赞助商:WebsenseWebsense®ContentProtectionSuite(内容防护套件)是一款集成化数据丢失防护解决方案,通过发现数据所在位置、监控数据、保护数据、作好“哪些人和哪些数据可以哪种方式到哪里”的安全防护工作,从而防止内外部数据泄漏、改善业务流程并管理法规遵从性和风险性。欲知有关WebsenseContentProtectionSuite的更多信息,请访问。版权本报告采用创作共用的署名-非商业用途-禁止演绎3.0的授权。公司公司目录DLP介绍5混乱不堪的市场5定义DLP5作为功能的DLPvs.DLP解决方案6内容感知7内容vs.上下文7内容分析7内容分析技术7技术架构11动态、静态和使用中数据的保护11动态数据11静态数据14使用中数据15集中管理、策略管理和工作流程18用户界面18层次化管理、目录集成和基于角色的管理19策略创建和管理19了解和选择DLP解决方案3Securosis公司事件工作流程和案例管理20系统管理、报告和其它功能21DLP选择流程22定义需求并作好您的企业准备工作22形式化需求23评估产品23内部测试24总结25走出迷宫25关于作者26关于Securosis26关于SANS协会26了解和选择DLP解决方案4Securosis公司DLP介绍混乱不堪的市场数据丢失防护(DataLossPrevention,DLP)是安全市场上炒得最热却了解最少的工具之一。它拥有至少六种不同名称以及更多的技术方案,从而使得想要了解这些工具的最终价值以及哪种产品最适用于哪类环境并不容易。本报告将提供DLP必要背景来帮助您了解这项技术、知道在产品中寻找的目标、找到与您企业最匹配的产品。DLP是一项正处于成长阶段的技术,尽管产品可能不如IT其它领域产品那样成熟,但却为那些有这方面需要的企业提供了重大价值。这一市场目前仍是由新创企业占主导地位,不过已有大型供应商开始涉足,一般是通过收购的方式。了解DLP第一个难题是要晓得我们实际讨论到底是什么。下列名称全曾被用于描述同一市场:•数据丢失防护/保护•数据泄漏防护/保护•信息丢失防护/保护•信息泄漏防护/保护•侵出防护•内容监控和过滤•内容监控和保护DLP看起来似乎是最通用的名称,虽然其使用寿命可能很有限,但为简便起见,本报告中我们将采用此称呼。定义DLP究竟什么会真正损害到DLP解决方案?目前仍没有定论。有些人考虑通过加密或USB端口来实现DLP,而其它人则采取自我限制的方式来完成产品套件。Securosis将DLP定义为:基于中央策略、通过深层内容分析来识别、监控和保护静态、动态和使用中数据的产品于是,DLP主要定义性特征为:•深层内容分析•中央策略管理•横跨多个平台和地点的广泛内容范围了解和选择DLP解决方案5Securosis公司DLP解决方案可保护敏感数据并加深对企业内容使用的了解。大多数企业除了知晓哪些是公用数据以及公用数据以外的其他所有数据,就不会再去划分其他的数据类型了。DLP可帮助企业更好了解企业中的数据并改善其内容分类和管理能力单点产品可以提供一些DLP功能,但常在覆盖范围(仅网络或仅终端)或是内容分析功能方面更为有限。本报告将重点关注全面DLP套件,但有些企业可能发现单点解决方案也能够满足其需要。DLP功能vs.DLP解决方案DLP市场还可分为作为功能的DLP以及作为解决方案的DLP。有大量产品都提供了基本DLP功能,特别是电子邮件安全解决方案,但它们都不是完整的DLP解决方案。二者不同之处在于:•DLP产品,包括集中化管理、策略创建和执行工作流程,致力于内容和数据的监控及保护。其用户界面和功能旨在通过内容感知来解决内容保护的业务和技术难题。•DLP功能,包括DLP产品的一些检测和执行功能,但并不致力于内容和数据保护任务。这种不同之处至为重要,原因在于DLP产品可解决“可不可以接受相同业务单元或负责其它安全职能的管理员的管理”这一特定业务难题。我们常常会看到有法务人员、稽核人员等非技术型用户负责内容的保护工作,有时甚至人力资源(HR)部也常在DLP报警处理方面有所介入。一些企业发现其DLP策略本身或是高度敏感,或是需得到安全部门以外的业务部门领导的管理,同时这些策略还可以支持专用解决方案。由于DLP主要致力于明确的业务问题(保护我的内容),完全不同于其它的安全问题(保护我的PC或保护我的网络),因此您多半应寻找专用DLP解决方案。当然这并不意味着,作为功能的DLP不是适合您的解决方案,特别在较小型企业中更是如此;同时,它也并不意味着你将再也不会购买包含有DLP的套件,这里的重点是,只要DLP的管理是独立的且主要致力于DLP即可。随着大型厂商的涉足,我们将会看到越来越多的套件产品,在其它产品里进行DLP分析或执行功能还说得过去,但DLP的中央策略创建、管理和工作流程应专门用于解决DLP问题、要独立于其它安全职能之外。有关DLP需记住的最后一点是,我们要高度有效地反对糟糕的业务流程(例如,通过FTP方式传输未加密的医疗记录给您的保险公司)和错误。虽然DLP能够提供一些恶意行为的防护,但我们要想这些工具达到防护知识型攻击者的水平至少还有几年时间。了解和选择DLP解决方案6Securosis公司内容感知内容vs.上下文我们需将内容和上下文区分开来。内容感知(contentawareness)是DLP解决方案的定义性特征之一,这是DLP产品通过各种各样技术分析深层内容的能力,完全不同于上下文分析。若是将内容比作为“信”、上下文比作为“信封”及其周期环境,这样理解起来可能最为容易。上下文包括了源、目的地、大小、收件方、发送方、头信息、元数据、时间、格式以及除信本身内容以外的所有其它部分;上下文的用处很大,DLP解决方案应包含进上下文分析(contextualanalysis)来作为整体解决方案的一部分。更高级版的上下文分析是业务上下文分析(businesscontextanalysis),它涉及到更深层的内容分析、分析时环境以及当时内容的使用。内容感知包括了容器内的内容及内容本身的分析工作。内容感知的优势在于:当我们使用上下文时,我们不会被其所限制。如果我想要保护一份敏感数据,那么我是想让它在任何地方都受到保护,而不只是在明显敏感的容器内。由于我正在保护是的数据,而不是“信封”,因此打开信件、读信并决定如何处理要更有意义得多。比起基本的上下文分析,这实施起来要更为困难、需花更多时间,同时这也正是DLP解决方案的定义性特征所在。内容分析内容分析的第一步是拿到信封并找开它。第二步,分析引擎需从语法上分析上下文(我们会需要其来进行分析)并深入探究。对于纯文本邮件,做到这一点很容易,但当您想要查看的二进制文件内部时,这项工作将要更复杂些。所有DLP解决方案均是通过文件破解(filecracking)来解决这个问题。文件破解是用以读取和了解文件的一项技术,即便深埋在好几层以下的内容,通过它也能挖掘出来。例如:对于破解工具来说,读取一份压缩过的Word文件中Excel数据表是件再平常不过的事。此产品需做的是:解压文件、读取Word文档、分析Word文档、找到Excel数据、读取并分析这些数据。其它情况则要更复杂得多,如:内嵌于CAD文件的pdf文件。今天市场上许多这类产品可支持约300种文件类型、内嵌内容、多种语言、亚洲语言的双字节字符集,并且还可从无法识别文件类型中提取纯文本。有相当多的产品使用Autonomy或Verity内容引擎来帮助进行文件破解,但除了内嵌的内容引擎以外,所有这些主要的工具都有相当多的专属功能。如果企业采用恢复密钥进行加密,那么有些工具还提供加密数据分析支持,而且多数工具均可识别标准加密并将其作为上下文规则来拦截/隔离内容。内容分析技术一旦进行内容访问,就有7种主流分析技术可用于发现策略违规,均各有所长、各有所短。了解和选择DLP解决方案7Securosis公司1.基于规则的/正规表示法(Rule-Based/RegularExpressions):这是可在DLP产品和其它带有DLP功能的产品使用的最通用的分析技术。它针对特定规则来分析内容,如:可满足信用卡号、医疗账单编码以及其它文本分析的16位数。多数DLP解决方案拥有其自己额外的分析规则(如,接近信用卡号附近地址的名称)来增强基本的正规表达法。最适用于:作为第一重的过滤工具,或用于检测可轻易识别的结构化数据片,如:信用卡号、社会保障号码以及医疗编码/记录。^(?:(?Visa4\d{3})|(?Mastercard5[1-5]\d{2})|(?Discover6011)|(?DinersClub(?:3[68]\d{2})|(?:30[0-5]\d))|(?AmericanExpress3[47]\d{2}))([-]?)(?(DinersClub)(?:\d{6}\1\d{4})|(?(AmericanExpress)(?:\d{6}\1\d{5})|(?:\d{4}\1\d{4}\1\d{4})))$RegularExpressionforCreditCardNumbers优点:规则处理速度快,配置简单。多数产品出厂时都带有初始规则集。这项技术很好了解,也易于合并进各类产品中。缺点:常出现高误判率;为敏感知识产权等非结构化内容所提供保护极少。2.数据库指纹法(DatabaseFingerprinting):有时也称为确切数据匹配法(ExactDataMatching)。这项技术采用的是数据库转储文件或是来自数据库的实时数据(经由ODBC连接),仅寻找确切的匹配。例如:您可能生成一个策略仅用于在您的客户群中寻找信用卡号,这样一来您公司自己员工的上网购买情况就被完全忽略了。更为高级工具是寻找信息组合,如:名字或首名与姓氏、信用卡号或是社会保障号的神奇组合,这可能触发加州SB1386法案(资料隐私法案)泄露事件。请确保您了解每晚提取信息vs.实时数据库连接的性能和安全问题。最适用于:来自数据库的结构化数据。优点:误判率很低(接近于0)。允许您保护客户/敏感数据,同时忽视员工所使用的其它类似数据(如他们用于网上订购的个人信用卡信息)。缺点:每晚转储并不包含从最后一次提取以后的事务数据;实时连接可能影响数据库性能;大型数据库会影响到产品性能。3.确切文件匹配法(ExactFileMatching):采用这项技术,您可选取文件中一个散列,并对所有与确切指纹相匹配的文件进行监控。有些人认为这是一种上下文分析技术,因为它并未对文件内容本身进行分析。最适用于:媒体文件和其它基本不可能进行文本分析的二进制文件.优点:对所有文件类型都起作用,拥有足够大的散列值,误判率低(不会有任何误判)。缺点:微小的改动就可以绕过匹配。如果待检测的内容是经常修改的,则这项技术就没什么价值了,如:标准办公文档和已编辑的媒体文件。4.局部文档匹配法(PartialDocumentMatching):这项技术可在受保护内容上寻找全部或局部匹配。如此,您能创建策略来保护敏感文档,且DLP解决方案所匹配的或是文档的整个文本,或甚至是短至几个句子的摘录。例如:您可对一份