本文来自微信公众号:连续创业的Janky(ID:janky-dsphere),作者:Janky,原文标题:《DLP 已经过时了吗,该如何破局》,题图来自:视觉中国
数据丢失防护(Data loss prevention, DLP)软件可检测潜在的数据泄露/非过滤数据传输,并通过在使用(端点操作)、移动(网络流量)和静止(数据存储)时监控、检测和阻止敏感数据来防止这些(泄露)。
——翻译自Wikipedia
写这篇文章着实非常惶恐,整篇用词与修饰也是经过反复琢磨和调整。因为 DLP 是个很大的产业,涉及几乎印有数据安全标签的所有安全厂商,企业数据安全建设的第一站往往也以安装 DLP 为起点,企业员工怒骂公司行为的背后也往往有 DLP 的影子在,可见该话题的影响甚大。
同样的话题讨论,发生在国外,已经是 5 年前了。2018 年 4 月 5 日,Gartner 高级 VP 级别分析师 Avivah Litan,发表了一篇博文,名为“DLP is Dying”*,但是博文内容已经过修改,因为原始内容关于 DLP 正在消亡的言辞引起了安全厂商的极大不满,开启了激烈的网络争论,作者迫于舆论压力重新修改了文章,并关闭了自己 linkedIn 留言功能。
作者本人从事企业数据安全相关工作的时间,不算太长也不算太短,说起来也有超过十年的时间了。自身开发过 DLP 的产品,也主导了阿里巴巴原生 DLP 产品向 UEBA(user and entity behavior analytics,用户和实体行为分析技术)的转型升级,见证了身边不少新兴 DLP 厂商的迅速消亡,听惯了企业员工的骂声和老板的质疑,也帮助不少企业完成了适合自身 DLP 产品与方案的选型和落地。就经验上来讲,或许能有一点点有价值的输出,帮助安全同行们在规划自身 DLP 产品的时候适量避坑,也让企业们在选择适合自身安全产品的时候多一点点参考,期望写在这里的一些经验总结能起到这些作用。
一、DLP产品分类
数据防泄漏的产品有很多种类型,云桌面、沙箱、透明加解密也都是可选方案,DLP 区别于这些方案的特点,在于其本身是通过在不改变任何用户使用数据的习惯的前提下,自动检测出数据泄露的行为。企业内的员工甚至都意识不到 DLP 安全产品的存在,也不需要跟该产品进行任何形式的互动。
举些形象的例子,云桌面(类似的叫法还有虚拟桌面、VDI、DaaS)和沙箱好比家里的保险箱,值钱的东西都锁在里面出不来;透明加解密原理类似于在电影和电视剧里,看到的故事情节:情报人员用米汤在纸上写字,待米汤干燥后送出。而收到情报的人员, 把这张“白纸”放入碘酒中泡一下,就可以读到纸上的秘密信息;DLP 就是那个挂在墙上监控摄像头,它能震慑小偷,但也不能干扰小偷做坏事,默默记录下作案过程事后追责。
DLP 产品本身,按照数据所处位置的不同,国外同行们又定义出了 4 个分支,终端 DLP、网络 DLP、云应用 DLP、存储 DLP。很遗憾在国内的环境里,真正能被应用的只有终端 DLP 和邮件 DLP,其根本原因在于国内应用生态的落后和封闭,之前的一篇文章有详细分析过。
邮件 DLP 依附于企业自有的邮件服务器,通常以邮件网关的形式存在,去过滤外发的邮件内容,应用场景非常直观和单一,所能达到的防泄漏效果也比较狭窄,毕竟真正想偷盗企业数据的员工,还是会聪明到不用企业自身邮箱把数据给发出去。
因此,咱们这里就重点讲讲最为复杂的,终端 DLP。
二、终端DLP及其困局
不避讳地讲,DLP 是针对企业内部员工监守自盗的防范措施,不论是刻意为之还是无心之施。盗窃行为的案发地,就在办公终端上,以前以办公电脑为主,移动互联网后新增了移动端设备。辅助作案的工具就最为复杂多样了,常见的聊天工具(微信、QQ、钉钉)、第三方网盘、U 盘、蓝牙传输、AirDrop、云笔记、共享目录……无法穷举。所有这些作案工具被 DLP 产品统称为外发渠道,需要定点进行覆盖和监控。
DLP 并不是一个新的产品形态,其历史可以追溯到国外 25 年之前,国内 20 年之前。对于大量企业来讲,企业当前的数据被一张渔网包裹着,这些数据随时都能从渔网上的一个孔洞里漏出去,DLP 产品所做的就是不停地尝试在新的漏洞里面安装上摄像头,记录下来什么时候有数据从哪个洞出去了。但现实是这张渔网无限大,且还在不断自我膨胀,DLP 在一个洞口安装了监控的同时又生出了 2 个新的洞。还有些洞,门框太高或者墙壁太滑,连摄像头都装不上去。
除了产品本身研发的困难之外,DLP 还面临着很多其它挑战。
1. Everybody Hates DLP(人人喊打)
想想也真的觉得神奇,恐怕没有其它任何一个产品能像 DLP 这样,达到人人都“讨厌”的地步,即使是花钱采买的企业自己也是同样的心理。
18221259202