DoSECU 安全报道 4月21日消息:数据防损技术(DLP)日渐成为目前市场上最为重要的安全技术之一。企业青睐数据防损技术来保护所有权数据和满足法规遵从的需要,为想要接触安全市场中最敏感部分的解决方案提供商提供了巨大的商机。数据防损技术也为安全产品销售商带来了大量机遇。
由Association Press完成的市场分析报告发现2008年度有超过8亿条数据记录被暴露在风险之中或者存在被入侵的隐患。数据防损技术领域的机遇正在不断增长,这项技术所能实现的市场销售额到2012年有望达到20亿美元的顶峰。销售数据防损技术的分销商也在发掘绝佳的机会,不过商机背后也同样隐藏着某些风险。
很少有安全技术像数据防损技术那样招人误解,实际上数据防损技术会影响到企业数据处理终端的方方面面。数据防损技术归结起来就是保护数据,防止数据落入不法分子之手–无论是有意还是无意的。然而时下如果某一方面出现差错,解决方案的复杂性就会导致数据陷入无保护状态,解决方案提供商自然也负有连带责任。
一套完整的数据防损技术解决方案由几个组件组成,包括对运行中数据(简称DIM),闲置数据(简称DAR)和终端数据的保护。运行中的数据多数都是电子邮件和附件,这也正是多数违反数据防损技术的发源地。一些无知导致的错误加剧了这个问题,诸如寄错地址的电子邮件,错误的文件附件或者将机密信息发送到家庭办公室到周末用于办公之用。这些例子都表明正是这些出自良好意图的行为铺就了通往地狱的歧途。
多数地方的闲置数据主要是在服务器硬盘,备用存储或者存储区域网络或是网络附加存储之中。更复杂的保护闲置数据是数据并非处于静止状态,用户必须访问数据来只执行他们的职责。这里的技巧是要保护这些数据,而不是用严格的协议去阻碍用户,这样会导致数据的不完整和大量的错误判断。闲置数据泄漏会通过其他渠道发生,主要涉及备份磁盘的丢失或者被盗,不正确的FTP或者虚拟个人网络的访问等。
从终端保护数据并不能解决问题,数据有很多途径会脱离终端的控制,比如把报告打印出来进行计算,使用智能电话上的照相机拷贝计算机屏幕。低成本的小型USB存储设备和代用CD-R的个人电脑的流行更加清楚的证明终端数据防损如何演变为一个梦魇。
企业可以采取预防性措施来保护终端数据,但是如果某人想对数据捣乱,你可能无法阻止他们。难道这意味着在部署数据防损技术时应该忽略终端数据保护码?当然不是,不过企业应该接受这样的事实:只要有人有权访问数据,数据就有被入侵的可能。对于数据防损技术来说,真正的优势来自于用在积极影响上的支出可以得到保证–在这方面,这就相当于网络的网关。
诸如思科,Check Point, Websense, Purewire,迈克菲,赛门铁克,RSA,Barracuda, Palo-Alto网络和Fortinet等厂商都推出了各种形式的数据防损技术。多数技术都是现有产品的加强版或者将软件和服务合并来满足数据防损的需求。而Palisade Systems, Finjan和Fidelis等厂商则是采取更加专业的方法和工具来解决数据防损的梦魇。
Palisade是使用PacketSure网络工具来解决数据防损问题。这个设备特别设计了对"运行中数据"和"闲置数据"的保护私有信息设置。PacketSure还更进一步,通过控制网络上流量的类型和监控TCP/IP或者UDP流量来执行网络流量的深入打包检测。
这个工具能阻断网络边缘地带协议的流量,包含了超过140个基于签名的自定义规则的缺省设置。管理员能使用关键字匹配或者将扩展常规描述来管理特殊流量来建立自定义规则。当PacketSure发现与规则匹配的内容时,它就会采取规则指定的行动–记录,允许或是阻止。
这个工具包括用来阻止访问未经授权网站的网络过滤器。网络过滤器能成功的阻止用户无意中访问"钓鱼网站"或者其他存在恶意程序的网站。Palisade还能为PacketSure Network Appliance提供很多配置量体裁衣的与目标网络相对应。公司还提供可以加强应用工具能力的附件,诸如文件系统恢复,卫生保健和金融信息匹配,电子邮件内容分析,文本匹配和信用卡匹配–所有这些无论从深度还是广度上都为数据防损奠定了良好的基础。
Palisade最富盛名的是他们产品即插即用的简单实用特性,可以直接解压缩到管理员的控制台。集成商也能够在几分钟内完成配置,建立基本规则设置来保护数据。除了基本特性外,还有一些专门的技术来全面实现潜在的设备保护。换句话说,PacketSure非常容易上手,但是你也需要一些专业经验来帮助你完全堵上所有数据防损漏洞。
Finjan公司将数据防损作为FInjan Secure Web Gateway appliance大型安全解决方案的一个组成部分,这个解决方案能提供许多不同规模的配置来满足大小不同的网络需求。Finjan安全网络网关使用激活的实时内容检测来防止数据泄漏。所有的HTTP/HTTPS链接都会被检测,Finjan还会应用深入分析来侦测和防止机密数据从网络上泄露。
当配置正确时,应用工具能阻止有意(比如某些恶意行为)和无意的数据泄露。Finjan公司与其他数据防损应用工具不同的是公司没有提供单机版数据防损工具。数据防损技术是作为公司主要安全应用工具-安全网络网关的可选项提供给用户的。在某些情况下,这就意味着用户在数据防损之争中必须指出更多的金钱才能获得他们想要的技术。不过实际上,同样的购买方可能也会使用额外的安全产品,也可能将数据防损配置转化为遗留安全产品的替代品。
Finjan公司的安全网络网关能提供大量的灵活性,管理员可以按需关闭和开启特殊特性,配置安全特性或者关闭不需要的功能。不管集成商选择何种路径,Finjan网络安全网关只需点击几下鼠标就可以成为公司的初始安全应用工具,并与数据防损能力完全结合在一起。
来自Fidelis Security Systems的Extrusion Prevention System 5.3应用工具从不同角度锁定数据防损技术。这个工具专门针对分析社区网络的通讯,诸如Facebook, LinkedIn, MySpace, Plaxo, Twitter, Orkut, Friendster, hi5, Ning和Badoo,还能提供传统的数据防损保护。
公司使用分析器技术来判断什么沟通方式会泄露网站内容。举例来说,Facebook有聊天功能和电子邮件信箱,用户可以配置应用工具来监控或者阻断这些能力,删除其他可能泄露数据的途径。另外,Fidelis数据防损能被配置为限制附件社区网络应用软件的使用,或者指定某些社区网站的禁用区域。
当然,社区网络是问题产生的唯一部分,Extrusion Prevention System 5.3还能执行期望的深入打包检测和其他数据防损设备中发现的流量分析。产品使用管理员定义协议来阻止数据泄露,并且最新的分析还有能力来监控网络行为。
以上介绍的三种产品呢都采用了不同的方式来实现数据防损,每家厂商都是竭力实现同样的目标。为了更好的理解,用户必须首先理由数据防损所能实现的商业价值。
为什么使用数据防损技术?这项技术能帮助用户:
管理和共享敏感信息
满足法规遵从的需求
保护商标信誉
自动执行协议
减少敏感数据被盗风险
无论你选择何种解决方案,如果你想满足上述设定的目标,数据防损对于任何企业来说都只能体现一种优势,同时也为更加先进的安全能力和未来的法规遵从需求奠定了基础。
未经允许不得转载:DOIT » 数据泄漏防护DLP 创造巨大商机
