01 数据防泄漏的定义

数据防泄漏(Data leakage prevention,DLP)是指通过一定的技术和管理,防止组织内敏感数据或信息资产,违反安全约束而丧失组织控制、破坏数据机密性的策略和措施。数据防泄露技术是防止数据泄露的技术措施和方法,是保护数据机密性、完整性、可用性的重要技术。数据防泄露技术主要涉及数据存储、数据流转、数据传输等环节的数据安全保护。

随着数字经济的发展,数据已成为重要生产要素之一,数据安全直接关乎国家安全与社会经济发展,数据资产安全保护和数据防泄漏技术产品应用和产业化发展备受社会普遍关注。

02 数据泄露事件不断,DLP技术再次“翻红”

DLP并不是最新的技术。十多年前,关于数据安全的主流技术有两种类,一种是数据加密,另一种就是数据防泄露(DLP),但是这些年一直发展的不温不火,直到《数据安全法》的出现,数据安全被充分重视,DLP产品再次翻红。原因有以下几点:

1.数据泄露事件层出不穷

IBM Security的一项研究报告显示,在2021年,统计的企业平均每起数据泄露事件成本为424万美元,是自2004年来的最高值。数据规模暴涨,战略价值提升。在企业数字化转型的过程中,业务的核心驱动是资产化的数据。这些资产化的数据,是企业高度依赖甚至决定企业业务战略可实现性的关键元素。数据己成为一种能够影响国家战略决策的战略资源,谁掌握了更多、更有价值的数据,谁就掌握了未来的主动权。

2.新技术、新应用的出现导致传统的安全边界失效

传统的数据安全保护方式是基于“边界”, 通过防护墙、IPS、IDS等方式保护边界内的数据安全。但是互联网、5G的发展与广泛应用导致企业安全边界消失,数据处于无边界的分布状态,数据安全存在极大的隐患。

3.数据流动性增强,数据安全风险激增

数据的共享、流动已经成为必然的趋势,而数据的大量流动带来更多的风险,所以不能再使用静态的隔离保护措施来控制风险,这种流动的数据环境对数据安全的体系提出了新的要求,尤其是应用系统中的数据。由于无法提前感知数据风险,通常只能在数据泄露之后做事后审计,无法对数据泄露已经造成的损失进行弥补。

03 DLP技术发展难点

1.数据识别方式单一

单纯的数据安全防护体系,仅仅关注数据的内容,能够实现数据的可视化、可控等功能,但往往都忽略了数据的另外一个很重要的属性—员工操作行为的风险性,而无法实现对于员工数据操作行为的可视化,也无法从大量的用户和事件中定位高风险用户、高威胁事件,存在安全保护盲区。

2.数据泄露途径防护不全面

DLP在国内外已经是非常成熟的技术,但是在数据泄露渠道防护上并不全面。常见的有数据防泄露产品有终端数据防泄露、网络数据防泄露、存储数据防泄露,但是数据的流转和存储的途径远不止于此,比如邮件、手机、应用、云端,这些被忽略的位置,往往成为数据泄露的重灾区。

数据安全应该基于数据流转的全通道进行防护,比如网络数据防泄漏、终端数据防泄露、应用数据防泄漏、存储数据防泄漏、手机防泄漏。

3.传统的数据安全理念成为阻碍

▼隔离阻碍了数据的流通

网络隔离、虚拟桌面、沙盒等手段会阻碍在数字化转型下的数据大量共享、使用和传输,或阻碍业务,或完全放开。

▼全量数据保护等同于无保护

数据无法进行全量保护或者不保护,成本投入和管理能力都会遇到巨大的挑战,识别并按照数据分类分级进行保护才是正确方式和手段。

▼基于单一位置保护数据

敏感数据无论是在终端、邮件、上传、应用处理、第三方交换、跨域传输、SaaS、IaaS等任何位置,都是敏感数据,因此,数据安全的覆盖面从能力上应当是覆盖企业IT全貌。

4.数据安全与业务发展之间难以平衡

传统的Web安全解决方案对于网络威胁往往需要使用防病毒网关、Web行为管理、网络DLP、流量解密网关等设备来协同解决,不仅仅成本高昂,部署、使用和管理也比较麻烦。随着数据量的增多,大量检测任务会耗费设备更多的性能,导致业务的可用性降低,系统经常陷入瘫痪。

04 DLP技术产业落地情况

1.全球DLP市场统计

数据泄露防护作为数据安全领域中的关键产品,经过多年的发展已经成为了用户数据安全建设的刚需。根据 IDC 全球数据泄露防护市场预测,到2025年,全球数据泄露防护的市场规模将超过18亿美元,2020–2025年复合增长率将达到9.1%。2021年中国 DLP 市场规模为1.25亿美元,相较于2020年同比增长 39.2%。

2.DLP国产化的落地

早期我国数据泄露防护市场主要使用Symantec、赛门铁克、WebSense、McAfee等国外企业的产品。随着国产 DLP 产品在功能、性能和安全性等方面的不断提升,近六成受访企业已经应用了国内厂商的 DLP 产品。

3.国内企业DLP的使用

2022年5月31日发布的《数据防泄露(DLP)选型指南》报告指出:

88.31%的受访企业部署了一种或多种数据防泄露产品,其中以终端防泄露产品为主,占比高达 80.52%。50%左右的企业采用了网络防泄露和邮件防泄露产品。目前DLP技术体系中应用较为成熟的终端 DLP、网络 DLP、邮件 DLP。许多DLP供应商还提供数据分类服务,这对DLP的成功实施至关重要。

4.落地趋势演进

数据泄露防护产品正在从相对独立的数据安全防护单品向集成化的数据安全管理平台演进。DLP产品作为企业实现数据安全治理的重要能力支撑,将与包括数据发现、数据分类分级、数 据脱敏、数据访问控制等诸多数据安全组件或工具配合,共同帮助企业打造数据全生命周期安全治理的统一管理平台。这在很大程度上也对于技术提供商的数据安全整体方案的规划和实施能力提出更高要求。

05 数据防泄漏措施的实施建议

1. 建立全IT架构体系的企业级DLP

DLP产品分为两个类型:企业级DLP和集成DLP。企业级DLP技术专注于防止敏感数据丢失并实现多数据通道防护的全面覆盖,集成式DLP解决方案则是在其他非DLP设备中提供有限的DLP功能。

企业级DLP通过动态平衡数据安全与业务风险,建立持续、自适应的数据安全防御体系,帮助企业构建完善的数据防泄露解决方案,保护数据资产安全。而完善的数据防泄露解决方案必然贯穿于数据生命周期的全过程,提供对整个组织的网络、邮件、数据库、移动应用、端点、内部业务应用的全IT架构覆盖,在统一的数据安全策略下保护组织的核心数据资产。

2.数据防泄露技术与威胁检测相集成

DLP可以集成高级数据风险扫描引擎,采用 “本地+云端”实时查杀技术,实时应对最新的病毒、木马、网络威胁、未知威胁等,在威胁到达网络之前进行拦截,全方位持续地保护企业网络安全。

3.数据防泄露技术与数据安全治理相结合

而数据资产的防泄露,就是数据安全治理流程体系所输出的能力检验标准之一,也是业务数据安全建设的关键技术支撑能力。所以做数据安全治理必须首先建设数据防泄露体系。

4.人工智能与行为分析加入数据防泄露体系

将行为分析技术与数据保护体系相结合的主动、持续、自适应的防御体系,在实现数据安全保护功能的基础上,能够根据用户的操作行为,实现用户行为的可视化,判断每个用户的风险等级并快速定位风险用户和高危威胁事件,预测可能会发生的威胁风险事件,防患于未然,从而实现智能化、自动化、高效率的主动防御。

5.建立数据安全治理的自动化平台

围绕着企业在数据安全的现状及痛点,越来越多的数据安全自动化相关的处理工具,包括数据建模、数据分类分级、数据识别等自动化辅助工具将协助企业在建立数据安全治理的制度后,将制度更有效地实施。系统通过自动化的工作流,将不同的数据安全技术工具实践结合在一起,为数据安全治理提供了一个完整、可落地的数据安全治理解决方案。

(本文作者:北京天空卫士网络安全技术有限公司 张文礼)

声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。