新一代數(shù)據(jù)防泄密解決方案用戶案例

某知名企業(yè)屬于制造行業(yè)，生產(chǎn)資料和圖紙屬于公司機(jī)密文件，如果這些數(shù)據(jù)被泄露，將對(duì)用戶產(chǎn)生重大損失，并造成不可預(yù)料的影響。因此用戶希望通過(guò)業(yè)界知名安全廠商的數(shù)據(jù)防泄密方案來(lái)實(shí)現(xiàn)數(shù)據(jù)泄密管控。

用戶起初通過(guò)對(duì)內(nèi)部文件加解密以及終端強(qiáng)管控的方式來(lái)實(shí)現(xiàn)數(shù)據(jù)防泄密。但實(shí)施之后發(fā)現(xiàn)，該強(qiáng)管控方式存在員工體驗(yàn)差、無(wú)法識(shí)別IM 工具外發(fā)泄密、無(wú)法追溯泄密責(zé)任人等問(wèn)題，并不能完全滿足公司對(duì)數(shù)據(jù)防泄密的訴求。

用戶痛點(diǎn)

用戶在使用終端強(qiáng)管控和加解密產(chǎn)品的過(guò)程中，具體痛點(diǎn)有以下幾個(gè)方面。

1.為了實(shí)現(xiàn)數(shù)據(jù)泄密防護(hù)效果，管控的策略設(shè)置得比較嚴(yán)格，代價(jià)則是部分員工的正常操作被視為違規(guī)行為，導(dǎo)致員工體驗(yàn)較差，同時(shí)運(yùn)維人員需要花費(fèi)大量時(shí)間和精力處理“誤殺”問(wèn)題，這就導(dǎo)致在企業(yè)內(nèi)部大規(guī)模推廣困難。

2.主要進(jìn)行終端上的泄密管控，缺乏網(wǎng)絡(luò)側(cè)的數(shù)據(jù)泄密審計(jì)措施，員工使用IM工具外發(fā)機(jī)密文件時(shí)無(wú)法有效識(shí)別，容易漏報(bào)。

3.用戶原有方案主要關(guān)注事中的阻斷、加密，對(duì)事前的風(fēng)險(xiǎn)預(yù)警、事后的快速追溯支持不足。一旦阻斷失敗，便意味著無(wú)法對(duì)泄密原因及責(zé)任人作出相應(yīng)的處理措施，既找不到泄密原因，也找不到相應(yīng)的泄密責(zé)任人。

4.由于業(yè)務(wù)的需求，需要給不少員工開(kāi)放解密權(quán)限，導(dǎo)致加密解密的方案無(wú)法有效應(yīng)用，達(dá)不到預(yù)期效果。

方案部署情況

深信服在了解用戶的詳細(xì)情況之后，提供了具體的解決方案：通過(guò)部署全網(wǎng)行為管理AC 與內(nèi)部威脅管理系統(tǒng)TM 兩大組件來(lái)解決現(xiàn)有問(wèn)題。

1.全程監(jiān)控：在出口部署全網(wǎng)行為管理AC，對(duì)主要外發(fā)行為進(jìn)行審計(jì)，包括HTTP、HTTPS、網(wǎng)盤、郵件以及IM 等。

2.外發(fā)管控：通過(guò)AC 對(duì)主流外發(fā)途徑做管控，如禁止IM、網(wǎng)盤、GitHub 上傳等。

3.泄密分析：上網(wǎng)日志同步給內(nèi)部威脅分析平臺(tái)ITM 做泄密風(fēng)險(xiǎn)分析，同時(shí)配合管理制度，對(duì)發(fā)現(xiàn)的事件進(jìn)行處罰，以提高全員防泄密意識(shí)。

4.終端管控：在不影響正常業(yè)務(wù)的情況下，適當(dāng)放寬原有終端強(qiáng)管控措施，從而既不影響業(yè)務(wù)，又能執(zhí)行部分必要的管控措施。

實(shí)施方案的具體拓?fù)淙鐖D1 所示。

方案功能

深信服新一代數(shù)據(jù)防泄密解決方案提出“識(shí)別、管控、監(jiān)測(cè)、追溯”四位一體的全周期數(shù)據(jù)防泄密理念，大幅降低配置維護(hù)的成本，同時(shí)補(bǔ)齊持續(xù)監(jiān)測(cè)預(yù)警的能力，并確保全量審計(jì)對(duì)事后追責(zé)溯源提供有效的證據(jù)。

圖1 深信服新一代數(shù)據(jù)防泄密解決方案部署拓?fù)鋱D

1.識(shí)別：通過(guò)各種技術(shù)手段識(shí)別敏感數(shù)據(jù)，并對(duì)包含敏感數(shù)據(jù)的文件進(jìn)行分級(jí)分類，包括機(jī)密文檔智能識(shí)別、文件類型識(shí)別、文件內(nèi)容提取以及OCR 智能識(shí)別等方式。

2.管控：在原有的終端強(qiáng)管控的基礎(chǔ)上，額外對(duì)網(wǎng)絡(luò)行為等進(jìn)行管控，防止有意或無(wú)意的數(shù)據(jù)泄密。

3.監(jiān)測(cè)：基于UEBA 技術(shù)對(duì)終端行為、網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)測(cè)和分析，及時(shí)發(fā)現(xiàn)敏感數(shù)據(jù)外發(fā)、業(yè)務(wù)數(shù)據(jù)泄密等行為，包括泄密風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警、業(yè)務(wù)風(fēng)險(xiǎn)監(jiān)測(cè)分析、異常行為監(jiān)測(cè)分析等。

4.追溯：一旦發(fā)生敏感數(shù)據(jù)泄密事件(即終端管控措施失效)，通過(guò)相應(yīng)技術(shù)手段追溯泄密原因及找到相應(yīng)責(zé)任人，包括關(guān)鍵字搜索、文件相似度搜索、OCR 圖片追溯等技術(shù)。

方案實(shí)施效果與經(jīng)驗(yàn)價(jià)值

深信服數(shù)據(jù)防泄密解決方案根據(jù)用戶具體需求，提供全面的數(shù)據(jù)防泄密解決方案，方案價(jià)值如下。

1.全網(wǎng)審計(jì)：實(shí)行全網(wǎng)審計(jì)及日志留存，可以發(fā)現(xiàn)未事先定義的敏感數(shù)據(jù)泄密行為，幫助用戶改進(jìn)泄密攔截策略。

2.有效溯源：在攔截功能之外提供溯源取證能力，幫助用戶分析泄密原因及找到責(zé)任人。

3.優(yōu)化資源：方案中并未廢棄用戶原有終端防泄密產(chǎn)品，僅是在策略設(shè)置上作了一些調(diào)整，實(shí)現(xiàn)弱管控，強(qiáng)審計(jì)的目的。

該用戶有6 個(gè)分公司，深信服通過(guò)在每個(gè)分支部署AC 審計(jì)網(wǎng)絡(luò)行為日志，并通過(guò)專線把全網(wǎng)行為日志傳到總部進(jìn)行泄密分析，幫助用戶構(gòu)建總部-分支的防泄密整體方案。用戶利用這套解決方案實(shí)現(xiàn)了全員防泄密，并可以通過(guò)統(tǒng)一平臺(tái)進(jìn)行管理，覆蓋全面，運(yùn)維簡(jiǎn)單。

編輯點(diǎn)評(píng)深信服新一代數(shù)據(jù)防泄密解決方案相較于業(yè)界同類型方案，在諸多方面實(shí)現(xiàn)了創(chuàng)新：數(shù)據(jù)外泄通路管控可識(shí)別業(yè)界最全的外發(fā)途徑；基于UEBA 的泄密風(fēng)險(xiǎn)識(shí)別技術(shù)可識(shí)別出偏離個(gè)人歷史基線的各種違規(guī)行為；基于大數(shù)據(jù)的泄密追蹤溯源技術(shù)，可提供關(guān)鍵字搜索、文件相似度搜索、OCR 圖片追溯功能，并展示出可能泄密的文件及用戶上下文信息。