深度分析| 資料防洩露技術再次“翻紅”的思考與建議

此文章由天空衛士供稿

01

資料防洩露的定義

資料防洩露（Data leakage prevention，DLP）是指透過一定的技術和管理，防止組織內敏感資料或資訊資產，違反安全約束而喪失組織控制、破壞資料機密性的策略和措施。資料防洩露技術是防止資料洩露的技術措施和方法，是保護資料機密性、完整性、可用性的重要技術。資料防洩露技術主要涉及資料儲存、資料流轉、資料傳輸等環節的資料安全保護。

隨著數字經濟的發展，資料已成為重要生產要素之一，資料安全直接關乎國家安全與社會經濟發展，資料資產安全保護和資料防洩露技術產品應用和產業化發展備受社會普遍關注。

0

資料洩露事件不斷，DLP技術再次“翻紅”

DLP並不是最新的技術。 十多年前，關於資料安全的主流技術有兩種，一種是資料加密，另一種就是資料防洩露（DLP），但是這些年一直髮展得 不溫不火，直到《資料安全法》的出現，資料安全被充分重視，DLP產品再次翻紅。 原因有以下幾點：

1.資料洩露事件層出不窮

IBM Security的一項研究報告顯示，在2021年，統計的企業平均每起資料洩露事件成本為424萬美元，是自2004年來的最高值。資料規模暴漲，戰略價值提升。在企業數字化轉型的過程中，業務的核心驅動是資產化的資料。這些資產化的資料，是企業高度依賴甚至決定企業業務戰略可實現性的關鍵元素。資料己成為一種能夠影響國家戰略決策的戰略資源，誰掌握了更多、更有價值的資料，誰就掌握了未來的主動權。

2.新技術、新應用的出現導致傳統的安全邊界失效

傳統的資料安全保護方式是基於“邊界”， 透過防護牆、IPS、IDS等方式保護邊界內的資料安全。但是網際網路、5G的發展與廣泛應用導致企業安全邊界消失，資料處於無邊界的分佈狀態，資料安全存在極大的隱患。

3.資料流動性增強，資料安全風險激增

資料的共享、流動已經成為必然的趨勢，而資料的大量流動帶來更多的風險，所以不能再使用靜態的隔離保護措施來控制風險，這種流動的資料環境對資料安全的體系提出了新的要求，尤其是應用系統中的資料。由於無法提前感知資料風險，通常只能在資料洩露之後做事後審計，無法對資料洩露已經造成的損失進行彌補。

03

DLP技術發展難點

1.資料識別方式單一

單純的資料安全防護體系，僅僅關注資料的內容，能夠實現資料的視覺化、可控等功能，但往往都忽略了資料的另外一個很重要的屬性—員工操作行為的風險性，而無法實現對於員工資料操作行為的視覺化，也無法從大量的使用者和事件中定位高風險使用者、高威脅事件，存在安全保護盲區。

2.資料洩露途徑防護不全面

DLP在國內外已經是非常成熟的技術，但是在資料洩露渠道防護上並不全面。常見的有資料防洩露產品有終端資料防洩露、網路資料防洩露、儲存資料防洩露，但是資料的流轉和儲存的途徑遠不止於此，比如郵件、手機、應用、雲端，這些被忽略的位置，往往成為資料洩露的重災區。

資料安全應該基於資料流轉的全通道進行防護，比如網路資料防洩漏、終端資料防洩露、應用資料防洩漏、儲存資料防洩漏、手機防洩漏。

3.傳統的資料安全理念成為阻礙

▼隔離阻礙了資料的流通

網路隔離、虛擬桌面、沙盒等手段會阻礙在數字化轉型下的資料大量共享、使用和傳輸，或阻礙業務，或完全放開。

▼全量資料保護等同於無保護

資料無法進行全量保護或者不保護，成本投入和管理能力都會遇到巨大的挑戰，識別並按照資料分類分級進行保護才是正確方式和手段。

▼基於單一位置保護資料

敏感資料無論是在終端、郵件、上傳、應用處理、第三方交換、跨域傳輸、SaaS、IaaS等任何位置，都是敏感資料，因此，資料安全的覆蓋面從能力上應當是覆蓋企業IT全貌。

4.資料安全與業務發展之間難以平衡

傳統的Web安全解決方案對於網路威脅往往需要使用防病毒閘道器、Web行為管理、網路DLP、流量解密閘道器等裝置來協同解決，不僅僅成本高昂，部署、使用和管理也比較麻煩。隨著資料量的增多，大量檢測任務會耗費裝置更多的效能，導致業務的可用性降低，系統經常陷入癱瘓。

04

DLP技術產業落地情況

1.全球DLP市場統計

資料洩露防護作為資料安全領域中的關鍵產品，經過多年的發展已經成為了使用者資料安全建設的剛需。根據 IDC 全球資料洩露防護市場預測，到2025年，全球資料洩露防護的市場規模將超過18億美元，2020–2025年複合增長率將達到9.1%。2021年中國 DLP 市場規模為1.25億美元，相較於2020年同比增長 39.2%。

2. D LP國產化的落地

早期我國資料洩露防護市場主要使用賽門鐵克、WebSense、McAfee等國外企業的產品。隨著國產 DLP 產品在功能、效能和安全性等方面的不斷提升，近六成受訪企業已經應用了國內廠商的 DLP 產品。

3 .國內企業DLP的使用

2022年5月31日釋出的《資料防洩露（DLP）選型指南》報告指出：

88.31%的受訪企業部署了一種或多種資料防洩露產品，其中以終端防洩露產品為主，佔比高達 80.52%。50%左右的企業採用了網路防洩露和郵件防洩露產品。目前DLP技術體系中應用較為成熟的終端 DLP、網路 DLP、郵件 DLP。許多DLP供應商還提供資料分類服務，這對DLP的成功實施至關重要。

4 .落地趨勢演進

資料洩露防護產品正在從相對獨立的資料安全防護單品向整合化的資料安全管理平臺演進。DLP 產品作為企業實現資料安全治理的重要能力支撐，將與包括資料發現、資料分類分級、資料脫敏、資料訪問控制等諸多資料安全元件或工具配合，共同幫助企業打造資料全生命週期安全治理的統一管理平臺。這在很大程度上也對於技術提供商的資料安全整體方案的規劃和實施能力提出更高要求。

05

資料防洩漏措施的實施建議

1.  建立全I T 架構體系的企業級D LP

DLP產品分為兩個型別：企業級DLP和整合DLP。企業級DLP技術專注於防止敏感資料丟失並實現多資料通道防護的全面覆蓋，整合式DLP解決方案則是在其他非DLP裝置中提供有限的DLP功能。

企業級DLP透過動態平衡資料安全與業務風險，建立持續、自適應的資料安全防禦體系，幫助企業構建完善的資料防洩露解決方案，保護資料資產安全。而完善的資料防洩露解決方案必然貫穿於資料生命週期的全過程，提供對整個組織的網路、郵件、資料庫、移動應用、端點、內部業務應用的全IT架構覆蓋，在統一的資料安全策略下保護組織的核心資料資產。

2.資料防洩露技術與威脅檢測相整合

DLP可以整合高等級別資料風險掃描引擎，採用 “本地+雲端”實時查殺技術，實時應對最新的病毒、木馬、網路威脅、未知威脅等，在威脅到達網路之前進行攔截，全方位持續地保護企業網路安全。

3.資料防洩露技術與資料安全治理相結合

而資料資產的防洩露，就是資料安全治理流程體系所輸出的能力檢驗標準之一，也是業務資料安全建設的關鍵技術支撐能力。所以做資料安全治理必須首先建設資料防洩露體系。

4.人工智慧與行為分析加入資料防洩露體系

將行為分析技術與資料保護體系相結合的主動、持續、自適應的防禦體系，在實現資料安全保護功能的基礎上，能夠根據使用者的操作行為，實現使用者行為的視覺化，判斷每個使用者的風險等級並快速定位風險使用者和高危威脅事件，預測可能會發生的威脅風險事件，防患於未然，從而實現智慧化、自動化、高效率的主動防禦。

5. 建立 資料安全治理的自動化平臺

圍繞著企業在資料安全的現狀及痛點,越來越多的資料安全自動化相關的處理工具，包括資料建模、資料分類分級、資料識別等自動化輔助工具將協助企業在建立資料安全治理的制度後,將制度更有效地實施。系統透過自動化的工作流,將不同的資料安全技術工具實踐結合在一起,為資料安全治理提供了一個完整、可落地的資料安全治理解決方案。

（本文作者：北京天空衛士網路安全技術有限公司 張文禮）