“人人喊打”的企業數據防護，如何破局？

今天小編分享的互聯網經驗：“人人喊打”的企業數據防護，如何破局？，歡迎閲讀。

本文來自微信公眾号：連續創業的 Janky（ID：janky-dsphere），作者：Janky，原文标題：《DLP 已經過時了嗎，該如何破局》，題圖來自：視覺中國

數據丢失防護（Data loss prevention， DLP）軟體可檢測潛在的數據泄露 / 非過濾數據傳輸，并通過在使用（端點操作）、移動（網絡流量）和靜止（數據存儲）時監控、檢測和阻止敏感數據來防止這些（泄露）。

——翻譯自 Wikipedia

寫這篇文章着實非常惶恐，整篇用詞與修飾也是經過反復琢磨和調整。因為 DLP 是個很大的產業，涉及幾乎印有數據安全标籤的所有安全廠商，企業數據安全建設的第一站往往也以安裝 DLP 為起點，企業員工怒罵公司行為的背後也往往有 DLP 的影子在，可見該話題的影響甚大。

同樣的話題讨論，發生在國外，已經是 5 年前了。2018 年 4 月 5 日，Gartner 高級 VP 級别分析師 Avivah Litan，發表了一篇博文，名為 "DLP is Dying"*，但是博文内容已經過修改，因為原始内容關于 DLP 正在消亡的言辭引起了安全廠商的極大不滿，開啓了激烈的網絡争論，作者迫于輿論壓力重新修改了文章，并關閉了自己 LinkedIn 留言功能。

作者本人從事企業數據安全相關工作的時間，不算太長也不算太短，説起來也有超過十年的時間了。自身開發過 DLP 的產品，也主導了阿裏巴巴原生 DLP 產品向 UEBA（user and entity behavior analytics，用户和實體行為分析技術）的轉型更新，見證了身邊不少新興 DLP 廠商的迅速消亡，聽慣了企業員工的罵聲和老板的質疑，也幫助不少企業完成了适合自身 DLP 產品與方案的選型和落地。就經驗上來講，或許能有一點點有價值的輸出，幫助安全同行們在規劃自身 DLP 產品的時候适量避坑，也讓企業們在選擇适合自身安全產品的時候多一點點參考，期望寫在這裏的一些經驗總結能起到這些作用。

一、DLP 產品分類

數據防泄漏的產品有很多種類型，雲桌面、沙箱、透明加解密也都是可選方案，DLP 區别于這些方案的特點，在于其本身是通過在不改變任何用户使用數據的習慣的前提下，自動檢測出數據泄露的行為。企業内的員工甚至都意識不到 DLP 安全產品的存在，也不需要跟該產品進行任何形式的互動。

舉些形象的例子，雲桌面（類似的叫法還有虛拟桌面、VDI、DaaS）和沙箱好比家裏的保險箱，值錢的東西都鎖在裏面出不來；透明加解密原理類似于在電影和電視劇裏，看到的故事情節：情報人員用米湯在紙上寫字，待米湯幹燥後送出。而收到情報的人員， 把這張 " 白紙 " 放入碘酒中泡一下，就可以讀到紙上的秘密信息；DLP 就是那個挂在牆上監控攝像頭，它能震懾小偷，但也不能幹擾小偷做壞事，默默記錄下作案過程事後追責。

DLP 產品本身，按照數據所處位置的不同，國外同行們又定義出了 4 個分支，終端 DLP、網絡 DLP、雲應用 DLP、存儲 DLP。很遺憾在國内的環境裏，真正能被應用的只有終端 DLP 和郵件 DLP，其根本原因在于國内應用生态的落後和封閉，之前的一篇文章有詳細分析過。

郵件 DLP 依附于企業自有的郵件伺服器，通常以郵件網關的形式存在，去過濾外發的郵件内容，應用場景非常直觀和單一，所能達到的防泄漏效果也比較狹窄，畢竟真正想偷盜企業數據的員工，還是會聰明到不用企業自身郵箱把數據給發出去。

因此，咱們這裏就重點講講最為復雜的，終端 DLP。

二、終端 DLP 及其困局

不避諱地講，DLP 是針對企業内部員工監守自盜的防範措施，不論是刻意為之還是無心之施。盜竊行為的案發地，就在辦公終端上，以前以辦公電腦為主，移動互聯網後新增了移動端設備。輔助作案的工具就最為復雜多樣了，常見的聊天工具（微信、QQ、釘釘）、第三方網盤、U 盤、藍牙傳輸、AirDrop、雲筆記、共享目錄……無法窮舉。所有這些作案工具被 DLP 產品統稱為外發渠道，需要定點進行覆蓋和監控。

DLP 并不是一個新的產品形态，其歷史可以追溯到國外 25 年之前，國内 20 年之前。對于大量企業來講，企業當前的數據被一張漁網包裹着，這些數據随時都能從漁網上的一個孔洞裏漏出去，DLP 產品所做的就是不停地嘗試在新的漏洞裏面安裝上攝像頭，記錄下來什麼時候有數據從哪個洞出去了。但現實是這張漁網無限大，且還在不斷自我膨脹，DLP 在一個洞口安裝了監控的同時又生出了 2 個新的洞。還有些洞，門框太高或者牆壁太滑，連攝像頭都裝不上去。

除了產品本身研發的困難之外，DLP 還面臨着很多其它挑戰。

1. Everybody   Hates DLP（人人喊打）

想想也真的覺得神奇，恐怕沒有其它任何一個產品能像 DLP 這樣，達到人人都 " 讨厭 " 的地步，即使是花錢采買的企業自己也是同樣的心理。

2. 渠道覆蓋不完，移動端束手無策

在移動互聯網之前，DLP 是極其有效的。那會企業員工都還在主要依靠 PC 台式機辦公，能帶離辦公室的筆記本都比較少見；企業辦公主要數據資產還是終端的檔案，不像現在有那麼多 Web 系統，各種在線文檔更是越來越普及，數據已經離開終端上雲了，脱離了非結構化形态，變成了結構化和半結構化。

那會企業有專門的局網域網，出了局網域網也無所謂工作了，沒有 996，沒有居家辦公，企業數據也局限在辦公室的局網域網内。

那會個人沒那麼多聊天工具，沒那麼多第三方服務，數據沒有好的去處，也無法自由地流動。

那會沒有那麼智能的手機，數據還在辦公電腦裏，而不像現在到處飛。

那會沒人關注個人隐私，員工不會質疑公司安裝的安全軟體；那會沒有《數據安全法》，沒有《個人隐私保護法》，安全軟體可以幹任何想幹的事情。

那會作業系統還沒有回收或者加強終端内核接口的管理，在終端采集數據不需要員工主動授權，不像現在作業系統動不動就彈窗提醒，吓得員工一激靈。

試想如果電腦裏突然彈個視窗顯示 " 某某安全軟體正在嘗試控制這台電腦…… " 的提示，那就有得熱鬧了。這些最終都會轉化為企業 IT 和安全團隊的運營成本。

3. 安全手段太容易被繞過

過往和當前的終端 DLP 技術路線，基本還是在享受信息不對稱的紅利。普通員工對 IT 技術原理不了解，忌憚企業宣傳的安全能力，不敢輕易嘗試破解辦法，只能想到給檔案打個壓縮包，改個後綴名這樣的辦法。

普通非安全專業的 IT 團隊，缺乏安全經驗，無法判斷 DLP 產品能給企業帶來的實際作用，而是參考同行和公開渠道的乙方宣傳，而認為應該采用 DLP 方式。

搜索引擎限制和内容缺乏，國内互聯網上給人支招去繞過 DLP 的内容很少，但是 Google 相關内容卻異常豐富。引用國外同行的總結：

I   HAVEN ’ T   SEEN   A   DATA   LOSS   PREVENTION   TOOL   MY   TEAM   CAN ’ T   BYPASS   IN   TWO   SECONDS.

我還沒有看到我的團隊在兩秒鍾内無法繞過的 DLP 工具。

—— A CISO AT A GLOBAL FINANCIAL SERVICES COMPANY

4. 誤報太高，導致運營成本過重

任何技術手段是有局限的，作為安全軟體技術來講，都會面臨兩個致命的問題，不光是 DLP 獨有的問題。

①數據歸屬判定：識别到敏感數據并不困難，困難的是無法區分該數據是歸屬企業的還是個人。比如員工在辦公電腦上接收和處理了一份自己汽車保險的合同，DLP 發現合同是很敏感的數據，但它沒法知道這是員工個人的數據。

②敏感操作判定：同樣識别到數據操作的敏感行為并不困難，困難的是無法判斷該行為是否違規。比如識别到員工外發了一個敏感檔案，内部含有大量财務數據。DLP 無法判斷這是銷售人員發送給客户的報價單，還是發送給競争對手的内部定價規則。

以上最為本質的兩個問題，無法通過程式自動化的解決，那麼就只能在終端不斷地上報日志。随着企業員工數量和終端的增加，這些日志數據呈幾何式的增長，少量的違規行為數據埋藏在海量的正常日志中，等着某天通過别的方式發現有人偷盜公司數據的事後，進行日志溯源反查。

三、終端 DLP 的破局之路

嚴格意義上講，人類的技術進步，從來沒有從 0 到 1 之説，或者最開始的那個 0 我們已經無法追溯。任何所謂新技術，新產品形态的誕生，都依仗無數過往技術的鋪墊。同時也意味着，幾乎沒有哪項技術會消失，所謂的過時只是換了一種形态和方式，去支撐下一代創新去了。碳原子從沒有消失，只是在不同生命體之間遊走。

未來 DLP 的重點，不再是去支持更多外發渠道，不是去吃力不讨好地延續國外檔案指紋的技術路線，個人的建議是走被應用集成的路線。

1. 被 UEBA 集成，而不是成為 UEBA

新型的 DLP   多打着   UEBA 的旗号，然而事實是其永遠也成不了一個 UEBA 的產品，無論在終端采集多少行為數據都是無用功，傳統的 DLP 采集的和能夠采集的數據已經夠多了。

事實上對于任何一個期望建立在數據模型上的應用來講，最為核心的不是采集單一維度數據的能力，甚至都不是數據處理的能力，而是你到底有沒有關鍵數據的能力。例如一個 DLP 采集了所有員工的對外聊天記錄信息，遠遠不如有一條員工和對方好友關系的數據來得重要，員工和聊天的對方是夫妻、同事、客户、友商還是别的關系。但這樣的數據，可不是一個第三方 DLP 產品能夠擁有的。

2.   以企業數據為中心，而不是以人的行為為中心

人的行為受制于不同上下文和在職場的角色，而千變萬化，無法預測，能夠标準化的并不多，頂多是針對快離職的員工進行定向的關照，如在離職期間大量拷貝企業組織架構和内部文檔的行為，八成是可疑的，但除此之外能标準化判斷的行為并不多。

與其盯着終端文檔，去記錄和串聯文檔的創建、修改、重命名、打壓縮包這樣的行為，不如去針對企業數據集中的應用進行特定應用的探針支持。方式上采用應用開放接口對接的方式，而抛棄終端 Hook 應用的模式。如針對釘釘、企業微信開放平台去打造企業内部安全應用，去收集應用行為數據給到 UEBA 引擎使用。

3.   從 Detection 的角色轉換為 Response

DLP   歷來被诟病最多的就在于其風險偏事後的特性，無法在風險發生當下進行阻斷，而只能作為事後溯源的手段。從技術實現上來講，能檢測就能阻斷，只不過之前因為無法準确判斷行為而不敢阻斷，倘若成為 UEBA 的一部分，那麼便可在數據模型的加持下，讓阻斷能力重見天日。 

4.   幫助企業去歸集所有維度數據，而不是基于終端行為建模型

同第一點一樣，安全風險的最終解法靠數據，現有 DLP 采集的終端維度數據遠遠不足夠用于建模，安全企業和產品應當幫助企業去收集内部能夠被用于建模的一切數據，綜合設計數據風險模型，DLP   就聚焦在采集和響應即可。

* 博文鏈接：https://blogs.gartner.com/avivah-litan/2018/04/05/insider-threat-detection-replaces-dying-dlp/

本文來自微信公眾号：連續創業的 Janky（ID：janky-dsphere），作者：Janky