資料遺失防護(Data Leakage Prevention, DLP)這兩年似乎成為資安的熱門產品。滿街資安新聞的個資外洩、交易資料外洩、機敏資料外洩...似乎 DLP 產品成了救世主,想當年入侵偵測系統 (IDS) 也曾經大喊我是救世主的哩!
坦白說,DLP 產品並不是太新的產品,以前就有類似的產品,只是這兩年比較有共識的名稱:資料遺失防護 (DLP)。
這類產品,在我看來有幾個矛盾:
1.防人為嗎?不小心把重要文件帶出,導致資料外洩嗎?應該是沒把資安當一回事吧!如果沒資安觀念,再多的資安技術都是白費。
2.防內賊嗎?如果真的要偷,真的偷不走嗎?大家應該看過電影吧!相機、攝影機不就是 DLP 的天敵哩,也許你會說相機、攝影機禁用!問題是真的管得住嗎?內賊耶!最終它很可能化身成為一張 SD 卡哩。除了相機、攝影機...還有一個印表機哩...XD
3.防外賊嗎?會不會安裝 DLP 軟體反而出現漏洞呢?或者資料不是以數位文件方式存在,而是在資料庫中,DLP 有救嗎?外賊才不會用「標準」的方式存取資料哩。
4.為何自2000年到2008年作了這多資安防護技術的管理與投資後,卻還要去買 DLP 產品呢?這問題你得深思。
那真的沒有用嗎?我想說的是「單一的資安技術不是萬能的」,之前提的一篇文「就單一資安科技而言,無法達成"絕對"的資訊安全」,資安的防禦佈署是需要全面思考的,而不是只有評估單一產品。但一般企業或單位卻都只有評估單一產品,評估卻選最好的而非選最適合自己的,甚至,還不是自己去做評估的。當然啦,這涉及採購及評估流程,如果這第一步踏出去都有問題,資安佈署與架構就不用談,更何況後續維運管理了。
以資安設備而言,防火牆、入侵偵測防護、防毒軟體、還是內容管理...等,一堆的資安設備不就是要維護資訊的 CIA 嗎?還有 ISMS 資訊管理制度哩?你覺得這些都過去了嗎?不足以面對現今威脅嗎?還是你喜新厭舊嗎?資安可不是這樣搞得哩!每樣資安產品或服務都有它一定的效果,只是有大有小,跟價格也非成正比,重要的是會依據不同的 IT 環境佈署,有完全不同的效果;你不關心既有的防護,卻一直寄望新的資安產品解決問題,這是非常弔詭的,你得深思這問題。
題外話:我認為資安最大的挑戰:
1.滿街教人入侵的技術
就像是滿街黑槍一樣,有人隨手一抓就開槍了,這樣治安當然會不好。但壞人少不等於沒有人會做壞事。這個原因並不是最大挑戰,但很多人認為它是。
2.缺乏防禦資安的觀念交流
每年到處都有駭客年會,交流各種黑技術。但防禦呢?閉門造車嗎?也沒有交流平台的,這樣做防禦都是在土法煉鋼的,效果不彰的;或許只能靠自已人脈,多認識一些圈子內的。
3.做資安都在等出事嗎
有人說資安問題像企業其他行政、支援問題,可以等壞了在修,所以資安歸類在行政、後勤部門,晚一步做也沒關係。也有人資安比較像是財務、營運、市場部門,必須做些預警與風險控管的事,要早一步做的。兩種說法都可以,全看對 IT 的定位,其實也沒人說網站不能被入侵唄。你得列出你的底線,加以防範或偵測,還要計畫當出問題時要如何因應,問題是,怎定位、誰定位...
4.當 IT 環境成長後,不了解自我環境或環境障礙
整個 IT 環境複雜加上陳年歷史,已經無法掌握甚至是完全失控,這樣的環境是不可能有作為的。還有很多也是管理面的問題,上面想做下面卻不配合,或下面想做上面卻不支持,這樣的環境會很容易讓人失去做資安的重要本質,如熱誠、主動、盡責、積極...等。我認為這點才是最大挑戰,畢竟最大的敵人是自己的,要戰勝自己得先了解自己。
資料遺失防護(Data Leakage Prevention, DLP)
