大约一年半前,总部位于加州的Westamerica银行的信息安全官Mark Jackson开始为该区域性社区银行寻找数据丢失防护产品,因为一名金融管理局审计员建议该银行使用这种技术来管理内部威胁。
在2011年9月,Jackson开始使用Websense公司分阶段推出的的企业版Triton,这是针对电子邮件、Web和数据的三合一安全产品,它在网络和端点提供数据丢失防护(DLP)保护。Jackson监控Westamerica银行的生产过程以及办公总部互联网的安全,DLP技术帮助Jackson监视某些危险的员工行为。
Jackson表示,虽然该产品需要有专人来“照料”,不过他认为需要的时间不是为了维护,而是学习威胁和了解该产品的全部功能:“我并没有充分发挥它的能力。”他希望有人来帮助他监控该技术,并发挥其全部的功能。当Jackson第一次安装该系统时,他通读了预定义政策,并根据Westamerica银行的需求,对这些政策进行了调整和增加新政策。他一直在监视着这个系统,更新政策和添加新机器到网络中。
在这方面,Jackson并不孤单。专家称,部署DLP技术的企业需要亲手实践,有策略地部署这些技术,并确保政策是可行的。同时,成功的部署还需要充分了解企业环境、公司的风险承受能力,以及企业面对的特有的威胁。Forrester研究公司面向安全和风险专业人士的首席分析师John Kindervag表示,首席信息安全官从一开始就应该积极对待DLP部署。“机器并没有感知,你必须告诉设备要寻找什么。”
DLP是有着很多名称、版本和观点的技术。随着越来越多的供应商加入到DLP的“游戏”,考虑部署该技术的企业必须对技术和供应商进行评估,以确保所选产品适合他们的环境。DLP,也被称为数据泄露防护、数据丢失防护、外泄防护、内容过滤或信息丢失防护,这种技术是很多信息安全工具的集合,以防止用户发送敏感或关键信息到企业网络之外。
该技术已经存在了近十年,虽然在很多方面,它仍然属于“青少年”技术,但总体而言,该技术已经发展成熟,变得更有效和更有用。不过,Kindervag表示,用户对于该技术的态度需要调整。在《反思DLP:Forrester DLP成熟度方格》中,Kindervag称,安全专业人员需要重新思考,将DLP作为持续的过程,而不只是一个产品。该报告于2012年1月由Forrester发布,于2012年9月更新。
分析师表示,早期DLP产品都试图成为“万能”解决方案,确保企业符合行业规定,但最终却暴露了糟糕的业务做法。Forrester公司高级分析师Rick Holland表示,早期部署者很快就发现敏感信息被放置在网络上的位置数超出预期,IT人员不知道谁负责什么数据,什么破坏了DLP解决方案的有效性。出现这种混乱是因为公司试图在短期内使用DLP做太多工作。
Kindervag表示,如果企业在部署前没有定义必要的程序和政策,他们将会遇到各种问题。Kindervag认为DLP成熟度的五个阶段是:数据发现、数据分类、数据整合、DLP政策设计和DLP政策执行。这五个分类可以帮助企业确定更有效的DLP过程。通过使用这个Forrester成熟度方格,首席信息安全官可以评估其公司使用DLP工具的水平,以及供应商的DLP计划发展如何。
Kindervag还建议安全专业人士在部署DLP解决方案之前,对敏感信息进行盘点和分类。然后,他们可以确定哪些信息必须得到保护以及哪些企业用户行为必须被阻止,从而根据企业需要来部署DLP工具。