SaaS 與雲端應用程式所導致的資料外洩,是今日企業一項日益升高的風險因子。看看 SASE 功能如何協助您防範資料外傳、實現零信任,並且降低整體受攻擊面的資安風險。
更多有關零信任的文章:
數位連網的蓬勃發展已使得資料隱私成了企業的一項頭號問題。隨著企業採用的軟體服務 (SaaS) 以及公有雲上的現代化雲端應用程式越來越多,企業也慢慢失去了可視性與掌控能力。
企業資料外傳不僅可能影響到營運及商譽,更可能導致營業損失、鉅額罰鍰、昂貴的訴訟成本,甚至是 勒索病毒的贖金 與復原成本。
只可惜,在混合雲及多重雲端環境底下,資料的保護並非一件容易的事。而且這項挑戰更因企業的受攻擊面持續擴大以及威脅情勢的不斷演變而更加嚴峻。網路犯罪集團隨時都在積極尋找攻擊企業的新式手法,這意味著網路資安人員必須改變作法,採用資料外洩防護 (DLP) 來降低整體受攻擊面的資安風險,並實現零信任。
何謂資料外洩防護 (DLP)?
根據 Gartner 的定義,DLP 是一種能藉由內容檢查與情境分析來偵測及預防資料外洩的網路資安解決方案,可保護:訊息應用程式傳遞的資料、經由網路傳輸的資料、受管理端點裝置上使用的資料,以及儲存在企業內伺服器或雲端應用程式及儲存中的資料。其目標是要防止使用者將機敏或關鍵資訊分享至企業網路外部。
DLP 基本上可分成兩大類:企業級 DLP 與整合式 DLP。前者是一套全方位的套裝軟體解決方案,可保護企業內伺服器以及實體與虛擬裝置,監控網路電子郵件流量來發掘資料。整合式 DLP 是現有資安解決方案的延伸,提供精簡但容易使用的功能。
為何 DLP 工具不太能阻止資料外傳?
不論您使用的是企業級或整合式 DLP,如果只是在端點、電子郵件或網站閘道上安裝 DLP,還不足以防範資料外傳。因為有心人士只要稍微修改一下機敏資訊的內容,就能避開 DLP的偵測,例如:將信用卡卡號拼成英文單字、將阿拉伯數字換成羅馬數字,或者將個人識別資訊 (PPI) 截圖上傳。
此外,DLP 工具可能還有許多限制,迫使企業必須使用特定應用程式、版本、檔案類型來配合 DLP (視產品的限制而定)。而且萬一某個 DLP 支援的軟體被發現了漏洞,企業還不能隨便升級或降級該軟體,因為必須先更新 DLP 環境才行。當遇到現代化基礎架構時,問題會更加複雜,因為企業邊界已經不存在,企業經常會在企業內伺服器與雲端 (或多重雲端) 之間移動資料。
不但如此,資安團隊也經常受夠了 DLP 的各種限制。他們必須預先想到資料可能被外傳的每一種途徑,然後明確地針對每一種途徑建立一條規則,這不僅非常耗時,而且容易出錯。結果,資安團隊通常會將 DLP 設成監控模式,單純只記錄資料的存取與分享,而不試圖加以攔截,這等於對機敏資訊與個人資料完全不設防。
改變思維
企業必須建立一套強而有力的偵測及回應基礎架構來防範資料外傳事件,並規劃一套方法來過濾企業網路上流通的資料,以保護傳輸中的資料。要做到這點,首先必須改變看待 DLP 的方式,別再將它當成一種產品,而是當成一項行動。這聽起來有點像「新世紀」思潮的感覺,但這麼說是有道理的。反正最終的目標是要防範資料外洩,沒有規定一定要用哪種解決方案。
如果我們採用一套合適的雲端基礎架構,不僅可發揮最快的速度來偵測危險活動,還可主動出擊,限制資料外傳。當我們從這個角度來思考 DLP 時,就能得到一種更全方位、並以風險為導向的方法,不僅符合現代化企業的作業習慣,而且能降低 SaaS 應用程式的風險。
安全存取服務邊緣 (Secure Access Service Edge,簡稱 SASE) 結合了網路與資安兩種不同層面的功能,以資料為核心。零信任網路存取 (Zero Trust Network Access ,簡稱 ZTNA)、 安全網站閘道 (Secure Web Gateway,簡稱 SWG) 以及雲端存取安全代理 (Cloud Access Security Broker,簡稱 CASB) 能彼此互相配合,對資料套用風險導向的規則和政策來保護儲存中與行動中的機敏資料,不限時間、地點,也不限使用者身分與裝置。基本上,SASE 能達成 DLP 產品想要達成的任務,但卻做得更好,而且不必仰賴代理程式。
SASE 能運用零信任策略來保護及最佳化使用者與裝置的網路連線,假設所有裝置和使用者都不能信任。其原則是「絕不信任、持續驗證」,因此不論是網路內部或外部的使用者,都必須先通過認證和授權才能存取資源。
這一切如何運作?首先,您必須了解您的使用者和環境,然後部署一些感測器,直接與常見的 SaaS 應用程式整合,針對使用者和環境建立一個設定檔 (profile),了解企業正面臨哪些風險,並建議該制定哪些控管政策。
ZTNA 負責保護企業資源的存取,SWG 則負責攔截來自內送與外送網站流量的威脅,以及非企業自身基礎架構上的內容。接著由 CASB 功能負責根據使用者的設定檔來控管 SaaS 應用程式的存取權限,以及使用者可存取哪些應用程式功能。例如,當某個使用者的風險評分超過預先設定的門檻,那使用者也許可以連上 Dropbox™,但卻不能上傳或下載任何檔案。如此一來,系統管理員就保障企業安全,降低資料外傳的風險。A
挑選 SASE 廠商該問的 4 個問題
如同所有資安產品一樣,SASE 功能的好壞也是因廠商而異。您可以詢問廠商以下幾個基本問題來協助您做出明智抉擇:
⭕️ 1.目前的 SASE 作法如何?未來的產品規劃又是如何?
您需要一家不只能在今日保護您的廠商,而且要能防範明日及未來的威脅。廠商目前的產品是否能輕鬆更新和升級,未來是否需要砍掉重練?請尋找一家擁有優良創新歷史的夥伴,並且要提供可善用自動化與全球威脅情報的解決方案,讓您防範最新的威脅。
⭕️ 2.是否能與其他資安解決方案整合?
多增加一套資安解決方案,還可能讓可視性問題惡化,為資安團隊帶來更多挑戰。請尋找一套包含 SASE 功能且更大的網路資安平台,此外,該平台也應具備廣泛的第三方整合能力與 延伸式偵測及回應 (XDR) 功能。如此一來,您就能全方位掌握受攻擊面的可視性,並實施零信任策略。
⭕️ 3.是否支援我所有的關鍵應用程式?
如前面提到,有些 DLP 產品會要求使用者改用某些軟體廠商。這不僅耗費成本,而且肯定會讓員工不開心。盤點一下您的使用者都在使用哪些雲端應用程式,可協助您過濾掉一些解決方案。您所尋找的解決方案不僅要能支援您最關鍵的應用程式,還要提供您系統管理員所需的額外控管,以便盡可能減少營運中斷。
⭕️ 4.有哪些部署選項?
切勿改變您的需求來配合廠商的部署選項,請確定廠商可以支援您的環境,以便讓部署過程盡可能順利。此外,部署之後的後續支援也同樣重要,有些廠商在產品賣出之後就撒手不管。好的合作夥伴可以確保您在銷售前與銷售後都能獲得內建的支援服務及產品教育訓練來讓您的資安團隊成功上手並加快價值實現速度。
下一步
如需有關防範資料外傳及降低整體受攻擊面風險的更多資訊,請參閱以下文章: