全面,甚至是全员的持续监控,是数据防泄密的一个非常有效的手段。当发生数据泄密时,终端用户自身是一定有感知的,我们要做的是,如何让这些终端相互通讯,体察和汇聚各种各样的问题。
通常情况下,很多企业网络都存在着不少的漏洞,存在着数据泄密的可能性。我们先看一个真实的案例。一个黑客在大范围扫描网络的过程中,非常偶然的发现了一家比较知名的制造企业的信息,他的服务器和邮件服务器居然在同一台机器上。当然,这家公司的邮件使用并不是特别频繁,所以黑客并没有办法直接取得大量的敏感信息。黑客就悄悄潜伏下来,每天阅读邮件,终于有一天黑客发现在邮件里有这家企业的通讯录,有很多人员的邮件、电话、信息,于是黑客就搞清楚了哪些人是研发人员,也搞清楚了研发人员最近在做什么样的项目。于是黑客伪造了一个邮件,告诉几个特定的研发人员,说公司内部有一个工具需要升级,要求他们运行附件的文件进行升级,其实附件是一个木马程序。研发人员就按照黑客的说法去做了,最终机密就泄露了。万幸的是,最终这件事在私下解决了,造成的影响不是太大,不过这家企业得到了很深刻的教训。
现在,我们面对着很多新的环境,比如移动互联网、社交网络、云计算、IPv6等等,而且黑客已经把很多攻击进行彼此的关联。在新环境下,我们可以看到两个关键词,一个是潜伏,黑客已经不会满足于攻进来以后搞一个破坏,而是潜伏下来,等待着最好的时机来获取最多的数据。另一方面是定向爆破,黑客经过长期的分析,分析出究竟哪些数据是他最关注的,然后通过定向爆破的方式,只针对这一群用户来下手,这种方式对整个网络、对绝大多数人几乎是没有影响的,所以他被发现的机率最低。这是现在数据泄密方面的一些新的态势。
既然存在着数据泄密的可能性,企业想要进行数据防泄密,应该怎么办?首先,企业需要搞清楚要保护的信息是什么。金融企业、运营商需要保护的可能是用户的信息,制造业需要保护的可能是各种各样的二维、三维的设计图纸。其次,从两个方面来考虑数据的使用者,一方面,敏感数据、敏感信息有合法的人员在使用、加工处理,再通过正常合法合规的流程流向下一个环节;另一方面,有些不合规的人有意图,甚至有能力接触这些数据。第三,是环境。环境就是这些人接触数据的时候所使用的网络、设备等等相关的东西。
对于数据防泄密,很多安全管理员都觉得相当困扰,为什么呢?因为数据就是在这么复杂的网络里面,我们怎么样才能知道哪个地方发生了泄露呢?同时,还有很多做信息安全的人陷入了误区,就是建立了很多马其诺防线,以为这些防线就能实现百分之百的安全,但是有时候攻击者根本不从这个方向来,他们不走寻常路。
这个时候我们该怎么办呢?第一个观点,是需要全面,甚至是全员的持续监控,这是数据防泄密的一个非常有效、非常有价值的手段。这个可能跟很多人的理念相违背,因为不容易做到。很多人都表示部署设备很简单,但是如果要做全程监控,这个难度就非常大。其实,当发生数据泄密行为的时候,终端用户自身是一定有感知的,现在我们要做的是,如何让这些终端用户之间相互通讯,终端和终端之间相互通讯,体察和汇聚终端之间各种各样的问题,这个是最核心的,同时这也是不可或缺的。
在进行全员全面的监控时,最大的阻力就是怎样淡化用户被窥探的感受。企业文化注重信任和自由,企业想要做的就是防黑客、防木马以及笔记本丢失,而不是窥探员工的隐私。我们可以把保护的数据放在一个工作目录底下,简单来说就是企业设定一个特殊的目录,用户只要把文件丢到这个目录里,文件的安全就由企业帮你保障,企业保护的是工作目录。不在目录里的文件,企业不会对它做窥探或者加密。假如你在非常短的时间内,同时打开了30个文档,这不是正常员工的常规行为,就会有一个提醒,比如弹出一个对话框,内容是:你读取文件的频率很高,这个事情是不是你做的,如果不是,可以向管理中心来举报。这样的话用户的接受度就高多了。
第二个观点,数据防泄密要做可视化运营。网络中有大量的监控数据,用户从中可以非常清晰地看到变化,然后通过这个变化来找到异常。这些数据需要有人长期的去解读,同时形成适合自己企业的策略。(吴鲁加)