投递文章
投稿指南
最终,心怀不轨的人要收集个人可识别的信息。这些信息的例子包括能够用来进行身份证盗窃的邮件地址、社会保险号码和信用卡信息。遗憾的是,能够用来窃取账号和或者以他人的名义获取信用卡的信息有庞大的市场。TJX公司是阐明隐私数据丢失的潜在后果的Rouges数据库之王。
数据泄漏的另一个大来源是知识产权。我们都熟悉DuPont公司商业机密被盗窃的情况。但是,还有数百起没有被发现的商业数据盗窃事件,因为机构要保持宁静。所有的企业的知识产权有很大一部分都数字化了。因此,在任何时候,恶意的或者可疑的员工都能够把信息下载到移动介质中,或者把数据作为电子邮件的附件发出去。你的数据就这样泄漏了。
由于这个赌注是明显的,我们能做什么来保护“外发的”内容呢?首先要采取多方面的方法。这些方法包括培训,也就是提醒员工执行机构的政策以及不遵守这些政策可能产生的后果。
不过,第一个步骤还不是培训,而是要确定你要保护什么。这就意味着要查找和调查你的机构中的数据,定义谁可以使用什么数据和理由。简单地找到数据是有帮助的,因为机构流程通常能够帮助消除许多容易忽略的泄漏点。
好了。由于敏感的数据已经找到了并且已经确定了哪些数据要特别保护,接下来就是技术问题。在数据泄漏之前,有许多技术能够识别敏感的数据。有效的产品和失败的理解之间的差距是准确的。错报太多,意味着你标记的数据实际上并没有违反规定,你太恐慌了。漏掉报警,意味着数据泄漏,你还是太恐慌了。这个目标是不要恐慌,因为上面两种情况都浪费许多时间和金钱并且不能阻止数据泄漏。下面只是一些可以使用的粗浅的(肯定不是全面的)技术:
·正则表达式(RegEx)--RegEx是最简单的检测技术。这种方法仅包括查找符合社会保险号码、电话号码等格式的数据。然而,恶意攻击者只要改变数据流的格式就可以绕过这种技术/
·词典--有许多常用词,特别是在健康医疗行业,如诊断代码。网关产品使用词典具体指出至少应该调查的敏感的数据。
·指纹技术--许多厂商在自己的设备中使用高级算法筛选机构的敏感数据应该是什么样子。这些产品检查人们认为是敏感的数据,开发一种数据的指纹,并且查找类似于敏感数据的其它类型的数据。
·启发式知识--还有主要用于反垃圾邮件的技术也可以用来对外发的数据进行过滤。例如,利用启发式知识训练设备了解什么是好的,什么是坏的。这个技术与指纹技术类似,但是没有那样高级。
·接近匹配--对数据使用一种接近匹配公式以提高准确性的方法。这种方法不仅要查看某些词汇,而且还要查看这些词汇相互之间是如何使用的。这种方法有助于识别发送者内容,而不是每一次发现某种类型的数据之后都发送一个标记。
现实是每一家厂商或者每一种技术都以某种方式使用上述全部技术,也可能使用许多其它技术。为了把事情搞复杂,他们将使用不同的语言解释同样的方法。这就意味着在确定什么产品能够为你的环境提供最佳的外发内容过滤方面,它是一种不准确的科学。唯一的方法是在你实际通讯中使用的设备上测试几种方法(也就是1至3种方法,不是5种或者10种方法)。
是的。这种方法要消耗大量资源,耗费你可能没有的大量时间。但是,你真的能够在准确性方面让步吗?不能有让步的机会。因此,你第一次就要搞正确,或者审计人员将确认你的继任者能够做好。
最后,确定一种单独的设备是否更有意义或者这种内容安全能够是否应该集成到另一种设备中,如电子邮件网关或者统一威胁管理设备。答案是两者都可以。决策点更多的是关于你的机构中的政策、规模和复杂性,而不是从技术观点出发的任何其它事情。
如果你确定你的机构的风险95%来自于潜在的电子邮件泄漏,那么,在现有的电子邮件安全设备中使用外发过滤功能将能够满足要求。如果一家公司有许多复杂的CAD/CAM图纸或者药品化合物,那么,只有使用一种不仅能够具体跟踪有关文件共享和数据库的数据,而且还能够跟踪有关端点设备数据的产品才有意义。
不要忽略规模的支流。在相对小的环境中,现有周边网关的网络和电子邮件过滤能力应该能够满足要求。但是,在大型企业,一种专用的外发内容安全平台可能是一种更合适的选择。大型企业网络有数不清的出口,并且在地理上分散到许多地方,1GB网络已经是昨天的新闻了。
展望未来,外发的内容过滤和泄漏保护技术也许能成为周边平台和端点安全套装软件的一种功能。但是,现在还不清楚这是否容易做到,特别是在大型企业。为什么?这完全是有关政策的一致性的问题。如果不同的技术保护一个环境的不同方面,那么,强制执行一致的政策是很难的。
与我们要在安全行业中解决的其它问题一样,没有任何万灵药或者一种通用的解决方案。你不能走到一个商店的角落,挑选一个内容过滤设备。目前最佳答案是采用一种流程,帮助你确定数据在什么地方,需要保护什么,以及哪些技术组合最适合你的机构的需求。
