1、DLP产品需要客户预先定义复杂的敏感匹配规则,而客户定义好这个规则的前提是对企业网络上的数据有非常清晰的了解,按当下时髦的术语就是有很好的数据梳理。并且对使用这些数据的业务也有所了解,对于现在绝大多数企业的网络安全运维人员来说,没有企业决策层和业务团队的鼎力支持和配合,没有时间和资源的大量投入,这个清晰了解企业数据和相关业务的前提基本上是一个不可能完成的任务。
2、目前的DLP产品和其他传统网络安全产品一样,都是应对单个事件(single event)的产品,只是在网络上的文件内容匹配到预先定义的敏感数据规则那一时刻产生预警或阻断的动作,这种单个事件的处理方式往往因为缺乏上下文的关联分析而产生大量误报(False Alert)或阻断正常的业务。
3、DLP产品在控制维度上比较单一,定义规则和数据(匹配上敏感规则)IP相关,最多再加一个时间点,这对于特定业务场景定义准确的DLP匹配规则往往显得捉襟见肘。
4、目前DLP所遇困境最关键的一点,企业的数据不是静止不变而是有生命周期的,在这个周期里数据的敏感度不断变化,新数据随着企业业务的进行每天层出不穷。如何为敏感度变化的已有数据和新出现的数据定义并实时调整匹配规则,在当前企业安全文化和技术体系下,企业网络安全人员能够做好DLP规则实时调整优化,基本上就是痴人说梦。
虽然目前DLP技术看似走到了死胡同,但并不是一个无解之局。他山之石,可以攻玉,最近几年网络安全在其他领域的创新为DLP带来了涅槃之机,大数据分析、态势感知、UEBA等技术的结合使用都使得NG DLP呼之欲出:
1、企业业务每天都在产生新的数据,数据的敏感度也在随时变化。因为企业数据不是静止状态,而是有其生命周期,所以对数据动态的监控就至关重要,需要有一个“无规则、无死角”对企业网上流转数据的全方位监控并高效呈现的工具。这样企业网络安全运维人员就能够针对性地与业务人员进行敏感性讨论,使得实时优化调整DLP匹配规则成为可能。
2、传统的DLP定义匹配规则时考虑的维度太少,使得应对复杂场景的合理规则无法定义,下一代的DLP产品通过对企业内网上多个维度的实体1)画像并实时更新、2)建立实体画像间关联关系、3)学习实体网上行为等技术手段,为企业提供很多场景下的定义复杂规则的可能。譬如:提供更完整的敏感(好的:知识产权;坏的:病毒/恶意代码)数据溯源证据链、资产管理保护、行为异常分析等等。
3、发展到今天,企业需要的是一个完整的数据安全解决方案,目前的DLP产品预先定义规则,是一个single event产品,只管当下,缺乏分析功能;而审计产品都是一种事后被动的查找过程,无法满足企业及时主动发现的需求。譬如满足GDPR提出的企业如果能够72小时内发现并上报数据泄露事故可免职的需求。下一代的DLP产品一定能够通过采用AI机器学习技术在时间轴上做数据行为的预测监控分析,主动及时发现异常行为。总之,力图把数据泄露的发现变被动为主动,满足及时发现并处理的需求。
我们有理由相信,下一代DLP能够真正成为为企业数据安全保驾护航的坚强之盾,具有“审计过去,监视现在,预测未来”的功能是NG DLP与传统DLP的分水岭!
关于全息网御:全息网御科技融合NG-DLP、UEBA、NG-SIEM、CASB四项先进技术,结合机器学习(人工智能),发现并实时重构网络中不可见的”用户-设备-数据”互动关系,推出以用户行为为核心的信息安全风险感知平台,为企业的信息安全管理提供无感知、无死角的智能追溯系统,高效精准的审计过去、监控现在、防患未来,极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。