详细介绍这2者不同处 网络dlp和终端dlp区别( 二 )


既然DLP是企业安全市场的刚需,又有近二十年的发展历史(对美国欧洲而言,国内还是在春秋战国时期),为什么市场上还是没有完美的DLP解决方案或产品出现呢?国内企业如何从欧美企业实施的DLP案例里取得真经、少走弯路呢?实际上DLP本身的内容扫描和敏感字匹配的技术已近炉火纯青之境界,以下几点因素应该是目前企业DLP所处困境的根源所在:
1、DLP产品需要客户预先定义复杂的敏感匹配规则,而客户定义好这个规则的前提是对企业网络上的数据有非常清晰的了解,按当下时髦的术语就是有很好的数据梳理 。并且对使用这些数据的业务也有所了解,对于现在绝大多数企业的网络安全运维人员来说,没有企业决策层和业务团队的鼎力支持和配合,没有时间和资源的大量投入,这个清晰了解企业数据和相关业务的前提基本上是一个不可能完成的任务 。
2、目前的DLP产品和其他传统网络安全产品一样,都是应对单个事件(single event)的产品,只是在网络上的文件内容匹配到预先定义的敏感数据规则那一时刻产生预警或阻断的动作,这种单个事件的处理方式往往因为缺乏上下文的关联分析而产生大量误报(False Alert)或阻断正常的业务 。
3、DLP产品在控制维度上比较单一,定义规则和数据(匹配上敏感规则)IP相关,最多再加一个时间点,这对于特定业务场景定义准确的DLP匹配规则往往显得捉襟见肘 。
4、目前DLP所遇困境最关键的一点,企业的数据不是静止不变而是有生命周期的,在这个周期里数据的敏感度不断变化,新数据随着企业业务的进行每天层出不穷 。如何为敏感度变化的已有数据和新出现的数据定义并实时调整匹配规则,在当前企业安全文化和技术体系下,企业网络安全人员能够做好DLP规则实时调整优化,基本上就是痴人说梦 。
虽然目前DLP技术看似走到了死胡同,但并不是一个无解之局 。他山之石,可以攻玉,最近几年网络安全在其他领域的创新为DLP带来了涅槃之机,大数据分析、态势感知、UEBA等技术的结合使用都使得NG DLP呼之欲出:
1、企业业务每天都在产生新的数据,数据的敏感度也在随时变化 。因为企业数据不是静止状态,而是有其生命周期,所以对数据动态的监控就至关重要,需要有一个“无规则、无死角”对企业网上流转数据的全方位监控并高效呈现的工具 。这样企业网络安全运维人员就能够针对性地与业务人员进行敏感性讨论,使得实时优化调整DLP匹配规则成为可能 。
2、传统的DLP定义匹配规则时考虑的维度太少,使得应对复杂场景的合理规则无法定义,下一代的DLP产品通过对企业内网上多个维度的实体1)画像并实时更新、2)建立实体画像间关联关系、3)学习实体网上行为等技术手段,为企业提供很多场景下的定义复杂规则的可能 。譬如:提供更完整的敏感(好的:知识产权;坏的:病毒/恶意代码)数据溯源证据链、资产管理保护、行为异常分析等等 。
3、发展到今天,企业需要的是一个完整的数据安全解决方案,目前的DLP产品预先定义规则,是一个single event产品,只管当下,缺乏分析功能;而审计产品都是一种事后被动的查找过程,无法满足企业及时主动发现的需求 。譬如满足GDPR提出的企业如果能够72小时内发现并上报数据泄露事故可免职的需求 。下一代的DLP产品一定能够通过采用AI机器学习技术在时间轴上做数据行为的预测监控分析,主动及时发现异常行为 。总之,力图把数据泄露的发现变被动为主动,满足及时发现并处理的需求 。


以上关于本文的内容,仅作参考!温馨提示:如遇健康、疾病相关的问题,请您及时就医或请专业人士给予相关指导!

「四川龙网」www.sichuanlong.com小编还为您精选了以下内容,希望对您有所帮助: