无码天堂va欧美va亚洲va,亚洲综合一区自偷自拍,色欲av亚洲精品一区二区,亚洲成av人片天堂网久久

本文來自微信公眾號(hào)：連續(xù)創(chuàng)業(yè)的Janky（ID：janky-dsphere），作者：Janky，原文標(biāo)題：《DLP 已經(jīng)過時(shí)了嗎，該如何破局》

Data loss prevention (DLP) software detects potential data breaches/data ex-filtration transmissions and prevents them by monitoring, detecting and blocking sensitive data while in use (endpoint actions), in motion (network traffic), and at rest (data storage).

數(shù)據(jù)丟失防護(hù)（Data loss prevention， DLP）軟件可檢測(cè)潛在的數(shù)據(jù)泄露/非過濾數(shù)據(jù)傳輸，并通過在使用（端點(diǎn)操作）、移動(dòng)（網(wǎng)絡(luò)流量）和靜止（數(shù)據(jù)存儲(chǔ)）時(shí)監(jiān)控、檢測(cè)和阻止敏感數(shù)據(jù)來防止這些（泄露）。

——翻譯自Wikipedia

寫這篇文章著實(shí)非?；炭?，整篇用詞與修飾也是經(jīng)過反復(fù)琢磨和調(diào)整。因?yàn)?span lang="EN-US"> DLP 是個(gè)很大的產(chǎn)業(yè)，涉及幾乎印有數(shù)據(jù)安全標(biāo)簽的所有安全廠商，企業(yè)數(shù)據(jù)安全建設(shè)的第一站往往也以安裝 DLP 為起點(diǎn)，企業(yè)員工怒罵公司行為的背后也往往有 DLP 的影子在，可見該話題的影響甚大。

同樣的話題討論，發(fā)生在國(guó)外，已經(jīng)是 5 年前了。2018 年 4 月 5 日，Gartner 高級(jí) VP 級(jí)別分析師 Avivah Litan，發(fā)表了一篇博文，名為“DLP is Dying”*，但是博文內(nèi)容已經(jīng)過修改，因?yàn)樵純?nèi)容關(guān)于 DLP 正在消亡的言辭引起了安全廠商的極大不滿，開啟了激烈的網(wǎng)絡(luò)爭(zhēng)論，作者迫于輿論壓力重新修改了文章，并關(guān)閉了自己 LinkedIn 留言功能。

作者本人從事企業(yè)數(shù)據(jù)安全相關(guān)工作的時(shí)間，不算太長(zhǎng)也不算太短，說起來也有超過十年的時(shí)間了。自身開發(fā)過 DLP 的產(chǎn)品，也主導(dǎo)了阿里巴巴原生 DLP 產(chǎn)品向 UEBA（user and entity behavior analytics，用戶和實(shí)體行為分析技術(shù)）的轉(zhuǎn)型升級(jí)，見證了身邊不少新興 DLP 廠商的迅速消亡，聽?wèi)T了企業(yè)員工的罵聲和老板的質(zhì)疑，也幫助不少企業(yè)完成了適合自身 DLP 產(chǎn)品與方案的選型和落地。就經(jīng)驗(yàn)上來講，或許能有一點(diǎn)點(diǎn)有價(jià)值的輸出，幫助安全同行們?cè)谝?guī)劃自身 DLP 產(chǎn)品的時(shí)候適量避坑，也讓企業(yè)們?cè)谶x擇適合自身安全產(chǎn)品的時(shí)候多一點(diǎn)點(diǎn)參考，期望寫在這里的一些經(jīng)驗(yàn)總結(jié)能起到這些作用。

一、DLP產(chǎn)品分類

數(shù)據(jù)防泄漏的產(chǎn)品有很多種類型，云桌面、沙箱、透明加解密也都是可選方案，DLP 區(qū)別于這些方案的特點(diǎn)，在于其本身是通過在不改變?nèi)魏斡脩羰褂脭?shù)據(jù)的習(xí)慣的前提下，自動(dòng)檢測(cè)出數(shù)據(jù)泄露的行為。企業(yè)內(nèi)的員工甚至都意識(shí)不到 DLP 安全產(chǎn)品的存在，也不需要跟該產(chǎn)品進(jìn)行任何形式的互動(dòng)。

舉些形象的例子，云桌面（類似的叫法還有虛擬桌面、VDI、DaaS）和沙箱好比家里的保險(xiǎn)箱，值錢的東西都鎖在里面出不來；透明加解密原理類似于在電影和電視劇里，看到的故事情節(jié)：情報(bào)人員用米湯在紙上寫字，待米湯干燥后送出。而收到情報(bào)的人員， 把這張“白紙”放入碘酒中泡一下，就可以讀到紙上的秘密信息；DLP 就是那個(gè)掛在墻上監(jiān)控?cái)z像頭，它能震懾小偷，但也不能干擾小偷做壞事，默默記錄下作案過程事后追責(zé)。

DLP 產(chǎn)品本身，按照數(shù)據(jù)所處位置的不同，國(guó)外同行們又定義出了 4 個(gè)分支，終端 DLP、網(wǎng)絡(luò) DLP、云應(yīng)用 DLP、存儲(chǔ) DLP。很遺憾在國(guó)內(nèi)的環(huán)境里，真正能被應(yīng)用的只有終端 DLP 和郵件 DLP，其根本原因在于國(guó)內(nèi)應(yīng)用生態(tài)的落后和封閉，之前的一篇文章有詳細(xì)分析過。

郵件 DLP 依附于企業(yè)自有的郵件服務(wù)器，通常以郵件網(wǎng)關(guān)的形式存在，去過濾外發(fā)的郵件內(nèi)容，應(yīng)用場(chǎng)景非常直觀和單一，所能達(dá)到的防泄漏效果也比較狹窄，畢竟真正想偷盜企業(yè)數(shù)據(jù)的員工，還是會(huì)聰明到不用企業(yè)自身郵箱把數(shù)據(jù)給發(fā)出去。

因此，咱們這里就重點(diǎn)講講最為復(fù)雜的，終端 DLP。

二、終端DLP及其困局

不避諱地講，DLP 是針對(duì)企業(yè)內(nèi)部員工監(jiān)守自盜的防范措施，不論是刻意為之還是無心之施。盜竊行為的案發(fā)地，就在辦公終端上，以前以辦公電腦為主，移動(dòng)互聯(lián)網(wǎng)后新增了移動(dòng)端設(shè)備。輔助作案的工具就最為復(fù)雜多樣了，常見的聊天工具（微信、QQ、釘釘）、第三方網(wǎng)盤、U 盤、藍(lán)牙傳輸、AirDrop、云筆記、共享目錄……無法窮舉。所有這些作案工具被 DLP 產(chǎn)品統(tǒng)稱為外發(fā)渠道，需要定點(diǎn)進(jìn)行覆蓋和監(jiān)控。

DLP 并不是一個(gè)新的產(chǎn)品形態(tài)，其歷史可以追溯到國(guó)外 25 年之前，國(guó)內(nèi) 20 年之前。對(duì)于大量企業(yè)來講，企業(yè)當(dāng)前的數(shù)據(jù)被一張漁網(wǎng)包裹著，這些數(shù)據(jù)隨時(shí)都能從漁網(wǎng)上的一個(gè)孔洞里漏出去，DLP 產(chǎn)品所做的就是不停地嘗試在新的漏洞里面安裝上攝像頭，記錄下來什么時(shí)候有數(shù)據(jù)從哪個(gè)洞出去了。但現(xiàn)實(shí)是這張漁網(wǎng)無限大，且還在不斷自我膨脹，DLP 在一個(gè)洞口安裝了監(jiān)控的同時(shí)又生出了 2 個(gè)新的洞。還有些洞，門框太高或者墻壁太滑，連攝像頭都裝不上去。

除了產(chǎn)品本身研發(fā)的困難之外，DLP 還面臨著很多其它挑戰(zhàn)。

1. Everybody Hates DLP（人人喊打）

想想也真的覺得神奇，恐怕沒有其它任何一個(gè)產(chǎn)品能像 DLP 這樣，達(dá)到人人都“討厭”的地步，即使是花錢采買的企業(yè)自己也是同樣的心理。

2. 渠道覆蓋不完，移動(dòng)端束手無策

在移動(dòng)互聯(lián)網(wǎng)之前，DLP 是極其有效的。那會(huì)企業(yè)員工都還在主要依靠 PC 臺(tái)式機(jī)辦公，能帶離辦公室的筆記本都比較少見；企業(yè)辦公主要數(shù)據(jù)資產(chǎn)還是終端的文件，不像現(xiàn)在有那么多 Web 系統(tǒng)，各種在線文檔更是越來越普及，數(shù)據(jù)已經(jīng)離開終端上云了，脫離了非結(jié)構(gòu)化形態(tài)，變成了結(jié)構(gòu)化和半結(jié)構(gòu)化。

那會(huì)企業(yè)有專門的局域網(wǎng)，出了局域網(wǎng)也無所謂工作了，沒有 996，沒有居家辦公，企業(yè)數(shù)據(jù)也局限在辦公室的局域網(wǎng)內(nèi)。

那會(huì)個(gè)人沒那么多聊天工具，沒那么多第三方服務(wù)，數(shù)據(jù)沒有好的去處，也無法自由地流動(dòng)。

那會(huì)沒有那么智能的手機(jī)，數(shù)據(jù)還在辦公電腦里，而不像現(xiàn)在到處飛。

那會(huì)沒人關(guān)注個(gè)人隱私，員工不會(huì)質(zhì)疑公司安裝的安全軟件；那會(huì)沒有《數(shù)據(jù)安全法》，沒有《個(gè)人隱私保護(hù)法》，安全軟件可以干任何想干的事情。

那會(huì)操作系統(tǒng)還沒有回收或者加強(qiáng)終端內(nèi)核接口的管理，在終端采集數(shù)據(jù)不需要員工主動(dòng)授權(quán)，不像現(xiàn)在操作系統(tǒng)動(dòng)不動(dòng)就彈窗提醒，嚇得員工一激靈。

試想如果電腦里突然彈個(gè)窗口顯示“某某安全軟件正在嘗試控制這臺(tái)電腦……”的提示，那就有得熱鬧了。這些最終都會(huì)轉(zhuǎn)化為企業(yè) IT 和安全團(tuán)隊(duì)的運(yùn)營(yíng)成本。

3. 安全手段太容易被繞過

過往和當(dāng)前的終端 DLP 技術(shù)路線，基本還是在享受信息不對(duì)稱的紅利。普通員工對(duì) IT 技術(shù)原理不了解，忌憚企業(yè)宣傳的安全能力，不敢輕易嘗試破解辦法，只能想到給文件打個(gè)壓縮包，改個(gè)后綴名這樣的辦法。

普通非安全專業(yè)的 IT 團(tuán)隊(duì)，缺乏安全經(jīng)驗(yàn)，無法判斷 DLP 產(chǎn)品能給企業(yè)帶來的實(shí)際作用，而是參考同行和公開渠道的乙方宣傳，而認(rèn)為應(yīng)該采用 DLP 方式。

搜索引擎限制和內(nèi)容缺乏，國(guó)內(nèi)互聯(lián)網(wǎng)上給人支招去繞過 DLP 的內(nèi)容很少，但是 Google 相關(guān)內(nèi)容卻異常豐富。引用國(guó)外同行的總結(jié)：

I HAVEN’T SEEN A DATA LOSS PREVENTION TOOL MY TEAM CAN’T BYPASS IN TWO SECONDS.

我還沒有看到我的團(tuán)隊(duì)在兩秒鐘內(nèi)無法繞過的 DLP 工具。

——A CISO AT A GLOBAL FINANCIAL SERVICES COMPANY

4. 誤報(bào)太高，導(dǎo)致運(yùn)營(yíng)成本過重

任何技術(shù)手段是有局限的，作為安全軟件技術(shù)來講，都會(huì)面臨兩個(gè)致命的問題，不光是 DLP 獨(dú)有的問題。

①數(shù)據(jù)歸屬判定：識(shí)別到敏感數(shù)據(jù)并不困難，困難的是無法區(qū)分該數(shù)據(jù)是歸屬企業(yè)的還是個(gè)人。比如員工在辦公電腦上接收和處理了一份自己汽車保險(xiǎn)的合同，DLP 發(fā)現(xiàn)合同是很敏感的數(shù)據(jù)，但它沒法知道這是員工個(gè)人的數(shù)據(jù)。

②敏感操作判定：同樣識(shí)別到數(shù)據(jù)操作的敏感行為并不困難，困難的是無法判斷該行為是否違規(guī)。比如識(shí)別到員工外發(fā)了一個(gè)敏感文件，內(nèi)部含有大量財(cái)務(wù)數(shù)據(jù)。DLP 無法判斷這是銷售人員發(fā)送給客戶的報(bào)價(jià)單，還是發(fā)送給競(jìng)爭(zhēng)對(duì)手的內(nèi)部定價(jià)規(guī)則。

以上最為本質(zhì)的兩個(gè)問題，無法通過程序自動(dòng)化的解決，那么就只能在終端不斷地上報(bào)日志。隨著企業(yè)員工數(shù)量和終端的增加，這些日志數(shù)據(jù)呈幾何式的增長(zhǎng)，少量的違規(guī)行為數(shù)據(jù)埋藏在海量的正常日志中，等著某天通過別的方式發(fā)現(xiàn)有人偷盜公司數(shù)據(jù)的事后，進(jìn)行日志溯源反查。

三、終端DLP的破局之路

嚴(yán)格意義上講，人類的技術(shù)進(jìn)步，從來沒有從 0 到 1 之說，或者最開始的那個(gè) 0 我們已經(jīng)無法追溯。任何所謂新技術(shù)，新產(chǎn)品形態(tài)的誕生，都依仗無數(shù)過往技術(shù)的鋪墊。同時(shí)也意味著，幾乎沒有哪項(xiàng)技術(shù)會(huì)消失，所謂的過時(shí)只是換了一種形態(tài)和方式，去支撐下一代創(chuàng)新去了。碳原子從沒有消失，只是在不同生命體之間游走。

未來 DLP 的重點(diǎn)，不再是去支持更多外發(fā)渠道，不是去吃力不討好地延續(xù)國(guó)外文件指紋的技術(shù)路線，個(gè)人的建議是走被應(yīng)用集成的路線。

1. 被UEBA集成，而不是成為UEBA

新型的 DLP 多打著 UEBA 的旗號(hào)，然而事實(shí)是其永遠(yuǎn)也成不了一個(gè) UEBA 的產(chǎn)品，無論在終端采集多少行為數(shù)據(jù)都是無用功，傳統(tǒng)的 DLP 采集的和能夠采集的數(shù)據(jù)已經(jīng)夠多了。

事實(shí)上對(duì)于任何一個(gè)期望建立在數(shù)據(jù)模型上的應(yīng)用來講，最為核心的不是采集單一維度數(shù)據(jù)的能力，甚至都不是數(shù)據(jù)處理的能力，而是你到底有沒有關(guān)鍵數(shù)據(jù)的能力。例如一個(gè) DLP 采集了所有員工的對(duì)外聊天記錄信息，遠(yuǎn)遠(yuǎn)不如有一條員工和對(duì)方好友關(guān)系的數(shù)據(jù)來得重要，員工和聊天的對(duì)方是夫妻、同事、客戶、友商還是別的關(guān)系。但這樣的數(shù)據(jù)，可不是一個(gè)第三方 DLP 產(chǎn)品能夠擁有的。

2. 以企業(yè)數(shù)據(jù)為中心，而不是以人的行為為中心

人的行為受制于不同上下文和在職場(chǎng)的角色，而千變?nèi)f化，無法預(yù)測(cè)，能夠標(biāo)準(zhǔn)化的并不多，頂多是針對(duì)快離職的員工進(jìn)行定向的關(guān)照，如在離職期間大量拷貝企業(yè)組織架構(gòu)和內(nèi)部文檔的行為，八成是可疑的，但除此之外能標(biāo)準(zhǔn)化判斷的行為并不多。

與其盯著終端文檔，去記錄和串聯(lián)文檔的創(chuàng)建、修改、重命名、打壓縮包這樣的行為，不如去針對(duì)企業(yè)數(shù)據(jù)集中的應(yīng)用進(jìn)行特定應(yīng)用的探針支持。方式上采用應(yīng)用開放接口對(duì)接的方式，而拋棄終端 Hook 應(yīng)用的模式。如針對(duì)釘釘、企業(yè)微信開放平臺(tái)去打造企業(yè)內(nèi)部安全應(yīng)用，去收集應(yīng)用行為數(shù)據(jù)給到 UEBA 引擎使用。

3. 從Detection的角色轉(zhuǎn)換為Response

DLP 歷來被詬病最多的就在于其風(fēng)險(xiǎn)偏事后的特性，無法在風(fēng)險(xiǎn)發(fā)生當(dāng)下進(jìn)行阻斷，而只能作為事后溯源的手段。從技術(shù)實(shí)現(xiàn)上來講，能檢測(cè)就能阻斷，只不過之前因?yàn)闊o法準(zhǔn)確判斷行為而不敢阻斷，倘若成為 UEBA 的一部分，那么便可在數(shù)據(jù)模型的加持下，讓阻斷能力重見天日。 

4. 幫助企業(yè)去歸集所有維度數(shù)據(jù)，而不是基于終端行為建模型

同第一點(diǎn)一樣，安全風(fēng)險(xiǎn)的最終解法靠數(shù)據(jù)，現(xiàn)有 DLP采集的終端維度數(shù)據(jù)遠(yuǎn)遠(yuǎn)不足夠用于建模，安全企業(yè)和產(chǎn)品應(yīng)當(dāng)幫助企業(yè)去收集內(nèi)部能夠被用于建模的一切數(shù)據(jù)，綜合設(shè)計(jì)數(shù)據(jù)風(fēng)險(xiǎn)模型，DLP 就聚焦在采集和響應(yīng)即可。