Data Leak Prevention ( DLP數據外洩防護)這個詞本身就傳達了有關此類系統的明確目標,最主要在解決的特定任務:阻止有價值資訊的洩漏。雖然這解釋了這種系統傳統上的一般要務,但隨著時間的推移,這個概念已經包含了額外新的任務含義。下一代 DLP 解決方案不僅可以防止有意和意外洩漏,還可以幫助企業應對其他資安領域上的需求。
適應新的變化需求產生的挑戰? 而這些挑戰又有哪方面新技術可以幫上忙?
廣義上來說,有三種不同類型的現代 DLP 系統:
- 成熟的 DLP,為組織提供完整選項來監控和阻止未經授權的數據傳輸和行為分析。
- 具有部分 DLP 功能的系統,可以追蹤數據移動,但不能阻止洩漏。
- 屬於其他類別,但附加內建 DLP 模組的安全解決方案。
不同類型的工具可以處理不同的任務,為了更好的理解這種層次結構,讓我們回顧一下 DLP 系統發展過程中的主要演進。
DLP 沿革史
第一階段發展主要因應日益嚴格的數據保護法規要求。監管機關為防止各行各業包含客戶資訊、財務資訊的業務數據被洩露;針對不同業別,訂定不同的法律規範或標準,以保護各種形式的數據。為了合規就使得組織對防範數據外洩具備十足的動機,於是供應商給出了方案,DLP 系統。
第二階段的發展,歸結為了保護商業秘密,在此之前專利並不那麼被重視。後來公司的高管意識到,他們還需要保護自己的專有商業資訊;而在這十年內,傳輸與通訊的速度與量能大增。這導致 DLP 供應商將解決方案,重新發展調整處理更複雜的資訊類型,並以最大限度盡量控管數據傳輸管道。
下一個階段DLP 則是朝向處理內部威脅。除了防止數據洩漏外,這樣的系統還可以深入分析數據,並識別各種相對微弱的安全事件。此類 DLP 的功能部分產生的事件,可以補強其他類型安全系統。例如事件調查平臺SIEM,甚至安全運營中心 (SOC) 解決方案。
作為資訊安全解決方案,而屬於預防的特性,DLP 不會立即看到正面收益,組織可能會質疑這些系統的成本效益和實用性。沒有外洩事件發生,可能連該系統的效度都會被質疑。
DLP 確實有其限制
傳統的資訊安全旨在主要關注外部威脅,如駭客或未經授權的用戶訪問,這已經不夠了。SIEM、SOAR 和其他解決方案是被動的,不會採取任何預防措施 (Preventive Control) 來阻止數據流失。它們專注於分析攻擊者的行為,而不是數據本身。重新改造為檢測外部的威脅而創建的工具,不足以偵測來自內部且更難發覺的威脅類型。
現在90%以上的通訊流量以加密的形式傳輸,使得DLP無法解析其通訊內容,也會導致辨識與預防失效。缺乏所需的主動數據安全和原始數據標記等級。即便使用這些工具,也需要更長的時間空窗才能檢測到。如果能運用部分AI技術, 在資料分析、資訊分類,前後文意理解、圖形識別這幾個方面用其所長,或許正好可以補強傳統DLP不足,
分析需要完整的記錄
然而前代DLP 僅記錄違反安全政策的事件,而沒有進一步回應。相較之下,現代這類系統保留了大量的使用者活動與事件記錄,安全團隊可以看到有關組織安全狀態的大局。這使得稽核或安全調查,可以檢索任何員工及其檔案活動記錄,來徹底調查內部安全事件。次代DLP發展更詳盡的使用者活動、裝置連接、網站瀏覽等記錄, 利用AI分析預測事件發展,
降低誤報
數據的探索與分類向來是DLP最大資料處理工程,大多數 DLP 技術最基本都使用正規表達式RegEx。某種程度上,表示式本身就是種數據安全”規則”的前身。例如,如果 HR 用RegEx向新員工發送電子郵件,並在內容中附加關鍵字詞,例如包含新員工的護照號碼或電話號碼在內的勞動契約。
因應不同場景供應商發展了各種辨識技術,如Indexed Document Matching (IDM) 、統計分析方式偵測非結構化數據等,DLP可以快速掃描電子郵件中的單詞和短語,但無法理解語法、文法及其附件中的敏感文件內容。如果沒有獨特的上下文理解,DLP可能會錯誤認定某些形式數字組成是護照號碼,稱為False positive data identification。AI-driven內容分析可以超越簡單的關鍵字匹配,並根據上下文識別敏感資訊。自然語言處理 (NLP) 和機器學習能夠識別敏感數據,即使它沒有明確說明或以不同的格式出現。利用AI辨識內文、分類、分析等能力降低誤判率。
行為模式分析識別,偵測內部威脅偵測
AI 可以識別與數據洩露事件相關的模式。例如,它可以識別數據存取模式,來源、目的、通訊協定,大小、時間等,這些模式可能表代表員工試圖洩露敏感資訊,或者電子郵件通信中的模式代表未經授權分享機密數據。透過分析使用者行為、監視存取模式和標記偏離正常行為的活動,來幫助識別內部威脅。這包括檢測異常的數據存取模式、意外的檔案傳輸或嘗試繞過安全控制。
實時監控,自動化事件回應
AI-driven 的系統可以提供對數據活動的時時監控,並在檢測到可疑活動時發出警報。這使組織可能即時回應潛在的數據洩露事件。在檢測到數據洩露事件時,AI 可以自動執行事件回應流程。這包括立即採取措施來控制事件,隔離防止災害擴大、撤銷存取權限和啟動追蹤調查。
自適應策略
AI 可以使 DLP 系統能夠依據不斷變化的威脅,和不斷變化的數據使用模式動態調整策略。這種靈活彈性對於應對新出現的風險,和確保 DLP 系統隨著時間的推移能夠維持有效。
透過這些方式 AI應用,可以使得DLP 系統變得更加智慧、適應性強,並能夠應對不斷變化的數據安全威脅。然而AI-Driven DLP應該與其他網路安全措施相輔相成,注意盲點的補漏以及無法解釋的判斷結果,以制定全面的數據保護策略。