什麼是資料遺失防範 (DLP)?
資料遺失防範 (DLP) 是保護敏感資料免受未經授權存取的程序。組織必須保護敏感資訊,例如智慧財產權、個人身分識別資訊 (PII)、健康記錄和帳號,以此遵守隱私權法規並增強客戶信任。資料遺失防範包括主動限制資料存取並防止意外和惡意資料暴露的技術與程序。它包括可在整個資料生命週期中套用的措施,從而降低組織風險。
資料遺失防範有哪些優勢?
資料遺失防範是組織資料安全策略的重要組成部分。其可帶來以下優勢。
法律合規
業務遍佈多個產業的組織必須遵守各種資料保護法律,例如健康保險流通與責任法案 (HIPAA)、一般資料保護規範 (GDPR) 等。DLP 解決方案透過持續監控資料流程並防止未經授權的分享來強制執行法規資料保護要求。它們還會產生作為證據的稽核追蹤,證明組織對個人身分識別資訊 (PII) 和其他敏感資料的處理完全符合所需的監管機構要求。
更快的事件回應
資料遺失防範技術可以自動偵測網路異常或不尋常的使用者活動,並且在執行自動回應時發出提醒。這種主動方法可縮短偵測與解決安全事件之間的時間,從而限制不良後果並將最大限度減少業務中斷。您可以更快得到事件回應,並且更強有力地遵守安全政策。
提高資料流程的可見性
資料遺失防範工具可提高資料安全風險的可見性,並且實現針對這些風險的自動保護。您可以詳細了解整個資料管道中的資料轉換和譜系追蹤。自動監控和提醒可確保整個分析設定中的資料安全。
敏感資料分類
DLP 解決方案可協助您大規模偵測敏感資料。這些解決方案可以掃描整個系統,分析您的資料,並將其分類為關鍵、PII 或其他預先定義的類別。它們可增強資料可見性,並且針對現有公司資料和輸入基礎設施的新資料提供持續、自動的監控。
資料遺失防範如何運作?
資料遺失防範能夠識別敏感資訊,在各種環境中保護資訊,以及即時回應潛在的風險。該功能結合一系列程序和技術,以實現風險最小化的最終目標。
敏感資料識別
DLP 系統在保護敏感資訊方面的有效性主要取決於組織的資料保護政策。在部署 DLP 之前,您需要定義將任何資料分類為「敏感」的條件。
然後,DLP 工具可以利用內容檢查和情境分析,根據預先定義的政策來標記資料。這些工具分析資料所在的位置以及存取資料的人員,以此找到適當的分類。
前瞻性資料保護
一旦識別敏感資料,DLP 系統就會主動強制執行規則,以限制分享或存取資料的方式。這些系統在資料生命週期的不同階段中採用自訂的資料保護方法。
靜態資料
DLP 系統專注於採用存取控制保護儲存的資料。這些系統允許精細的存取控制,因此管理員可以制定精細的政策,規定誰可以存取哪些資料以及在何種程度上存取。資料遺失防範還包括:
- 執行加密,使資料在受到未經授權存取時仍然無法讀取
- 進行備份,將風險降至最低,並在發生事故時快速復原
動態資料
資料遺失防範包括保護正在跨網路或系統之間主動移動的資料。網路安全工具 (例如防火牆和入侵防護系統) 可監控網路流量,並在防止資料丟失方面發揮關鍵作用。遠端裝置的資料存取控制也非常重要,因為即使是受信任的行動裝置也可能用於違反資料安全政策。動態資料的加密可使網路上的任何接聽程式均無法讀取和使用攔截的資料。
使用中的資料
DLP 將保護延伸至應用程式或使用者正在主動存取的資料。相關策略包括:
- 精細的存取控制,可根據使用者角色或許可限制使用者對關鍵資料執行的動作
- 最低權限存取權,僅向使用授予執行任務所需的最低層級存取權
- 適當情況下的唯讀存取
- 遠端行動裝置監控與管理
即時偵測與回應
現代 DLP 解決方案提供即時偵測並回應不符合政策規範的資料存取的功能。目標是在其發生之前或安全事件期間防止資料遺失。DLP 工具可以:
- 持續監控軟體弱點、設定錯誤的雲端儲存庫以及公開的憑證
- 集中監控和提醒,以提供全面的資料安全檢視
- 使用即時分析和洞察來監控、稽核和報告資料保護政策與操作
- 排定提醒的優先順序,進行根本原因分析,或者組織分類以加快修復
快速回應功能可減少暴露時間段,並有助於更有效地降低風險。
有哪些資料遺失防範最佳實務?
資料遺失防範需要採用相應的策略和工具才能取得長期成功。
讓 DLP 成為組織範圍內的倡議
DLP 不「僅」涉及安全性或 IT 問題,它還需要整個組織的支援。取得最高領導層對 DLP 政策的支援。透過從商業價值的角度架構 DLP,吸引 CSO、CDO (資料長)、CFO 或 CEO 等高階主管參與其中。例如,受管 DLP 服務可以透過降低基礎設施成本和盡可能減少內部資源需求來解決 CFO 的優先事項。
您的 DLP 策略應反映組織的結構和文化。與業務單位領導者合作制定 DLP 政策。這可確保政策具備實用性,經過良好溝通,並且與各部門的資料使用方式保持一致。
定義角色和職責
了解您的主要 DLP 利害關係人,並且確保他們在系統上具備的許可和職責與其角色相符。根據工作職能指派職責,並且建立以角色為基礎的存取權以維持責任制。必須採用結構化的方法,以確保資料保護政策的套用和強制執行方式存在相應的制衡措施。
維護全面的文件
維護詳細的文件有助於確保政策的套用方式保持一致。它還針對稽核、檢閱、入職和離職建立可靠的參考點。清晰的文件可支援更順暢的協作和更加長久的營運持續性。
藉助指標追蹤成功
確保選擇的 DLP 符合主要資料保護目標。透過確定與業務目標相符的 KPI,從一開始就定義成功的全貌。密切追蹤指標以找出需要改進的領域,並且示範 DLP 對業務成果的貢獻。
將 DLP 視為進行中的計劃
請記住,DLP 不是現成的解決方案或簡單的存取控制工具,而是不斷管理的程序。DLP 應該是一項持續的工作,用於妥善了解和管理組織內部的資料流程。它涉及定期更新政策、教育使用者,以及隨著業務需求和風險的不斷演變而改進控制。
AWS 如何支援您的資料遺失防範策略?
AWS 雲端安全性提供最全面的服務、工具和專業知識套件之一,可協助您保護資料並在 AWS 雲端中實作資料遺失防範。主要功能包括:
- Amazon Macie 使用機器學習大規模自動探索、分類和保護 AWS 中的敏感資料。
- AWS Identity and Access Management (IAM) 協助根據角色和條件建立精細的存取政策,有助於降低未經授權存取敏感資訊的風險。
- AWS CloudTrail 記錄 AWS 環境中的所有 API 活動,並且提供完整的合規稽核追蹤,包括誰在何時以及從何處存取哪些資料。
- Amazon CloudWatch 監控資源用量和行為,並且向您提醒異常或不尋常模式。
- AWS Security Hub 將多個服務的安全性調查結果合併至統一的儀表板中,協助您偵測設定錯誤和其他安全風險。
立即建立免費帳戶,開始在 AWS 上進行資料遺失防範。