回到“网络”进入CISO日常词汇之前的时代,即便过了20年,数据防泄漏(DLP)还在适应新的企业深度防御战略,保护传统网络边界之外的业务数据出站流。DLP不断扩充,囊括了一系列3个字母缩写的技术,比如信息防泄漏(ILP)、内容监视与过滤(CMF)、防外泄系统(EPS)等等。
用于保护企业的所有常见技术中,DLP的发展或许最能体现信息安全应用实践和系统管理团队角色的变迁。
传统上,DLP部署由IT部门主导和定义,最近则逐渐由安全运营团队接手。长期以来,数据检测和策略实施都发生在企业边界附近。这种环境中,IT和安全人员的职能类似内卫警察——遵从严格的策略,执行规章制度,逐案处理违法者。DLP部署和实施一直都很棘手,大多数CISO都体会过DLP的美好愿景与后续无数失败的惨烈对比。最常见的就是管理全新部署的网络DLP解决方案那通常令人尴尬或畏缩不前的现实。
愿景高大上,但目标其实很简单——防止用户在互联网上不安全地发送电子邮件、发帖或以其他方式共享客户的信用卡信息。部署,就是理论与现实相背离的地方。
第一天:DLP阈值设为被发送的“任意”信用卡信息,造成5万个警报,DLP解决方案陷入停顿,业务也是如此。
第二天:DLP阈值设为包含10+信用卡信息的电子邮件和文件,造成5,000个警报,收到“业务不能这么搞”的投诉无数。
第三天:DLP阈值设为包含1,000+信用卡信息的电子邮件和文件,结果就是更为可控但仍不理想的“几十起”事件。
此后,经年累月,阈值不断下降,逐渐接近该公司在渴望部署解决方案时所设想的体验。
这一往往反复发生的体验凸显出安全运营改进严重滞后于业务需求的现实,也彰显了安全人员传统上所处的尴尬位置——缺乏有效的集中管理和执行给业务生产力造成了阻碍,进一步激化了IT人员和业务部门同事之间的对立关系。
幸好,达成DLP目标的新方法逐渐进入企业。边界实现固然仍是其中重要米素,却已逐渐让位于基于主机的实现。
如今我们可以看到防泄漏正将自身嵌入数据和文档创建过程本身。用户将得到有关当前创建文档的重要性或机密性级别的实时反馈,以及创建操作上的建议——能使用户在确定合适的敏感性和所需防护级别上发挥积极作用。用户行为分析和人工智能也在背后帮助防止错误分类或故意的不安全数据处理。同时,数据标识和管理策略来自业务部门本身而非IT部门(往往使用人工智能学习和改进的分类过程)。
在此过程中,防泄漏也从网关安全功能转变为内置的文档功能——且伴随着标准化。
安全和隐私如今是数据和文档本身固有的。一系列新的远程管理和策略实施功能已经消除了企业“边界网络”的概念。比如说,流行商业文档格式逐渐支持远程监视功能 (如:打开自、编辑自、打开位置及时间等),提供随时随地撤销部分或全部访问权的选项,并可更改文档内数据的安全保护 (如:复制/粘贴、打印、投影等)——无论文档是在企业内部、云端还是存放在收件人的未读邮箱中。
一系列支持信息保护和防泄漏的开放平台正延伸到其他文档类型、创建器和浏览器,以便重用和构建。这使终端用户能够更清楚地了解标签、分类、保护和执行机制,使DLP更易于在用户用以查看、共享或创建内容的桌面和移动产品中应用。
从硬边界DLP实施到持续可见性和创建级控制范式的转变,强调了CISO需指导其团队实现的根本变化。这种方式还使安全人员得以摆脱监管和策略实施中来自业务人员的对抗情绪,成为安全业务实践的推动者,同时业务部门还能保留其数据和策略的所有权。
安全运营变得更像是快递公司在管理车队,而不是交警在处罚每一个违规行为。这工作如今注重确保每个业务包以尽可能安全的方式按时到达目的地;在预算允许的情况下尽可能高效和经济地到达目的地,同时业务部门还能定义包的内容和目的地。