网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


干货 | 原来防止员工泄密的DLP应该这样用!

2018-12-04 13:55 推荐: 浏览: 12 views 字号:

摘要: 眼下,全球人民都面临着的两大数据保护难题: 数据呈指数型增长;我们对这些数据的“能见度”非常有限。 因此而产生的泄露问题数不胜数,例如上周刷爆票圈的《焦点访谈:揭秘“网上谍影”间谍这样窃取了我国机密》,政府机关的工作...

眼下,全球人民都面临着的两大数据保护难题:

数据呈指数型增长;我们对这些数据的“能见度”非常有限。

因此而产生的泄露问题数不胜数,例如上周刷爆票圈的《焦点访谈:揭秘“网上谍影”间谍这样窃取了我国机密》,政府机关的工作人员肖某从档案室借出涉密地形图扫描成电子版,通过QQ从互联网上将地图发送给擅长制图的王某。这一行为本身就是非常严重的内部数据泄露违规行为。

面对内部数据泄露问题,市场上已经有了十分成熟的解决方案——DLP,详见我们之前写过的DLP解决方案的文章:世平发布通用版数据泄露防护(DLP)解决方案

什么是DLP?

“DLP是一种以中央策略为基础,通过深度内容分析发现、监控并保护静态、动态及使用中数据的技术。”

DLP主要价值

  • 发现敏感数据的存储位置
  • 掌握某数据在整个单位中的使用方式与传输情况
  • 主动保护重要信息,避免对业务流程造成负面影响

 

很多人都对DLP存在一些误解:

部署太复杂了!误报太多了!价格这么贵,效果好像也不明显嘛!

 

产生这样的误解情有可原。不好用的真正原因不是工具本身,而是我们根本不会用。

 

DLP速赢法

今天我们就教大家一招简化部署流程、误报率低的“DLP速赢法”。

第1步:制定流程

1. 开始阶段

  • 检测到违规行为
  • 检查事件的真实性与严重性
  • 升级

2. 调查阶段

  • 通知各业务部门
  • 事件评估
  • 采取保护措施、通知用户、留下文件标记

3. 收尾阶段

  • 通知人事部
  • 采取员工教育等措施
  • 事件结束

 

第2步:准备目录服务器(集成)

DLP策略以用户为基础,每项活动都要与具体的人员联系起来。糟糕的目录则会成为DLP部署的主要障碍。

第3步:与现有基础设施集成

  • 网络部署:网络网关与邮件服务器。
  • 端点部署:软件分发工具。
  • 发现/存储部署:密钥存储库上的文件共享(通常只需一对用户名/密码来连接)。
第4步:确定应用场景与目标

1. 单一数据类型

利用现有的数据类别,误报率低。

2. 信息使用

开启所有功能;尽可能多地收集使用模式。

第5步:选择部署类型

 

第7步:监控

(“第6步——确定策略”需要具体情况具体分析,本文不作讨论。)

 

第8步:分析

分析阶段需要擅长大数据的专业分析人才。数据泄露违规行为可根据泄露的数据类型、责任人所在的业务部门、泄露数量等进行分类;分析师需要注意同一来源的不同违规行为。

“速赢法”的长线发展

  • 熟悉工具并尽早设定目标
  • 与用户及业务结合,切忌“单打独斗”
  • 从较小范围内一个简单、易确定的策略着手。
  • 完成工具的调试,并对工具更加熟悉之后,扩大它的价值利用范围。
  • 然后发布下一个策略并执行同样的步骤。

“速赢法”帮助用户单位在短时间内取得阶段性成果,不但能够简化部署流程,而且“逐个突破”式的策略设置能够大幅降低误报率。

本文观点及图源参考:Securosis《Maximizing the Value of DLP》。


杭州世平信息科技有限公司(简称“世平信息”),致力于智能化数据管理与应用的深入开拓和持续创新,为用户提供数据安全、数据治理、数据共享和数据利用解决方案,帮助用户切实把握大数据价值与信息安全。

联系站长租广告位!

中国首席信息安全官


关闭


关闭