阅读《Market Guide for Data Loss Prevention》一文的思考

        “读书使人充实,讨论使人机智,笔记使人准确,读史使人明智,读诗使人灵秀,数学使人周密,科学使人深刻,伦理使人庄重,逻辑修辞使人善辩。凡有所学,皆成性格”   

—-培根

《2021 Gartner Market Guide for Data Loss Prevention》一文是从用户的角度阐述DLP市场。首先在文中的概述阶段说明了DLP的现状,并基于这些现状给出了几点建议。接下来的正文中,从市场定义(概念)到市场描述(分类),再到市场导向(趋势),最后到具体细分市场(产品)进行了说明。在文章的最后,再次给出市场建议,和概述内容互相呼应。

此外,文中也谈到2020年,Gartner针对DLP相关内容查询的统计,比2019年增加了32%。我认为一方面用户主观上对数据防泄漏的意识有较大幅度的提升;另一方面由于相关法律法规和行业标准逐渐出台,促进用户加大了对包括DLP在内的数据安全产品的投入。

接下来,我根据原文的脉络,逐一说明我的理解和观点。其中也有基于我现有经验领会不到位,或者不能理解的地方,意识到的地方我也会适当说明。

一、Overview(概述)

在文中首先提出最近观察到的市场的三点现状:

1、目标性不强

我认为目标性不强有以下两点主要原因:

a、由于数据安全相关知识的普及程度,用户的数据安全治理经验比较薄弱,无法对数据分成多个维度进行安全治理,或者说是防泄漏管理;

b、部分客户采购DLP产品是由于近期组织内发生的的数据安全事件(数据泄露事件)驱动的,对数据安全治理没有战略性或者全局性的意识;

b、某些用户采购DLP是为满足合规性需求。从自身业务角度讲,对数据安全的需求并不强。所以也就不会有明确的数据安全战略,后续的目标也就会非常笼统。

由于目标性不强,最终会导致组织内部部署的DLP收不到理想的效果。

2、对EDLP的需求正在减弱

EDLP功能减弱,我觉得倒是一个好现象(也许我理解的比较片面,求指正)。原因有以下几点:

a、之前采购EDLP是为了采购一个All In One的数据防泄漏解决方案,说明之前组织内安全相关的产品使用的并不多,无法借助其他相关产品提供数据防泄漏的能力;

b、由于提高了安全意识,或者相关法律法规和行业标准逐渐出台,企业需要采购更多的安全产品,其他的产品中具有某些数据防泄漏的相关功能,或者DLP功能作为某些安全产品的附加功能提供(例如某些厂商的EDR就带终端DLP功能);

c、组织或企业对数据安全的场景不断细化,在不同的需求下,采购了不同厂商的IDLP;

我认为,这些都说明组织或企业的安全体系建设在向前推进。但是文中也提到,这会导致数据治理策略或规则很难在不同产品之间流转(兼容)。

3、中小企业DLP实施困难

我认为,一方面是资源不足导致的实施困难;另一方面是中小企业在数据安全治理能力上的不足。后文中也建议这样的企业可以购买咨询和托管DLP服务。但就其本身来说,还是要自己对自己组织或企业的数据安全负起责任。

在概述中,也给出了三点建议:

a、从战略制定到流程的细化逐步推进用户自身组织或企业的数据安全治理能力,而不是把一个笼统的目标推给DLP产品去完成。文中特意用到了”narrow”一词;

b、确定用户组织或企业中已经具备的DLP能力,采购DLP产品的时候查缺补漏。文中也强调,还是需要用到EDLP统筹这些DLP功能的能力。但是文中回避了不同厂商DLP产品的兼容性问题,也许我的理解不准确;

c、如果自己组织内部没有数据安全治理能力,或者短期内建立数据安全治理能力比较困难,既制定战略和梳理流程比较困难,建议使用这方面的咨询服或者托管服务,请专业的咨询或者服务公司来干这件事。

二、Market Definition(市场定义)

这里面分两点阐述DLP的定义:

a、从产品功能来说,是监控数据再组织内部、或者组织之间(跨组织)的流转,并在流转过程中基于内容和上下文施加防泄漏相关的处置策略。

b、实现效果上,实现对数据操作的监控、警报、告警以及阻断等。

三、Market Description(市场描述)

市场描述中,说明了DLP产品执行的步骤,既:

根据数据内容和上下文为数据打标签->监控数据的流转->在流转过程中对触发策略的行为进行告警、阻断等。

然后给出了DLP产品解决方案的分类:

1、EDLP(企业DLP),实际上是一个运营平台,具备以下几个方面功能:

a、负责协调整个用户场景内的各个DLP组件,包括向各个DLP组件下发(同步)策略、汇总告警、下发处置等;

b、提供查询、追踪溯源等功能;

c、大屏,讲故事。

2、IDLP(集成DLP),IDLP是由不同的产品服务集成DLP功能

例如邮件网关集成DLP功能、Web网关集成DLP功能等、EDR集成终端DLP等。这里面,我认为客户对各个安全产品或服务提供商从功能上向DLP延伸有一定的驱动力,原因是目前安全产品的需求也有很大一部分是合规性需求,所以这些厂商也会为了迎合客户某些刚性需求做一些延伸。例如EDR厂商的产品除了可能整合终端DLP功能之外,也有向CMDB、桌面管控等领域延伸的例子。

3、CSP native DLP,云服务提供商提供的基于云服务(SaaS or IaaS等)DLP解决方案

对于云平台可能泄漏的环节包括敏感数据非法上云、敏感数据从云上非法下载以及非法的云迁移等过程。除此之外,我觉得如果云服务厂商针对DLP相关的功能提供云原生API,这样就比较容易和各个厂商的EDLP对接,估计也是未来的一个趋势。

四、Market Direction(市场导向)

文中首先提到了EDLP市场在2017年到达了顶峰,在那之后IDLP和CSP-native DLP逐渐兴起。文中提到了三个发展趋势:

a、CSP native DLP

现在上云是一种趋势,从开始的虚拟主机,发展到提供云原生API,再到现在的私有云和混合云。所以云服务厂商会开发和推广包括DLP在内的基于其提供的SaaS等服务的安全产品;

b、第二个发展趋势是开始出现由 DLP厂商提供托管DLP服务,并且把托管DSP服务和咨询服务捆绑到DSP产品中销售;

c、第三个趋势是DLP厂商开始推出能对数据分类(即打标签)服务的产品或服务,帮助用户从不同维度、不同层面识别和标记敏感数据;

d、“vendors of insider risk management solutions”这句话的范围比较大,我对其他产品了解不多,但是从终端安全的角度来说,EDR产品整合终端DLP确实有天然的优势。原因是:

a)EDR本身会在驱动层hook文件和网络相关的操作(系统调用)。如果同时对DLP规则进行判断,当发现命中DLP策略时可以直接进行阻断等操作;

b)EDR对系统的监控范围比较全面,相关的功能模块也比较完善。例如某些人如果有意盗取某些敏感数据,可能绕过文件操作,首先通过读取目录表,读取到敏感数据文件所对应磁盘设备的扇区,然后直接从BIO(块)层读取这些数据,并进行加密后发走。如果终端DLP产品只对文件进行监控的话,这一系列操作就可以被绕过。但EDR一般有能力监控到这些行为。

五、Market Analysis(市场分析)

数据防泄漏所涉及到的面很广,也很碎片化,组织或企业要对数据进行有效防护,就必须堵住这些可能产生泄漏的环节。文中主要介绍了数据防泄漏(DLP)在以下五个场景的解决(结合)方案:

1、安全邮件和邮件安全网关

安全邮件和邮件安全网关是解决两类不同的安全需求,这方面原文中并没区分开。

a、安全邮件:安全邮件主要需要解决的是邮件传输过程中被窃取(信息泄漏)的问题。由于邮件从MUA到MTA,以及MTA之间传输过程中并不是强制SMTPS,甚至传输过程中某些MTA节点本身不支持SMTPS。这样邮件就会以明文的形式在这些节点流转,如果中间某个MTA节点被渗透、或者某个路由被渗透,那么邮件内容就有被泄漏的风险。

b、邮件安全网关:邮件安全网关本身是一个MTA,一般用来查杀邮件中附带的病毒、木马、钓鱼链接、垃圾邮件等,也用来识别发件人或者收件人的合法性,对邮件进行拦截、退信、放行等操作。和DLP结合,可以识别邮件正文、附件内容的敏感性,并根据配置的规则判断数据流转的合法性,并依此进行拦截、退信和放行等操作。

2、Web安全网关

a、解析HTTP/HTTPS流量数据,识别其中的敏感信息,并依据策略进行防护。对于HTTPS流量数据的解析,一般的技术是证书劫持,但如果客户端(HTML5)中加入了验证证书有效性的逻辑,这种情况会阻断访问;

b、把SWG用于基于云的防火墙,保护所有的端口,解析所有端口(所有协议)的数据。技术和前述的技术类似。

3、云访问安全代理

a、提供API,EDLP等其他DLP组件可以调用云厂商提供的API识别敏感数据,以及这些敏感数据的流动。这主要看云厂商提供了哪些API;

b、作为反向代理形态提供DLP功能,主要是保护敏感数据从云上非法下载到其他设备;

c、作为前向代理形态,主要是保护敏感数据非法上云;

d、其实还有一种场景文中没明确提到,就是云迁移。执行云迁移操作时,数据会被整体迁移到当前云厂商其他的云服务或者其他云厂商的云服务,敏感数据也就随之被迁移过去。这个需要对云迁移操作进行管控,当然也可以结合a)中提到的API进行综合管控。

4、终端安全

终端对于数据防泄漏(DLP)是重中之重,无论什么样的数据泄漏,大部分和终端有关。文中列举了5项敏感数据从终端泄漏的途径:

a、通过USB磁盘或者打印机泄漏:这是常见的泄漏方式,终端用户把数据复制到U盘或者打印出来。对于终端DLP的要求,一方面是发现即插即用设备(U盘),及时加以拦截;另一方面是识别打印的内容是否命中检测规则,并进行拦截或放行;

b、读取本地存储:当终端DLP检测到本地存储的文件被读取的时候,需要触发并实施DLP检测规则。这里既要考虑读取文件,也要考虑直接读取磁盘上的数据块;

d、浏览器:理论上不止是浏览器,应该包括所有的网络流量。但是对于终端来说,如果检测所有的网络流量会占用很大资源,但终端上对Agent所占资源是有限制的,所以大部分网络流量的检测应该在应用防火墙(WAF)或者邮件安全网关(或邮件代理)上实现。

d、剪切板:我认为一方面对复制到剪切板上的数据直接拦截;另一方面检测到剪切板上如果包含敏感数据,记录敏感数据的传递关系,对目标文件进行标记。

我认为,数据在终端层发生泄漏,主要分为以下两种情况:

a、操作人员主动泄漏:操作人员违反规则将数据复制到U盘或者打印,或者经过网络传输到其他地方;

b、终端被木马、病毒等渗透后发生的数据泄漏。

5、防火墙

这里的防火墙主要指的是应用防火墙(WAF),由于应用防火墙需要解析每一种协议的数据,因此可以在防火墙上识别和跟踪敏感数据的流动;但防火墙有两点局限性:

a、如果要进行全面跟踪敏感数据的流动,需要在不同位置部署防火墙。比如,如果只部署到边缘节点,就无法跟踪到敏感数据在组织或企业内部的流动情况;

b、之前的防火墙只能告警,不会做阻断。不确定现在的应用防火墙能不能配置阻断相关的操作。

六、Market Recommendations(市场建议)

a、对于用户,首先要确定自己组织或者企业已经实施的安全产品(包括SEGs、SWG、CASB和防火墙等工具和云服务)中已经有的DLP功能,利用这些功能提升自身对数据防泄漏(大一点说是数据安全治理)相关概念的理解和相关经验的积累;

b、文中还是推荐使用EDLP,尤其是在资源和能力有限的情况下。一方面避免使用不同厂商DLP产品互相融合的问题;另一方面由于本身的资源或者能力的不足,不一定能同时驾驭这些产品;

c、要从不同维度,不同层面对数据进行分类,明确本组织或企业数据防泄漏(或数据安全治理)的目标。这里的目标包括长期目标、分阶段目标,也包括每个业务层面的目标等。归根结底要做到目标的细化;

d、要根据细化的目标,定义流程;

e、推荐使用咨询服务和托管服务,请专业的公司做专业的事。