我跟我的同事从2005年就开始逐步意识到信息战的最后阵地实际上是信息,也就是说我们不管网络边界在什么地方,我们也不用去管黑客是怎么进来的,最后我需要守住的是信息或者数据这个阵地,只要这个阵地没丢,还不算一败涂地。
我们在做的主要工作是让黑客没有办法带着敏感数据逃离网络。从2005年开始,我们主要做数据加密。有几年我们觉得做完加密后问题就不大,但随着现在APT攻击越来越多,数据加密只能在很大程度上增加攻击成本,但是很难百分之百的防住APT攻击。我们甚至遇到过这样一种情况,就是有了加密,反而放松了警惕,带来了另外的一些安全问题。
所以后来我们又做了DLP方面的工作。简单来说,DLP有几个关键词,一个是策略,就是定义好什么是敏感信息;然后是发现,在终端、网络上自己主动的发现和挖掘敏感信息存在于哪些地方;然后是监控,进一步监控这些PC、移动终端和网络上的所有敏感信息的流动,通过对敏感信息、敏感操作的监控,来发现可疑行为,进行报警或者阻断,或者是采用加密的手段对敏感信息进行加密,或者是通过其他的一些企业内控的方法来解决这个问题;最后是优化,优化管理规范。
网络DLP实际上首先是远程报文获取,并且把所有文件的所有协议解析出来。这个时候我们尤其关注用户往外发的邮件,在文本解析引擎里面进行判断、识别,看有没有敏感信息,再根据策略来判断是不是属于敏感事件。企业的信息安全建设方面,现在应该是设备比较多,但是终端上的软件相对少一点,而防御APT需要在终端上多花心思,所以我们在终端上关注了很多目标,包括:和内容相关的文件名、文件内容、文件的特征甚至是一些数据块的内容,拷贝粘贴的内容、QQ截图、图片的内容等等,这些都是关注的目标,都是和行为相关的敏感行为。
对敏感操作的监控也包括冷数据的激活。什么是冷数据呢?每个人的电脑上都会有过去的一些重要文档,而我们现在可能不会打开这些文档几次。但是,在某些特殊的情况下,这些文档被密集的访问了,这就很有可能说明有APT攻击发生了,因为攻击者做的第一件事就是检索一下受害者的电脑上有什么敏感信息,这时候他必然会密集的访问以前的数据。还有对应用的深度分析,比如对非关联程序访问文件,会做一些控制,举个例子,DOC文档通常是由Word和WPS来打开,如果有其他的进程来访问DOC文档,就可能存在风险。
我们不仅关注敏感操作,还关注常规行为。比如大多数人都用某一个进程,这个进程执行的某个操作是一样的,但是有少数几个人的操作有异常,连接到一个异常的服务器上,这种非常规行为分析对挖掘APT攻击也有一定的作用。