在我的故事开始时,我想指出,DLP 系统不应被视为解决仅与人员安全相关的一小部分问题的系统。今天,DLP 系统正在解决范围广泛的任务,包括合规性、风险管理、反腐败、人员和企业内部安全。
人员安全和信息安全
人员安全是DLP的主要任务之一。这些工具有助于降低与员工粗心行为以及恶意内部人员活动相关的风险。许多公司已经拥有内置的信息安全生态系统,但如果内部人员有效工作,即使是成熟和完善的系统也会面临风险。因此,如今人员安全起着越来越重要的作用。
公司安全高度依赖三个安全领域:信息、人员和网络。如果安全问题涉及技术问题,比如数据存储如何被穿透,那么这就是网络安全问题。当我们谈论人的行为时,这就是人员安全。最后,如果任务与业务流程相关,那么这就是信息安全。
只有通过 IT 部门、信息安全和 HR 团队之间的适当互动,才能实现高效应对安全威胁。因此,DLP 正在成为连接业务保护所有领域的日益全面和集成的工具。
为了得到更好的保护,您不仅应该考虑实际风险,还应该考虑潜在威胁。因此,收集数据、正确分析数据并随后得出正确的结论至关重要。
人员安全隐患
DLP 工具解决的主要风险是数据泄露、欺诈、为竞争对手工作的员工等。这些主要风险主要与经济领域有关。然而,DLP是信息安全的“瑞士刀”,其功能可以连接到各种任务。
DLP 系统帮助公司规避主要与财务和声誉相关的风险。但是,对于政府组织,情况就不同了。后者处理的是战略数据,破坏会严重影响到整个国家。因此,DLP 在公共部门变得至关重要。
人员安全领域正在发生变化。以前,我们不得不主要处理由于疏忽引起的事件——绝大多数情况过去都是无意的。今天,我们看到了恶意的急剧变化。
主要作为潜在风险而存在的风险现在已经成为现实。直到现在,许多中型公司认为他们不需要特殊保护,因为他们没有重要或敏感的信息。现在他们面临这样一个事实,即员工正在有目的地策划恶意行为。员工通常是攻击的组织者或参与第三方组织的行动。此外,外部参与者在员工设备上安装手机跟踪应用程序并以不知情的方式使用它们的情况并不少见——“盲目地”。
早些时候,恶意意图通常仅限于恶作剧或报复。破坏也很普遍。现在的任务是真正突破防线,夺取机密数据。
对于 DLP 系统,这会产生新的因素和评估。有必要考虑员工的工作地点和他们的职位在安全方面的重要程度。
DLP系统在人员安全中的应用实践
应将引入的安全控制通知员工。他们还获得了一揽子文件供签署。员工必须明白,收集的数据属于信息安全领域,可以在法庭上使用。
例如,在 DLP 的帮助下,可以通过向他们发送包含商业机密的文件和屏幕截图来证明员工为竞争组织的利益做了一些事情。当员工使用公司设备谋取私利时,也可以挖掘证据。
从技术角度来看,系统看起来尽可能简单。存在收集有关合法和非法事件的数据的端点和网关。为了响应合法事件,必须创建特殊规则。
DLP系统的问题
主要人员安全风险来自恶意内部人员。除了内部人员,还有与特权用户相关的风险。DLP 可以收集公司所有部门的用户数据。然而,这需要高能力和正确设置 DLP 规则。
在实施 DLP 时,应注意 DLP 系统的运营商。他们可能会接触到个人信息,并且在处理这些数据时必须了解自己的责任。
安全团队过分关注 DLP 系统工作的技术部分。同时,很少注意与人打交道。因此,必须了解攻击者也是人。正确解读他们的行为并及时采取预防措施将使您能够制定有效的对策。
还值得关注的是不同公司使用 DLP 的文化差异。并非所有客户都与 DLP 供应商分享他们的问题。供应商可以协助选择规则,帮助识别问题的根源并找到解决问题的方法。但是,许多客户不共享此类信息。原因可能不同。首先是信息可以归类为严格机密(在某些组织中,这是国家机密)。但是我们经常处理公司中特定的安全文化。很少有公司坚持开放,大多数更愿意尽可能封闭。
一些 DLP 客户并不认为 DLP 是一个需要定期修改控制规则以解决新问题的“活”系统。相反,他们认为 DLP 是一种自动机工具,在安装过程中设置一次就足够了,不会再碰了。
学习使用 DLP 系统
应特别注意培训和学习 DLP 系统操作规则的问题。例如,谁以及何时可以成为 DLP 系统的操作员或分析师?这个话题相当热门,尤其是随着人们对外包的兴趣越来越大。
没有专门的课程或教材可以全面学习DLP操作规则。相反,大学只教授经济安全。这些知识不适用于 DLP。基本上,培训在 DLP 供应商开设的专门中心进行,这些中心教授如何使用他们的系统。当员工自己获得经验时,其余的培训将以自学模式进行。
很多时候,前执法人员被招募到 DLP 工作。但是,只有他们了解所收集信息的价值,并具有使用工具、方法和场景的经验。不幸的是,完成经济安全培训的普通毕业生对 DLP 没有多大用处。
DLP 神话
关于 DLP 工具一直存在很多神话。神话源于对系统运作的缺乏理解和原始的恐惧,甚至经常由其他人表达。然而,当您深入研究 DLP 系统的结构及其原理时,所有的迷思都会自行破灭。以下是一些误区:
十年前,您可以听到员工谈论引入 DLP 后出现的严重恐惧。还有一种观点认为,DLP 是许多员工的个人敌人,因为它监视他们并侵犯他们的隐私。
其他神话也出现了。关于 DLP 系统的“高”成本存在一个公认的神话。
还有一个关于 DLP 安装过于复杂以及不可能开箱即用的谣言。
DLP上线初期,已经发布了上百个安全事件,吓坏了很多企业领导。因此,人们认为 DLP 很难使用并且不敢使用该系统。
对于DLP系统的过度资源消耗也有一个公认的判断。“他们会把网络上的所有电脑都关掉”——这样的话经常能听到。
同样值得注意的是,DLP 系统供应商可能会使用其客户的数据,从而给公司带来风险。
最危险的神话是 DLP 系统据称可以在安装后自行提供安全性。但安全主要是处理安全问题的称职员工。DLP 只是一种用于安全目的的工具。
同样,正确评估您的风险和需求、与供应商密切合作以及正确实施 DLP 将有助于消除所有误解。
改进 DLP 系统的技术
DLP的未来前景主要与引入行为分析(UBA和UEBA)相关。此类系统允许您引入员工评级,这有助于跟踪风险并识别和预防严重事件。
与 UBA 和 UEBA 的集成允许员工裁员预测和识别数据积累以将其带到边界之外。UBA 和 UEBA 还可以通过识别与计划中的公司信誉受损或检测员工的不忠诚行为相关的业务流程中的违规和异常来帮助改进 DLP。
在标准 DLP 的框架内解决这些问题具有挑战性,因为没有与此类事件相关的明确安全事件。然而,新技术使得更准确地预测各种风险情况的发展成为可能。
目前,由于对这个话题的猜测很多,UBA 并没有真正“起飞”。由于害怕跟不上市场趋势,供应商曾尝试添加 UBA 功能,但由于缺乏实际的专业知识和独特的研究,他们收效甚微。
以当前形式实施 UEBA 也很棘手,因为在实践中,有太多不同的格式。而且,UEBA机制的结果过于依赖数据源,稍有变动,瞬间就会造成结果的差异。因此,首先需要形式化 UEBA 的输入数据。这将提供正确的分解。
人员保障系统发展趋势
DLP 客户总是希望有一个红色的大按钮。通过单击它,客户希望立即获得结果。这是理想的目标。DLP 供应商才刚刚开始使用它。当 DLP 系统可以处理大量复杂数据时,我们就会谈到它。
许多工作已经完成。预计自动化水平的提高和人工智能的广泛使用很快就会到来。DLP 运营的劳动力成本将会降低。更好地识别事件并自动配置和策略设置将成为可能。机器应该完成工作的核心部分。DLP 官员将只参与决策制定,而不是技术问题。
从技术发展的角度来看,DLP将走向与其他安全解决方案的融合。例如,DLP 有望与DCAP、UBA 和 UEBA 集成。整合已经迈出了第一步。例如,DLP 日志在SIEM产品中被积极使用以评估事件的相关性。