多年来, DLP 一直被视为防范企业数据丢失的最重要的防线, 其核心能力就是内容识别, 通过识别扩展到对数据的防控, 最终形成具备发现, 加密, 管控, 审计功能的一整套数据泄露防护方案.
不断出台的政府和行业规范, 以及企业对保护产品计划, 财务记录和知识产权等重要企业数据的日益重视, 使得 DLP 市场发展迅速. 多年来, DLP 一直被视为防范企业数据丢失的最重要的防线, 其核心能力就是内容识别, 通过识别扩展到对数据的防控, 最终形成具备发现, 加密, 管控, 审计功能的一整套数据泄露防护方案.
但是, 传统 DLP 解决方案自身也存在一些挑战, 例如解决方案的稳定性, 冗长的构建时间, 耗时的数据分类过程和高昂维护成本, 以及数据所有者和 DLP 管理员之间的交流不畅. 安全团队正意识到 DLP 不足以保障企业的关键数据安全.
基于签名 / 规则的问题
DLP 似乎正在追随另一种无处不在但现在已经过时的技术: 反病毒技术的脚步. 这两种技术之间的相似之处可能一开始并不明显, 但只要仔细分析就会发现, 很显然, DLP 可能会遭受与传统反病毒技术相同的命运.
自 1987 年以来, 反病毒技术就是用签名来标记数据, 通过不断扫描系统以获取这些签名, 然后尝试隔离已知的错误文件. 理论上, 这种方法听起来很棒, 但是到了 21 世纪, 恶意软件开始以超乎任何人想象的速度进行传播和演变, 随着恶意软件的加速崛起, 黑客们开始意识到这些工具是如何运作的, 然后他们就能够定制特定的方法来规避现有工具集的检测.
同样地, DLP 工具也需要对敏感文件进行数据分类和标记, 通过内容扫描和识别技术来支持文件的移动, 并试图阻止这些文件进入它们不应该去的地方. 自 2000 年以来, 企业组织开始广泛部署此类工具, 以满足合规性要求, 监控敏感文件移动, 以及防止特定文件进入特定安全出口点以外的地方.
但是, 一些主要因素严重削弱了数据丢失预防解决方案的有效性. 其中最主要的挑战是组织内非结构化和半结构化数据的指数级增长. 为了实现有效性, DLP 工具必须跟上敏感数据不断创建和修改的步伐. 这给数据所有者和那些管理 DLP 技术的人留下了沉重的负担. 一个几乎不可避免的现实是, 组织内部的沟通渠道远远跟不上数据的增长速度.
DLP 和人员问题
DLP 最具挑战性的元素之一不在于软件 -- 而在于人. 毫无疑问, 在实施有效的安全控制方面, 人员是最大的挑战. 并非所有的用户都存在恶意的意图; 他们可能只是想找到一种方法来绕过现有的控制措施, 让他们的生活更为轻松便捷. 人是最不可预测的因素, 而且确保组织能够掌握每一个人可能采取的行动即便不是不可能, 也是非常难实现的目标.
如果是由恶意内部人员在组织内部实施恶意操作, 且最终导致数据丢失的话, DLP 解决方案通常很难阻止. 因为 DLP 对于技术用户而言通常是微不足道的存在. 这就意味着, 如果组织内部的某个人真的想要泄露数据, 他们总能够找到一种方法来实现这一点.
此外, DLP 方案也并不完整, 因为它们不提供一体化的检测, 遏制以及数据泄露和内部威胁的缓解方案. 虽然它们可能会发现一些企图泄露数据的实例, 但它们并不旨在帮助安全团队进行有效的调查或响应, 而且它们也没有内置的积极主动的用户教育项目来减少由员工造成的意外误用行为.
告别传统 DLP
数据丢失问题的严峻性以及组织对于合规性需求的日益高涨, 推动了传统的 DLP 工具的日益流行. 但是, 在防止数据丢失方面, DLP 通常显得后劲不足 -- 尤其是在提供用户操作的可见性, 以便立即检测事件并快速对其进行调查时.
组织不应该依赖传统的专注于数据的 DLP 工具, 而应该实施一个全面的 "以人为本" 的技术战略. 组织应该转变技术方案, 使安全组织能够全面了解用户操作, 并提出警告措施, 使预警系统能够缩短检测时间. 此外, 这一技术方案还应该配合强大的流程一起使用, 以快速地修复涉及数据丢失的事件, 以及符合业务目标的灵活的预防控制措施, 来确保全方位可见性和安全性.
如今, 组织比以往任何时候都需要对解决方案进行投资, 以便全面了解用户正在做什么, 并根据用户行为配置灵活的预防策略. 而基于机器学习, 内容感知技术的智能 DLP, 可以做到智能发现, 智能加密, 智能管控和智能审计功能的一整套数据泄露防护方案才是未来. 凭借智能 DLP 技术的可视性, 组织能够快速识别风险行为, 简化调查流程并最终实现防止数据丢失的目的.
来源: http://netsecurity.51cto.com/art/201804/569895.htm