機密資料的暴露對於企業而言,已成為最大的網路資訊安全威脅之一。IDC在對於木馬、病毒等外部惡意攻擊相關的資訊安全市場追蹤已行之有年,然而近年來,IDC發現企業面對的最大威脅卻是來自內部。
在電子商務 (Electronic Business) 從B2B的應用普及到B2C甚至C2C,加上業界以及政府部門大量將資料電子化的趨勢之下,以利益竊取為出發點的電子犯罪行為及案件,在全球各地不斷傳出,因此,不管是法規遵循的考量,或者是防止機密資料的外洩,以保護企業名譽與客戶個人私密資訊,資訊保護與管控 (IPC, Information Protection and Control) 將逐漸成為政府與企業資訊安全建置的優先項目之一。
IDC對IPC相關解決方案的定義為,保護政府與企業所擁有的客戶與員工的私人資料,以及本身的電子資產,包括智慧財產權、產品設計資料與契約單據等。IPC解決方案可細分為下列三種技術:
?Data-in-motion IPC: 包含監控、加密、阻擋任何透過電子郵件、即時訊息、點對點傳輸、檔案傳輸等流向外部的內容。
?Data-at-rest IPC: 包含管控及保護儲存在電腦/筆記型電腦、檔案伺服器、USB裝置等的資料。
?Data-in-use IPC: 包含保護及管控機密資料的正確性,諸如契約、合同及任何商業機密相關文件。
IDC在2007年一份針對美國市場378家中大型企業的資安調查報告指出,27%的受訪企業已採用相關Data-in-use產品,46%已採用相關 Data-at-rest產品,Data-in-motion相關產品的採用率,在受訪企業中更高達55%;此外,IDC預測上述三大類別解決方案,在 2006-2011年的將分別表現出33%、40%、15%的年複合成長率。
根據IDC在2006年以前的資訊安全市場調查發現,防火牆、入侵偵測與預防以及防毒軟體是企業解決資安威脅最大的依靠,但是從2007年開始,透過筆者在與資訊安全廠商及企業的訪談中發現,台灣企業對於資料遺失防護 (DLP, Data loss prevention) 與資料加密 (Encryption) 產生興趣(IDC是以IPC解決方案的觀點來包含DLP市場)。DLP的實踐方式包羅萬象,其中不乏牽涉到企業政策(organizational policy) 的配合;而相關的資料加密軟體產品,大多針對桌上型電腦/ 筆記型電腦/ 手持裝置等市場為主,另外電子郵件內容加密及資料庫加密相關產品,在市場上為數亦不少。這一切都顯示了企業的確顯露出管控資料的決心。
DLP實踐方式包羅萬象,提供相關產品與服務的廠商繁多,像趨勢、微軟、思科(Cisco)都提出類似方案。不過,廠商不見得會有獨立的DLP解決方案,可能會包含在例如web security, content security等方案中,另外又可分為software-base及 appliance-based,而思科則是結合防毒公司如趨勢,將防洩密機制放在網路交換器上。
何以造成市場需求的改變?IDC研究發現,在近來一連串國內外企業資料外洩事件的警訊之下,保護智慧財產權將是驅動企業推行並採用IPC相關解決方案的最大動力,其中包括產品專利、註冊商標、品牌形象、商業機密、商業設計樣板、著作權、演算法、程式原始碼、硬體架構、商業流程,以及其他以任何格式表現在外的企業資產。在資料電子化及網際網路大量運用的情況下,任何疏忽管理的電子郵件、即時通訊,甚至是USB裝置的不當使用,都可能造成企業機密外洩;此外,即使企業可以容許單一智慧財產權的洩漏,但是客戶資料的遺失,所造成的客戶信任喪失與企業名譽的破壞,卻是不容忽視的。
再者,國際貿易的盛行,效率為成功關鍵,企業廣泛使用可攜式裝置,諸如筆記型電腦、智慧型手機等,並成為連結回企業內部應用程式如ERP、 CRM等內部資料的通道,用以達成商業的時效性與便利性;然而,這些工具也可能淪為有心人士提供竊取資料的管道。以行動裝置相關的資安部署來說,有40% 的受訪企業已部署DLP相關產品與解決方案,其中大型企業的建置率高達49%,這個現象與國內金融產業與高科技產業的部署率較高的趨勢不謀而合。
IDC認為,IPC相關解決方案將是未來五年當中,企業主要的IT投資之一,完善保護敏感資料將是IPC解決方案的基本要求。以加州 SB1386法案為例,當企業發現客戶資料外洩時,必須公開受害狀況,並主動通知客戶,目前國內的個人資料保護法修正草案中,也納入相關的精神與做法;在法規遵循對於企業的要求愈來愈嚴謹的趨勢下,企業必須從被動式的反應,在合理採購與管理成本的前提之下,轉變成為主動式的採用IPC概念,此外,合理的規範員工使用 IT的行為,杜絕任何有害及不符法規的的動作,將是企業對抗內部威脅的最大武器。
企業安全投資新重點:防資訊內賊
