在我的故事開(kāi)始時(shí)，我想指出 DLP 系統(tǒng)不應(yīng)被視為解決僅與人員安全相關(guān)的狹窄范圍問(wèn)題的東西。如今，DLP 系統(tǒng)正在解決范圍廣泛的任務(wù)，包括合規(guī)、風(fēng)險(xiǎn)管理、反腐敗、人員和企業(yè)內(nèi)部安全。

人員安全和信息安全

人員安全是DLP的主要任務(wù)之一。這些工具有助于降低與員工粗心行為以及惡意內(nèi)部活動(dòng)相關(guān)的風(fēng)險(xiǎn)。許多公司已經(jīng)擁有內(nèi)置的信息安全生態(tài)系統(tǒng)，但如果內(nèi)部人員有效工作，即使是成熟和完善的系統(tǒng)也面臨風(fēng)險(xiǎn)。因此，人員安全如今發(fā)揮著越來(lái)越重要的作用。

公司安全高度依賴于三個(gè)安全領(lǐng)域：信息、人員和網(wǎng)絡(luò)。如果安全問(wèn)題涉及技術(shù)問(wèn)題，例如如何穿透數(shù)據(jù)存儲(chǔ)，那么這就是網(wǎng)絡(luò)安全問(wèn)題。當(dāng)我們談?wù)撊藗兊男袨闀r(shí)，這就是人員安全。最后，如果任務(wù)與業(yè)務(wù)流程相關(guān)，那么這就是信息安全。

只有通過(guò) IT 部門(mén)、信息安全和人力資源團(tuán)隊(duì)之間的適當(dāng)互動(dòng)，才能實(shí)現(xiàn)高效對(duì)抗安全威脅。因此，DLP 正在成為連接所有業(yè)務(wù)保護(hù)領(lǐng)域的日益全面和集成的工具。

為了得到更好的保護(hù)，您不僅應(yīng)該考慮實(shí)際風(fēng)險(xiǎn)，還應(yīng)該考慮潛在威脅。因此，收集數(shù)據(jù)、正確分析數(shù)據(jù)并隨后得出正確結(jié)論至關(guān)重要。

人員安全風(fēng)險(xiǎn)

DLP 工具解決的主要風(fēng)險(xiǎn)是數(shù)據(jù)泄露、欺詐、為競(jìng)爭(zhēng)對(duì)手工作的員工等。這些主要風(fēng)險(xiǎn)主要與經(jīng)濟(jì)領(lǐng)域有關(guān)。然而，DLP 是信息安全的“瑞士刀”，其功能可以連接各種任務(wù)。

DLP 系統(tǒng)可幫助公司規(guī)避主要與財(cái)務(wù)和聲譽(yù)相關(guān)的風(fēng)險(xiǎn)。但是，對(duì)于政府組織，情況就不同了。后者處理戰(zhàn)略數(shù)據(jù)，損害會(huì)嚴(yán)重影響整個(gè)國(guó)家。因此，DLP 在公共部門(mén)變得至關(guān)重要。

人員安全領(lǐng)域正在發(fā)生變化。以前，我們必須主要處理由于疏忽造成的事件——絕大多數(shù)情況過(guò)去都是無(wú)意的。今天，我們看到惡意的急劇變化。

主要作為潛在風(fēng)險(xiǎn)存在的風(fēng)險(xiǎn)現(xiàn)在已經(jīng)成為現(xiàn)實(shí)。到目前為止，許多中型公司認(rèn)為他們不需要特殊保護(hù)，因?yàn)樗麄儧](méi)有重要或敏感的信息?，F(xiàn)在他們面臨這樣一個(gè)事實(shí)，即員工有目的地策劃惡意行為。員工通常是攻擊的組織者或參與第三方組織的行動(dòng)。此外，外部參與者在員工的設(shè)備上安裝手機(jī)跟蹤應(yīng)用程序并以不知情的方式使用它們的情況并不少見(jiàn)——“盲目地”。

早些時(shí)候，惡意意圖通常僅限于惡作劇或報(bào)復(fù)。破壞活動(dòng)也很普遍?，F(xiàn)在，任務(wù)是真正突破邊界并掌握機(jī)密數(shù)據(jù)。

對(duì)于 DLP 系統(tǒng)，這會(huì)產(chǎn)生新的因素和評(píng)估。有必要考慮員工的工作地點(diǎn)和他們的職位在安全方面的關(guān)鍵意義的級(jí)別。

DLP系統(tǒng)在人員安全中的使用實(shí)踐

應(yīng)通知員工有關(guān)引入的安全控制。他們還提供一攬子文件以供簽署。員工必須了解所收集的數(shù)據(jù)屬于信息安全領(lǐng)域，可以在法庭上使用。

例如，在 DLP 的幫助下，可以通過(guò)向員工發(fā)送包含商業(yè)機(jī)密的文件和屏幕截圖來(lái)證明員工為競(jìng)爭(zhēng)組織的利益做了某事。當(dāng)員工使用公司設(shè)備謀取私利時(shí)，也可以挖掘證據(jù)。

從技術(shù)角度來(lái)看，該系統(tǒng)看起來(lái)盡可能簡(jiǎn)單。有端點(diǎn)和網(wǎng)關(guān)收集有關(guān)合法和非法事件的數(shù)據(jù)。為了響應(yīng)合法事件，必須創(chuàng)建特殊規(guī)則。

DLP系統(tǒng)的問(wèn)題

主要的人員安全風(fēng)險(xiǎn)來(lái)自惡意內(nèi)部人員。除了內(nèi)部人士，還有與特權(quán)用戶相關(guān)的風(fēng)險(xiǎn)。DLP 可以從公司所有部門(mén)收集用戶數(shù)據(jù)。但是，這需要高能力和正確設(shè)置 DLP 規(guī)則。

在實(shí)施 DLP 時(shí)，應(yīng)注意 DLP 系統(tǒng)的運(yùn)營(yíng)商。他們可能會(huì)遇到個(gè)人信息，并且在處理這些數(shù)據(jù)時(shí)必須了解他們的責(zé)任。

安全團(tuán)隊(duì)過(guò)度關(guān)注 DLP 系統(tǒng)工作的技術(shù)部分。同時(shí)，很少注意與人合作。因此，必須了解攻擊者也是人。正確解釋他們的行為和及時(shí)的預(yù)防措施將使您能夠建立有效的對(duì)策。

同樣值得關(guān)注的是不同公司使用 DLP 的文化差異。并非所有客戶都與 DLP 供應(yīng)商分享他們的問(wèn)題。供應(yīng)商可以協(xié)助選擇有助于識(shí)別問(wèn)題根源并找到解決方法的規(guī)則。但是，許多客戶不共享此類(lèi)信息。原因可能不同。首先是信息可以被歸類(lèi)為嚴(yán)格機(jī)密（在某些組織中，這是國(guó)家機(jī)密）。但我們經(jīng)常處理公司中特定的安全文化。很少有公司堅(jiān)持開(kāi)放，大多數(shù)公司更愿意盡可能地封閉。

一些 DLP 客戶并不認(rèn)為 DLP 是一個(gè)需要定期修改控制規(guī)則以解決新問(wèn)題的“活”系統(tǒng)。相反，他們認(rèn)為 DLP 是一種自動(dòng)工具，在安裝過(guò)程中只需設(shè)置一次，無(wú)需再次觸摸。

學(xué)習(xí)使用 DLP 系統(tǒng)

應(yīng)特別注意培訓(xùn)和學(xué)習(xí) DLP 系統(tǒng)操作規(guī)則的問(wèn)題。例如，誰(shuí)以及何時(shí)可以成為 DLP 系統(tǒng)的操作員或分析員？這個(gè)話題相當(dāng)熱門(mén)，尤其是對(duì)外包的興趣越來(lái)越大。

沒(méi)有專(zhuān)門(mén)的課程或教材可以全面學(xué)習(xí)DLP操作規(guī)則。相反，大學(xué)只教授經(jīng)濟(jì)安全。該知識(shí)不適用于 DLP。基本上，培訓(xùn)在 DLP 供應(yīng)商開(kāi)設(shè)的專(zhuān)門(mén)中心進(jìn)行，這些中心教授如何使用他們的系統(tǒng)。當(dāng)員工自己獲得經(jīng)驗(yàn)時(shí)，其余的培訓(xùn)以自學(xué)模式進(jìn)行。

很多時(shí)候，前執(zhí)法人員被招募與 DLP 合作。但是，只有他們了解收集到的信息的價(jià)值，并且對(duì)工具、方法和場(chǎng)景有經(jīng)驗(yàn)。不幸的是，完成經(jīng)濟(jì)安全培訓(xùn)的普通畢業(yè)生對(duì) DLP 幾乎沒(méi)有用處。

DLP 神話

關(guān)于 DLP 工具一直有很多神話。神話源于對(duì)系統(tǒng)運(yùn)作缺乏了解和原始恐懼，甚至經(jīng)常由其他人表達(dá)。但是，當(dāng)您深入研究 DLP 系統(tǒng)的結(jié)構(gòu)及其原理時(shí)，所有的神話都會(huì)自行消除。以下是一些神話：

• 十年前，您可以聽(tīng)到員工談?wù)撘?DLP 后出現(xiàn)的嚴(yán)重?fù)?dān)憂。仍然有一種觀點(diǎn)認(rèn)為，DLP 是許多員工的私人敵人，因?yàn)樗鼤?huì)監(jiān)視他們并侵犯他們的隱私。
• 其他神話也出現(xiàn)了。關(guān)于 DLP 系統(tǒng)的“高”成本有一個(gè)公認(rèn)的神話。
• 關(guān)于 DLP 安裝的過(guò)度復(fù)雜性以及開(kāi)箱即用的不可能，還有一個(gè)令人討厭的神話。
• 在啟動(dòng) DLP 的初始階段，已經(jīng)發(fā)布了數(shù)百個(gè)安全事件，嚇壞了許多商業(yè)領(lǐng)袖。結(jié)果，人們認(rèn)為 DLP 很難使用并且害怕使用這個(gè)系統(tǒng)。
• 對(duì)于 DLP 系統(tǒng)的過(guò)度資源消耗，也有一個(gè)公認(rèn)的判斷。“他們將關(guān)閉網(wǎng)絡(luò)上的所有計(jì)算機(jī)”——這樣的話經(jīng)?？梢月?tīng)到。
• 還值得注意的是，DLP 系統(tǒng)供應(yīng)商可能會(huì)使用其客戶的數(shù)據(jù)，從而給公司帶來(lái)風(fēng)險(xiǎn)。
• 最危險(xiǎn)的神話是 DLP 系統(tǒng)據(jù)稱可以在安裝后自行提供安全性。但安全主要是處理安全問(wèn)題的稱職員工。DLP 只是一種用于安全目的的工具。

同樣，正確評(píng)估您的風(fēng)險(xiǎn)和需求、與供應(yīng)商密切合作以及正確實(shí)施 DLP 將有助于消除所有誤解。

改進(jìn) DLP 系統(tǒng)的技術(shù)

DLP 的未來(lái)前景主要與引入行為分析（UBA和UEBA）有關(guān)。此類(lèi)系統(tǒng)允許您對(duì)員工進(jìn)行評(píng)級(jí)，這有助于跟蹤風(fēng)險(xiǎn)并識(shí)別和預(yù)防嚴(yán)重事件。

與 UBA 和 UEBA 的集成允許員工裁員預(yù)測(cè)和識(shí)別數(shù)據(jù)積累以將其帶到外圍。UBA 和 UEBA 還可以通過(guò)識(shí)別與計(jì)劃詆毀公司或檢測(cè)員工不忠行為相關(guān)的業(yè)務(wù)流程中的違規(guī)和異常情況來(lái)幫助改進(jìn) DLP。

在標(biāo)準(zhǔn) DLP 框架內(nèi)解決這些問(wèn)題具有挑戰(zhàn)性，因?yàn)闆](méi)有與此類(lèi)事件相關(guān)的明確安全事件。然而，新技術(shù)使得更準(zhǔn)確地預(yù)測(cè)各種風(fēng)險(xiǎn)情況的發(fā)展成為可能。

目前，UBA 還沒(méi)有真正“起飛”，因?yàn)檫@個(gè)話題有很多猜測(cè)。供應(yīng)商害怕跟不上市場(chǎng)趨勢(shì)，嘗試添加 UBA 功能，但在缺乏實(shí)際專(zhuān)業(yè)知識(shí)和獨(dú)特研究的情況下，他們收效甚微。

以目前的形式實(shí)施 UEBA 也很棘手，因?yàn)樵趯?shí)踐中，有太多不同的格式。而且，UEBA機(jī)制的結(jié)果過(guò)于依賴數(shù)據(jù)源，稍有變化就會(huì)立即導(dǎo)致結(jié)果的差異。因此，首先需要對(duì) UEBA 的輸入數(shù)據(jù)進(jìn)行形式化。這將提供正確的分解。

人員安全系統(tǒng)發(fā)展趨勢(shì)

DLP 客戶總是希望有一個(gè)大紅色按鈕。通過(guò)單擊它，客戶希望立即獲得結(jié)果。這是理想的目標(biāo)。DLP 供應(yīng)商才剛剛開(kāi)始使用它。當(dāng) DLP 系統(tǒng)可以處理大量復(fù)雜數(shù)據(jù)時(shí)，我們將使用它。

很多事情已經(jīng)在做。預(yù)計(jì)人工智能的自動(dòng)化水平和廣泛使用將很快提高。運(yùn)營(yíng) DLP 的人工成本將會(huì)降低。更好地識(shí)別事件并自動(dòng)化配置和策略設(shè)置將成為可能。機(jī)器應(yīng)該完成工作的中心部分。DLP 官員將只參與決策，而不參與技術(shù)問(wèn)題。

從技術(shù)發(fā)展的角度來(lái)看，DLP 將走向與其他安全解決方案的集成。例如，DLP 有望與DCAP、UBA 和 UEBA 集成。整合已經(jīng)邁出了第一步。例如，在SIEM產(chǎn)品中積極使用 DLP 日志來(lái)評(píng)估事件的相關(guān)性。