Websense分析總結:數據安全之二三事

數據安全似乎已經成了2011年信息安全的主要命題之一。作為全球領先的內容安全廠商，Websense在其2010年安全威脅報告就已經指出：「2010年發生的主要攻擊都有共同的目標：竊取數據」，其中還包括轟動一時的「極光（Aurora）和超級工廠病毒（Stuxnet)等。

而1月份爆發的「雷諾間諜案」則又為企業需警惕員工洩露內部核心數據敲響了一記警鐘。據法國方面的新聞報導稱，雷諾兩名高管涉嫌盜竊和倒賣關乎雷諾未來發展的電動車資料。同時還有知情人爆出，雷諾與其合作夥伴為電動汽車項目投入了40億歐元，此事將可能危及雷諾汽車未來的發展和數千人的就業。而同時，法國政府還是雷諾汽車15%股份的持有者，這一事實讓此次洩漏事件的最終損失變得愈加難以估計。在此，我們且不論此次洩露事件爆出的背後是否有著更多的商業競爭和政治因素，但其直指了一旦企業的核心數據洩漏將為企業帶來危險的後果。

眾所周知，數據洩露一般經由三中途徑造成，一是內部員工惡意竊取數據，二是內部員工無意間將數據外洩，三是外部威脅（如有組織的黑客犯罪集團及惡意軟體等）。但在今天，無論是網絡犯罪者，或者企業員工都清楚地意識到企業中的某些數據就是一種有形的價值資產，獲取企業的敏感數據就等同於獲得了現金。在這種直接利益引發的誘惑，我們不難預測在2011年甚至更遠的將來，數據洩漏問題只會越演越烈。

如果威脅已經無法避免，那麼企業應如何面對各種途徑造成數據洩露問題呢？隨著企業逐漸對數據安全重視，市場中各種類型的數據安全產品和解決方案也在各自為營，企業安全相關工作人員需要準確判斷自身數據安全需求，並正確認識數據安全解決方案的特點，才能為企業做出最佳的數據安全產品選擇，和最符合成本利益投資。對於數據安全我們需要了解：

安全是相對的，安全風險永遠不可能等於0

用戶有時候對數據安全的應用希望能夠追求盡善盡美，傾向於把所以認知到的數據安全問題項都羅列出來，並希望這些數據安全問題能全部解決。但安全和威脅一直都是博弈存在的，此長彼消。作為安全廠商和企業我們共同的目標是要做到讓數據安風險趨於0，而不是過於追求大而全的單款方案。在選擇數據安全產品時，企業進行更多理性判斷，諸如，什麼情況下適合用怎樣數據安全技術來對此類問題進行控制，而什麼情況下我們需要藉助數據安全工具將企業數據洩漏風險到最低，當然這個最低是業企業所能接受的，這樣企業才能正確衡量投入多少資本進行安全防護是合理的，從而收到高的安全投資回報。

數據安全問題其實也是一種風險管理的問題，我們應該先解決最為嚴重的數據洩露風險，對於無法迴避的數據洩露風險應該採用規章制度或者其他轉嫁方法來解決。

數據安全不單單為一個部門，而是為企業運營解決問題

為企業解決數據安全問題，最理想的做法是從企業業務風險大小出發，告之企業一旦數據洩露對其業務影響有多大，這種影響絕不是只對其 IT層面。如果企業的圖紙和原始碼等核心數據洩露，整體企業都必須為其承擔風險，而風險程度對於每個企業是各不相同的。例如某廠商的一款晶片的相關核心技術提前洩漏，由於一款晶片的生命周期是18個月，那麼洩漏一款晶片對企業就不僅僅是半年到一年的影響，而意味著未來18個月企業都很難翻身。這對企業來說不是簡單的幾十萬的損失，而是幾百萬甚至更多的無法預估的損失。所以要把數據洩露放在企業運營層面看待，它不僅僅保護企業內部的一些流程，不是對企業IT架構有多重要，而是對企業有多重要。數據安全不單單為一個部門，而是為企業運營解決問題。

數據洩漏防護（DLP）解決方案遠遠大於訪問控制或加解密

數據洩漏防護（DLP）解決方案是目前最為成熟和國外最主流的數據安全保護方案，它可以有效識別各種機密數據的內容，從而應對各種數據變形後的洩密事件。但目前國內推出的DLP解決方案大部分依託於訪問控制，加解密的保護。但在國外比較成熟的DLP產品會更多關注數據的內容到底是什麼，它會用更多的技術去分析企業正在洩露的數據是工資單、圖紙還是原始碼。而不是不管是源文件還是代碼，統統在策略中定製的只要是機密，就加密。

加密和DLP其實是兩個概念。一款成熟的DLP產品需要做到能夠真正識別企業機密數據的內容，正確的認識企業的業務流程（誰可以把何種企業數據發送到哪裡？）以梳理出合理的業務流程保證敏感數據正確的流動，此外，還需針對主要的HTTP/s、 SMTP和USB等不同的業務渠道進行保護，並可以施以統一的策略管理和部署。

單純通過加密和訪問限制來對數據安全防護是非常局限的。進行加密之後文件從技術上講內容被改變了，數據可能受到影響。此外，加密也可能會成為一種偽裝，因為加密決策是由人來制定的。所以如果企業沒有審計制度，就無法保證決策外的機密文件及其裡面的內容是否沒有被洩漏的。而這時，企業就會需要另尋專業的DLP技術來審計分析，外傳文件中是否含有原始碼等重要內容，因為審計部門靠人工是很難發現文件中是否有組合原始碼的。並且，大範圍內的加解密也會影響業務效率，尤其是對於上GB的文件來說。但一款專業的DLP方案能判斷出真正是機密的內容，從而阻止外傳，降低安全效率的損耗，縮小範圍，提升效率。

但是，通常DLP解決方案無法解決數據已經洩漏到公司外部的情況，因此，企業可以採用加密、數字水印等技術來進行補充保護。

Web是當今數據洩露的主要通道

在Websense安全實驗室針對2010年威脅的研究報告中就指出：52% 的數據洩露攻擊通過Web實現。因為各種現代混合攻擊都是通過將電子郵件威脅與Web攻擊組合來破解企業安全防護組建的軟肋。而另一方通過分析各種案例，我們不難發現由於員工的無意識或者疏忽造成的數據洩露事件最為頻繁。企業內部員工可能因為無心之過，例如，在網際網路上通過 Web 郵件網站將數據發送到自己的郵箱（如 gmail 和 hotmail），或是通過在線應用程式甚至Web2.0社交網絡發帖等行為，無意識將機密數據送到圖謀不軌的人的手裡。面向未來的數據安全解決方案需要能與保護Web的Web安全網關相集成，做到一方面可幫助企業將將業務擴展到各Web 2.0網站，同時還能保護和防止惡意威脅並防範任何故意或意外導致數據及機密信息洩露。

總體來講，無論是靜態、動態或使用中的數據，其價值都不容忽視。而一次數據洩露所帶來的損失可能比數據本身價值大得多。除了制定嚴格的數據保護法規和政策外，越來越多的政府開始著手實行對數據洩露方處以罰款的措施。 所以，從2011年企業起，企業應該更加強調和重視數據安全的應用。

未經允許不得轉載：DOIT » Websense分析總結：數據安全之二三事