划分两头,今天我们来聊聊另外两个话题:DLP和ivante,其实DLP各位大佬应该或多或少的都有所了解吧。数据泄密(泄露)防护(Data leakage prevention, DLP),又称为“数据丢失防护”(Data Loss prevention, DLP),有时也称为“信息泄漏防护”(Information leakage prevention, ILP)。数据泄密防护(DLP)是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。DLP这一概念来源于国外,是国际上最主流的信息安全和数据防护手段。这是摘自百度百科一段解释,其实DLP存在的目的就是为了解决数据在使用、传输、存储过程中产生的泄漏问题。
在当今这个互联网高速发展的时代,数据以各种形式、形态进行传输、使用、存储,而在这么庞大的数据交互的环境下,如何才能确保数据的安全性?这正是我们需要思考的,举个最简单的例子:某个银行让你通过微信公众号进行登录到它们的平台,登录的同时会自动绑定你的微信账号和银行卡号。这个似乎看上去特别简单的一个操作行为,在背后却存在着复杂的业务逻辑,而在此过程中你的身份信息是如何通过微信传给银行的呢?银行又如何知道你是谁?你的银行卡号的呢?这中间就会涉及到复杂的数据传输扭转操作,而在这种业务形态下如何去保证数据的安全性呢?通常也有些白帽子在做这类业务安全测试的时候都会找一些API接口通过参数等拼接的方式实现获取到用户的数据,所以这就是我们所说的,如何保证数据在使用、传输、存储过程中的安全性,当然这只是一个业务场景。
那在我们企业内部呢?又有哪些业务场景会涉及到数据的安全性呢?接下来就分享一下企业内部在终端安全的业务场景下数据安全的建设是怎样的?
企业一般通过内网和互联网的物理隔离来限制数据泄漏;但近年来,在国内外数据泄露事件中,由黑客窃取造成内部敏感信息泄漏的占比极少,绝大多数都是由于内部员工有意或无意的泄密行为导致。因此,数据防泄漏(DLP)逐渐变成企业内网安全的建设重点。要实现企业级数据安全,必须清楚企业数据的位置分布、运转流程,对数据资产分类分级,根据实际应用场景确定数据保护需求,通过管理制度和技术手段,建立完备的数据安全防护体系。
DLP数据防泄漏技术通常有两种通用的安全技术:
1、 数据识别技术
在对数据防泄漏之前,首先需要了解企业内部有哪些数据,对数据进行分类分级,通过分类分级后才能梳理出哪些数据是需要做防泄漏的,而这个环节就体现在了对数据的有效识别。
企业内部大多数数据识别的场景是在文档、代码、数据库、算法等等,首先就是要对这些数据进行敏感信息的识别定位,根据法律合规要求以及企业内部策略,将数据进行分级分类;且无论数据的存储、复制或传输位置在哪里,都必须准确地检测出所有类型的敏感数据。主要采用正则表达式检测、关键字检测、属性检测等检测技术对文档中的敏感信息内容进行内容搜索和匹配。当数据量达到一定量级,那么这种传统的手段可能识别起来的难度就会比较大,因此,更多的是结合算法模型和AI技术,来对已知和未知的数据进行有效的识别。
2、 数据加密技术
数据加密则直接作用于数据本身,使得数据在各种情况下都能得到加密防护,即使泄露,只要加密算法这层保护壳不被破译,数据仍是安全的。
前期,数据识别和数据加密往往是两个分支,数据识别主要应用于企业,数据加密则大多服务于政府军工。但是随着大数据、零信任、云计算的发展,单纯的数据识别和数据加密都无法适应企业的各类场景。于是,越来越多的企业将数据识别和数据加密进行整合,通过数据识别进行数据发现,结合分级分类策略,再使用数据加密对敏感数据进行强制加密,最终形成具备智能发现、智能加密、智能管控、智能审计功能的一整套数据防泄露防护方案。
目前,DLP从应用范围上可细分为邮件DLP、网络DLP和终端DLP。其中,邮件DLP在企业广泛应用,基本部署在企业邮件出口,对企业外发邮件进行内容识别、合规监控审计。其次是网络DLP,主要部署在企业外联出口及企业内部,通过镜像网络流量的方式,进行网络数据的内容识别、合规监控审计,这个就是我们平时在企业内部建设的流量探针,通过从流量中抓取可能存在泄漏的数据;网络DLP依赖网络流量,对于大型企业较难全覆盖。终端DLP,顾名思义,是管理企业终端上的敏感数据。通过在终端部署客户端,先收集数据进行机器学习,结合数据管理部门的管理要求,形成适合企业的分级分类策略;再通过客户端,将分级分类策略和文档加密等结合,应用到终端数据的日常流转和存储中。
但实际工作中会发现,很多大型企业基本实施了邮件DLP和特定范围的网络DLP,却未全面部署终端DLP,究其原因,主要是终端DLP面向员工,管理对象为企业终端,而终端存在操作系统众多、终端类型复杂、文档使用场景又多样等情况,在落地应用时,易出现终端兼容适配困难、对日常办公影响较大而被用户抵触、运维成本太高等问题,导致大型企业望而却步,多持谨慎观望态度。因此,本文主要以包括各类文本、图片、报表、音视频信息等非结构化的电子文档数据为研究对象,探讨大型企业建设终端数据防泄漏(DLP)的方案。
如何在基于DLP应用场景如此复杂的状态下有效的实现企业内部在建设DLP呢?这里考虑主要从以下两个方面考虑:
1)数据防泄漏系统(DLP)以深度内容识别为基础,主要评估识别广度和深度:
(图片摘自互联网)
2)有效躲避侦测技术:更改文件名、改文件类型、压缩文件、拆分文件、插入无关资料、压缩加密资料、资料剪贴、内嵌夹档。
(图片摘自互联网)
基于两个层面的实现,即可实现初步的DLP安全体系建设,那么对于后续更为复杂需要结合业务场景的状态下,可以通过对深度学习模型的优化实现。(写的不好还请各位大佬多担待!)
下面我们了解一下ivanti这个话题,其实,这个话题对于我个人来讲了解的也不是很透彻,也只是知道有这么个东西,并没有深层次的去了解过,字面意思就是终端管理系统。
Ivanti(英万齐软件技术(北京)有限公司), 是一家将 IT 与安全运营整合在一起,帮助客户更好地管理和保护数字工作空间的软件厂商。 通过分析和自动化功能,Ivanti 可以发现本地及云端上的 PC、移动设备、VDI、数据中心等各类 IT 资产,在改进 IT 服务的同时降低安全风险。而对于希望提升仓库和供应链管理品质的客户,Ivanti 利用一系列现代化技术帮助其在不更改后端系统的前提下达成所愿。
这款软件在我们公司实际用途主要就是控制Windows的组策略的一些设置和一些深度的监测,例如:对终端的一些操作的监控,剪贴板、键盘输入等等,并没有其他的深层次的应用。
