WESTCON TW9月13日雲地協同保護企業資料安全:Symantec DLP的零信任防護策略大解析零信任時代做好資料保護,將DLP與人員、流程及安全意識培訓整合才是關鍵許多企業導入了DLP資料外洩防護解決方案,但是仍然無法避免重要資料外洩,導致公司名字登上新聞版面。從資料外洩調查報告來看,資料外洩的原因主要來自外部攻擊者藉由竊取憑證及內部人員因網路釣魚或無意的將資料放在不適當的位置所造成,還有一部分是內部有心人士濫用權限或是系統錯誤配置造成資料外洩。由此可知,企業以為只要將DLP安裝完成後只要勾選幾個項目就以為DLP會就會自動看見公司的機敏資料進行防護,這是一般對DLP認知的盲點。正確的做法是企業在導入DLP解決方案過程中,需要調整目前的業務流程,將DLP納入流程內成為一個節點,同時對人員做好教育訓練加強資料安全意識,如此DLP工具的導入才會成功。人是公司最重要的也是最弱的一環,各種角色的人員培訓讓員工了資料或數據對公司的重要性,當大家都了解並認同後,配合強大完整的DLP工具才是全方位的資料保護方案與策略。 現今隨著企業IT架構的改變,資料保護的策略也須隨之調整。因為企業資料已不再只儲存在資料中心的伺服器上,而是分散在雲端或使用者行動裝置中。使用者存取企業資源也可能是從各地直接連線而未經過檢查,有的使用者為了提升工作效率還會自行使用各種未經公司准許的應用程式,再加上看到生成式AI所帶來的創新與效率,在這個過程中非常的容易將公司程式碼或營業機密資料上傳外洩。此外,企業還需面臨個資法或各種產業必須遵循的資料保護法規要求,這些都將造成資料管理上的一大挑戰。 因此,企業需要一套完整的包含地端與雲端的資料保護方案(如下圖),而Symantec DLP Core及 DLP Cloud 是最佳的解決方案,透過Symantec中央的DLP Enforce管理伺服器,讓在內網的使用者不管是使用電子郵件、上網、端點及放在Storage上等各個管道處理資料管道都能執行DLP檢測與攔阻,而所有攔阻事件的記錄也會儲存在中央資料庫並顯示在Enforce控制台中。而對於遠距工作者,透過DLP Cloud提供3種雲端偵測服務(CDS)能分別檢測客戶使用的雲端服務、電子郵件及上網的所有行為,此CDS能與Enforce伺服器同步執行一致性的政策,企業只要設定維護一套DLP政策就能全面適用。透過Symantec DLP Core 及DLP Cloud,企業用戶可對網路、存儲、端點和雲通道中的靜態數據和動態數據進行統一策略的資安控管。在企業內網(地端)的資料保護面來說多數企業已有解決方案,以下介紹Symantec DLP如何完整支援資料保護: 情境1:當遠距工作存取雲端應用服務時,如何確保端點安全不淪陷如果使用者是持有公司配發的設備,可以安裝 Symantec Enterprise Agent、Endpoint Security 或 WSS Agent來監控Internet流量,透過Cloud SWG、CloudSOC與DLP整合,使用者在存取任何SaaS或雲端應用就如同在內網一樣,不用擔心不慎中毒導致資料外洩。至於未納管的設備,使用者若需要用它來存取雲端應用,經過身分驗證後會被導向Web隔離區,在隔離區中亦可監控各種下載、郵件發送等操作行為。Symantec Agent可監控Internet流量並與DLP整合,遠距使用者可受到如同在內網一樣的資安保護。情境2:監控遠距工作各種未(已)准許的雲端服務使用行為現今很多企業已逐漸將IT搬遷上雲,員工也經常使用各種雲端工具,但若在Work from Home又使用未經准許的雲端SaaS服務時,很可能提升資料外洩風險。這時CloudSOC Audit的Shadow IT (影子IT是指未經同意或告知的非企業雲端軟體服務)偵測功能可以識別超過 45,000種應程式並提供風險評級可以幫且助企業阻擋高風險的雲應用服務,亦可提供企業評估雲應用程式的採用,CloudSOC Audit還可與Symantec Cloud SWG整合及匯入第三方次世代防火牆 log 整合了解目前公司裡正在使用的雲服務。至於若是使用公司准許的SaaS服務,可以使用CloudSOC Gatelet透過與Cloud SWG、Symantec Enterprise Agent連動,可檢查這些Web流量並定向到CloudSOC閘道,並根據公司DLP政策來監控應用服務的操作行為,目前已支援450種雲端服務。Symantec幫助用戶掌握遠距工作雲端服務使用行為的安全性,降低機敏資料外洩風險。情境3:運用ICA更精準識別高風險使用者許多時候資料外洩是因為用戶的登入憑證遭到竊取或破解,因此讓駭客得以藉其權限帶走資料。透過資訊中心分析(Information Centric Analytics, ICA)或CloudSOC Detect,企業可以透過風險分數來判斷是否為可疑的資料存取行為,如在異常的時間、或從異常的地理位置進行大量機密資料下載或共用。DLP可以進一步對具有高風險評分的使用者,將其資料庫存取權限更改為唯讀或禁止資料傳輸。 情境4:保持資料保護合規性 強大報表功能完整記錄事件企業受到越來越多來自主管機關或產業特定的資料保護要求,必須符合相關框架或取得認證。對此Symantec DLP預設提供多種法規檢測需求的資料保護政策範本,企業可藉由範本來進一步客製化設定自己的政策管理需求。政策設定好之後,出現違反機密資料政策的行為時必須有可追蹤性及問責制度,因此DLP的報表工具須能提供完整可見度,且違規事件的處理流程與所有採取行動也需完整記錄,後續企業可從系統或日誌中不斷改善及優化流程,也能透過API與第三方系統整合,最後與內部使用者相關的外洩事件能轉發到ICA,將相關行為模式列入ICA,讓Symantec DLP系統能不斷學習、更精準偵測。Symantec ICA可精準識別高風險使用者,落實資料外洩風險控管企業多年來努力提升安全防禦從網路到端點而最終的目的就是在保護重要的數據資料,但卻忘了也必要從資料流通管道及人員的安全意識好資料保護工作才能面面俱到,透過雲端地端及各種資料識別技術等高度整合的Symantec DLP平台,就能提供更好的資料防護,讓企業在零信任時代的資料保護工作能逐步落實。
零信任時代做好資料保護,將DLP與人員、流程及安全意識培訓整合才是關鍵許多企業導入了DLP資料外洩防護解決方案,但是仍然無法避免重要資料外洩,導致公司名字登上新聞版面。從資料外洩調查報告來看,資料外洩的原因主要來自外部攻擊者藉由竊取憑證及內部人員因網路釣魚或無意的將資料放在不適當的位置所造成,還有一部分是內部有心人士濫用權限或是系統錯誤配置造成資料外洩。由此可知,企業以為只要將DLP安裝完成後只要勾選幾個項目就以為DLP會就會自動看見公司的機敏資料進行防護,這是一般對DLP認知的盲點。正確的做法是企業在導入DLP解決方案過程中,需要調整目前的業務流程,將DLP納入流程內成為一個節點,同時對人員做好教育訓練加強資料安全意識,如此DLP工具的導入才會成功。人是公司最重要的也是最弱的一環,各種角色的人員培訓讓員工了資料或數據對公司的重要性,當大家都了解並認同後,配合強大完整的DLP工具才是全方位的資料保護方案與策略。 現今隨著企業IT架構的改變,資料保護的策略也須隨之調整。因為企業資料已不再只儲存在資料中心的伺服器上,而是分散在雲端或使用者行動裝置中。使用者存取企業資源也可能是從各地直接連線而未經過檢查,有的使用者為了提升工作效率還會自行使用各種未經公司准許的應用程式,再加上看到生成式AI所帶來的創新與效率,在這個過程中非常的容易將公司程式碼或營業機密資料上傳外洩。此外,企業還需面臨個資法或各種產業必須遵循的資料保護法規要求,這些都將造成資料管理上的一大挑戰。 因此,企業需要一套完整的包含地端與雲端的資料保護方案(如下圖),而Symantec DLP Core及 DLP Cloud 是最佳的解決方案,透過Symantec中央的DLP Enforce管理伺服器,讓在內網的使用者不管是使用電子郵件、上網、端點及放在Storage上等各個管道處理資料管道都能執行DLP檢測與攔阻,而所有攔阻事件的記錄也會儲存在中央資料庫並顯示在Enforce控制台中。而對於遠距工作者,透過DLP Cloud提供3種雲端偵測服務(CDS)能分別檢測客戶使用的雲端服務、電子郵件及上網的所有行為,此CDS能與Enforce伺服器同步執行一致性的政策,企業只要設定維護一套DLP政策就能全面適用。透過Symantec DLP Core 及DLP Cloud,企業用戶可對網路、存儲、端點和雲通道中的靜態數據和動態數據進行統一策略的資安控管。在企業內網(地端)的資料保護面來說多數企業已有解決方案,以下介紹Symantec DLP如何完整支援資料保護: 情境1:當遠距工作存取雲端應用服務時,如何確保端點安全不淪陷如果使用者是持有公司配發的設備,可以安裝 Symantec Enterprise Agent、Endpoint Security 或 WSS Agent來監控Internet流量,透過Cloud SWG、CloudSOC與DLP整合,使用者在存取任何SaaS或雲端應用就如同在內網一樣,不用擔心不慎中毒導致資料外洩。至於未納管的設備,使用者若需要用它來存取雲端應用,經過身分驗證後會被導向Web隔離區,在隔離區中亦可監控各種下載、郵件發送等操作行為。Symantec Agent可監控Internet流量並與DLP整合,遠距使用者可受到如同在內網一樣的資安保護。情境2:監控遠距工作各種未(已)准許的雲端服務使用行為現今很多企業已逐漸將IT搬遷上雲,員工也經常使用各種雲端工具,但若在Work from Home又使用未經准許的雲端SaaS服務時,很可能提升資料外洩風險。這時CloudSOC Audit的Shadow IT (影子IT是指未經同意或告知的非企業雲端軟體服務)偵測功能可以識別超過 45,000種應程式並提供風險評級可以幫且助企業阻擋高風險的雲應用服務,亦可提供企業評估雲應用程式的採用,CloudSOC Audit還可與Symantec Cloud SWG整合及匯入第三方次世代防火牆 log 整合了解目前公司裡正在使用的雲服務。至於若是使用公司准許的SaaS服務,可以使用CloudSOC Gatelet透過與Cloud SWG、Symantec Enterprise Agent連動,可檢查這些Web流量並定向到CloudSOC閘道,並根據公司DLP政策來監控應用服務的操作行為,目前已支援450種雲端服務。Symantec幫助用戶掌握遠距工作雲端服務使用行為的安全性,降低機敏資料外洩風險。情境3:運用ICA更精準識別高風險使用者許多時候資料外洩是因為用戶的登入憑證遭到竊取或破解,因此讓駭客得以藉其權限帶走資料。透過資訊中心分析(Information Centric Analytics, ICA)或CloudSOC Detect,企業可以透過風險分數來判斷是否為可疑的資料存取行為,如在異常的時間、或從異常的地理位置進行大量機密資料下載或共用。DLP可以進一步對具有高風險評分的使用者,將其資料庫存取權限更改為唯讀或禁止資料傳輸。 情境4:保持資料保護合規性 強大報表功能完整記錄事件企業受到越來越多來自主管機關或產業特定的資料保護要求,必須符合相關框架或取得認證。對此Symantec DLP預設提供多種法規檢測需求的資料保護政策範本,企業可藉由範本來進一步客製化設定自己的政策管理需求。政策設定好之後,出現違反機密資料政策的行為時必須有可追蹤性及問責制度,因此DLP的報表工具須能提供完整可見度,且違規事件的處理流程與所有採取行動也需完整記錄,後續企業可從系統或日誌中不斷改善及優化流程,也能透過API與第三方系統整合,最後與內部使用者相關的外洩事件能轉發到ICA,將相關行為模式列入ICA,讓Symantec DLP系統能不斷學習、更精準偵測。Symantec ICA可精準識別高風險使用者,落實資料外洩風險控管企業多年來努力提升安全防禦從網路到端點而最終的目的就是在保護重要的數據資料,但卻忘了也必要從資料流通管道及人員的安全意識好資料保護工作才能面面俱到,透過雲端地端及各種資料識別技術等高度整合的Symantec DLP平台,就能提供更好的資料防護,讓企業在零信任時代的資料保護工作能逐步落實。
Comments