数据泄漏防范(DLP)渐成主流数据应用
随着数据泄漏防范(DLP)系统的日渐成熟,采纳者越来越多,该系统正逐渐成为安全市场的主流产品。两年前,注册索取我们这方面研究报告的人都寥寥无几,而如今,进入我们公司(Nemertes研究公司)2009年春季基准测试研究报告的企业中,有三分之一的企业已经部署了不同形式的DLP产品。
采纳DLP的企业有着各自不同的原因,不过法规遵从是最主要的原因。我们的研究报告表明,在DLP的渗透率最高的大企业中,75%的企业认为法规遵从是推动他们在这方面做安全投资的主要原因。
在因法规遵从而采纳DLP的大多数企业中,主要是健康保险携带与责任法案(HIPAA)、金融机构保护客户信息法案(GLBA)和支付卡行业数据安全标准(PCI-DSS)是推动它们做出部署决策的主要依据。我们可以把DLP宽泛地定义为通过流程与技术的结合保护数据,最终的目的是防止数据外泄。
但是我们所研究的企业在数据保护上都有不同的策略,而且在数据泄漏的定义上也彼此不同。它们基本上都同意,DLP保护的是与企业、员工或客户的价值有关的数据。有大约30%的企业称,DLP保护的是企业的知识产权。其余40%的企业则分为一般的风险管理和一般的企业数据泄露两类。
由于目前的DLP采纳率水平接近33%,所以Nemertes预计这一数字到2011年将会增长至接近80%。之所以会出现压倒性的增长,是因为各行各业明显地表现出因法规遵从而产生的对于DLP部署的压力。在部署方面领先的金融机构中,有三分之二是因为GLBA和PCI-DSS的推动所致。其次是零售业,有50%的企业是因为PCI-DSS的驱使。紧随其后的是医疗行业,为40%。然而即便在这些行业中,采用率也不一致。各个行业中的小企业(营收额小于5亿美元)基本上均未部署DLP。预计这些小企业将会在2010年到2011年间开始部署DLP。
目前在DLP领域尚未有某种技术处于领先地位。有三分之一的企业部署了基于设备的解决方案,有三分之一使用的是邮件和Web扫描服务,其余的则使用的是端点安全保护的综合方案。
DLP的最大挑战在于如何定义所部属的方案是否“成功”。因为部署方案的目标是防止某件事的发生,所以可以证明的成功就是某件事不会发生,或不可能发生。实际上,安全的历史和计算的历史都告诉我们,如果说DLP的成功预期就是阻止一切泄露的发生,那它的成功几乎是不可能证明的。在大多数机构中,取代DLP成功衡量指标的是,看哪一种DLP“培训”用户改变其风险行为到了何种程度。DLP是一个很好的意识工具——它训练用户使用安全的传输方法,培训IT部门提供安全的传输手段。
DLP并非唯一的救治良方。确认并封锁所有的敏感信息,作为一种结果没有可能,作为一种目标也不明智。但是作为一种防范大多数异常泄露,帮助用户和IT部门发现安全发送信息的更好方法这样一种较狭窄的目标来说,DLP还是相当成功的。最终,DLP将会成为所有企业安全方案组合中的一个标配部分。