資料外洩防護　逼使駭客內賊敗興而歸

隨著惡意攻擊不斷推陳出新，使得資料外洩風險節節攀高，導致企業必須持續研究、評估或採用新式防禦工具。ThreatTrack Security

不可諱言，資料外洩防護是一個長期奮戰的歷程，企業欲求100%保證機敏資料絕不外洩，著實不易，但起碼得借助必要的輔助工具，設下關鍵的過濾與稽核關卡，不讓有心人士輕易得手；因此企業不僅需評估導入DLP，亦應連同其餘配套工具一併納入考量。

正所謂「工欲善其事、必先利其器」，企業意欲防止資料外洩，單憑防毒軟體、VPN、防火牆、入侵偵測系統抑或垃圾郵件過濾系統等現有資安防護方案，顯然有所不足，必須在這些基礎防禦工事，對症下藥部署其他專屬產品，方可望築起強大保護傘。

何以既有防護措施，不足以全然防範資料外洩，大致理由有二，其一，對於駭客而言，潛入企業核心系統以盜取機密資料，目的絕不在於炫技、而是牟利，既然利之所趨，自然得想方設法增加成功機率，迴避一干現有防護系統的偵測，已屬必要之惡，令企業防不勝防。

其二，根據資安廠商統計，綜觀近幾年全球資料外洩事件，元兇為外部駭客者，其實佔比不到三成，另高達七成以上，係來自企業合法授權的內部使用者，可通稱為「內賊」，不管他們是無心疏失、或是早有預謀，傳統工具對此可說束手無策，即便是看似嚴密的資料加密方案，亦屬無解。

建立DLP防線　力阻機密資料外流

那麼，企業為了強化資料外洩防護，理當部署哪些產品？顧名思義，產品名稱即為資料外洩防護的DLP，顯然即是值得企業評估採用的重要標的之一；就基本的技術原理而論，DLP主要是透過格式比對、關鍵字過濾、特徵辨識等必要手段，詳加檢查檔案資料有否亟需受保護的機密，一經查證確實夾帶此類內容，則適時加以攔阻，避免機密外流。

雖然許多產品都可被歸類為DLP，但箇中仍有型態上的歧異。比方說，依據其部署位置的不同，即可區分為網路型(Network-based)、主機型(Host-based)等產品；前者係佈建於網路閘道口，主要是以過濾流量的方式來控管資料外洩，因此任何意圖以連網裝置夾帶出境的機密檔案，基本上都難逃法眼，至於主機型DLP，即是針對納管的個人電腦植入代理程式，可直接從終端攔阻機密資料外傳，且論及複製、貼圖或列印等資料擷取行為，亦可發揮較為深層的管控力道。

網路型或主機型DLP，各自有何優劣勢？就網路型DLP來看，好處在於其多為獨立的硬體裝置，一般都被架設於防火牆之後，無需針對大量端點佈建代理程式，因而相對易於部署，但仍有其缺點，僅能針對連結企業網路的裝置才能施以管控，無法阻擋員工以攜出筆記型電腦、或複製至隨身碟等方式偷渡資料出境，且所有資料皆需從端點傳送至網路執行過濾，不僅過程緩慢且易造成網路負擔，同時也不支援離線運作，無疑只能防得了君子，而防不了處心積慮的小人。

有關主機型DLP，由於需要在每一端點安裝代理程式，可以想見，必然徒增IT管理負擔，而且每逢端點設備汰換或OS重灌，IT管理者都需重新安裝與設定DLP軟體，且需要借助必要管控手段，防止員工私自移除代理程式，為缺點所在，但其好處亦至為明顯，網路型DLP鞭長莫及的移動裝置或離線狀態管控，對於主機型DLP都不成問題，控制的細膩度相對較佳。

持平而論，對於企業來說，最理想的DLP部署之道，即是綜合佈建上述兩類型產品，可先導入網路型DLP，待確認其過濾能力並無問題，再選擇特定部門，執行主機型DLP的小量測試部署，經確認不會與企業現行應用程式產生衝突，再進行大規模佈建；只不過，企業是否應該一併部署兩類DLP，仍端視其本身的預算能力，以及防護需求大小而定。

至於符合哪些特質的DLP，才適合企業加以導入？其實其間蘊含頗多考量點，有待企業依據自身防護需求及現有環境因素，才可望精挑細選，但萬變不離其宗，依然有幾項大原則，必須多加留意。首先務求DLP產品兼監控與防禦能力，且擁有較低的漏報率與誤報率，詳情如何，一切以實際測試見真章；其次，選擇的DLP產品需具備集中管理機制，便於IT管理者建立並落實安控政策，並迅速獲取相關記錄報告；再者，因應法規遵考量，企業往往需要留存特定資料達一定期限，值此時刻，如果DLP產品本身已具備儲存與備份功能，即有助於企業省卻額外儲存開銷。

更重要的，則是要求選擇的DLP產品，必須適應企業現有的網路或系統架構，不論網路型或主機型DLP，都務必符合此一特質。以網路型產品為例，在部署時無需更動現行網路架構者，理當列為首選，即便需要調整網路架構，也務必搭配Web管理機制，以期簡化管理難度，並將停機時間降至最低。

借助新式防禦工具　防堵資料外洩漏洞

企業僅需導入DLP，即可確保機密資料萬無一失？答案無疑是否定的，只因放眼市場，迄今仍無任何一項產品或技術，就可防止所有資料外洩，因此對於企業的最佳因應策略，實為部署「一組」防護措施，既然是一組，理當並無單押DLP之理。

欲求DLP發揮最大功效，企業必須先行界定機密資料的來源位置與種類，方能產生較為精準的特徵檔，俾使DLP提高過濾與辨識的精準度，因此需要借助個資盤點工具，通盤掌握個資機敏的流向。曾有業者形容，依單筆個資外洩的500~20,000元求償金額來看，個資機敏檔案之於企業的價值，就如同黃金或鑽石般重要，既然是黃金鑽石，即無任由四處散落之理，必須嚴加看管。因此，若說個資盤查是資料外洩防護的第一步，應不為過。

也許有人問，要想盤查個資機敏，可否透過人力來執行？一家擁有20台PC的小企業，其資訊主管認為，每台電腦檔案為數眾多，有些埋藏在深不見底的資料夾路徑，因此光是清查一台電腦，恐怕得耗時1~2個月，更何況20台？此一感言，實已道盡個資盤點工具的重要性。

除此之外，舉凡監控使用者存取資料庫行為的「資料庫安全稽核」產品，防止資料經由Web應用程式洩露的「網頁應用程式防火牆」(WAF)，避免高權限用戶或駭客肉雞竊取機密的「特權帳戶管理」系統，乃至於負責日誌管理、即時異常分析的「資安事件管理平台」(SIEM)，種種系統工具，亦有助於在機敏資料之前架起天羅地網，竭盡所能填補資訊外洩的破口。 上述防護系統，與諸如防毒軟體、防火牆或入侵偵測系統等傳統資安產品，本質上看似殊途同歸，然深究其運作原理，卻有著莫大不同。有業者形容，若將個資機敏比喻為乳酪，網路攻擊比喻為老鼠，則傳統資安就好比窮追老鼠的貓，如果老鼠速度夠快(意指新式進階攻擊)，任憑貓再如何疲於奔命，恐怕也無法扭轉乳酪遭竊的命運，然而類似像資料庫安全稽核或WAF等防護系統，則採取不同思維，猶如乳酪外圍的金鐘罩，不管老鼠想從網站應用程式、資料庫、檔案等不同管道逼近乳酪，最終都將無所遁形、鎩羽而歸。 當然，近年來「進階持續性威脅」(APT)躍為最令人聞風喪膽的惡意攻擊，只因其不著痕跡進逼企業核心系統，層層防禦拿它沒輒，故成為資料外洩的一大隱憂；因此即使上述工具悉數到位，都未必能幫助企業有效抗禦APT，值此時刻，企業另有必要針對新式的APT防禦工具多所評估，深入研究沙箱模擬、端點過濾掃描等相關技術之利弊得失，設法補強這道潛在破口。