【51CTO.com原創(chuàng)稿件】不可否認(rèn)，我們正處在數(shù)據(jù)爆炸的時(shí)代，無論是初創(chuàng)公司還是百年老店，企業(yè)里的各種文件每天都在以幾何的數(shù)量級增長著。數(shù)據(jù)在企業(yè)內(nèi)部的存儲(chǔ)和企業(yè)之間的流通環(huán)境日趨復(fù)雜。無論是在數(shù)據(jù)庫、應(yīng)用中間件、用戶終端、業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)設(shè)備上，還是數(shù)據(jù)的產(chǎn)生、存儲(chǔ)、使用、修改、流轉(zhuǎn)和銷毀等各個(gè)環(huán)節(jié)，數(shù)據(jù)泄漏的可能性隨時(shí)隨處都會(huì)發(fā)生。

[[196054]]

我們作為企業(yè)一線的IT人員，面對這些反復(fù)重演的扎心劇情，就算你能拍馬趕到，也往往卻是為時(shí)已晚。面對領(lǐng)導(dǎo)的壓力和用戶的抱怨，我們光靠躲進(jìn)“深夜廚房”吃泡面是顯然不夠的。那么這一次，讓我來給大家靜水流深地切開數(shù)據(jù)泄漏防護(hù)(DLP)這塊“大牛排”，咱們一口、一口地來咀嚼它。

西方理念中常提到“雙人舞”的概念，我們東方人則常談的是圍棋里的兩眼論，那么下面我就從防御和檢測兩個(gè)方面來進(jìn)行深入討論。

識(shí)別數(shù)據(jù)泄露的“災(zāi)區(qū)”

• 有過數(shù)據(jù)庫管理經(jīng)驗(yàn)的小伙伴應(yīng)該都有這種感受：如今各種安防產(chǎn)品對各種后臺(tái)數(shù)據(jù)庫里的數(shù)據(jù)可謂是“嚴(yán)防死守”，而往往容易造成敏感數(shù)據(jù)泄漏的形式卻是那些非結(jié)構(gòu)化的內(nèi)容。說白了就是那些Excel、PPT里的數(shù)據(jù)，以及PDF和剪貼板的圖片文件等。

• 另一個(gè)數(shù)據(jù)泄露的“災(zāi)區(qū)”是企業(yè)的文件與信息的交換平臺(tái)，如大家日常頻繁使用的郵件客戶端(如Outlook)和內(nèi)網(wǎng)協(xié)作平臺(tái)(如SharePoint)。當(dāng)前，隨著云平臺(tái)的使用，各種企業(yè)混合云以及公網(wǎng)上的共享云平臺(tái)(如百度云等)都成為了數(shù)據(jù)被轉(zhuǎn)移出去的“跳板”。

從管理上杜絕泄漏的發(fā)生

• 在生成文檔和數(shù)據(jù)的時(shí)候，應(yīng)按照最小權(quán)限的原則設(shè)定好各類屬性的默認(rèn)值，如attribute默認(rèn)為私有(private)而非公開(public)，可訪問(包括讀/寫/改/刪等權(quán)限)的用戶群僅限于創(chuàng)建者所在的部門和組。同時(shí)在屬主(屬主不一定是創(chuàng)建者，也可以是日常使用人)的崗位發(fā)生變化時(shí)(如離職或調(diào)崗)，要做好接任屬主的接管工作。

• 規(guī)范文件、文件夾和數(shù)據(jù)的命名規(guī)則(Naming convention)，以便能夠根據(jù)其表征名稱迅速定位或追查。

• 對于那些并無屬主或是項(xiàng)目已結(jié)束的文檔，本地管理員應(yīng)及時(shí)聯(lián)系業(yè)務(wù)部門做好集中和離線轉(zhuǎn)移的工作。

• 對于各種非常規(guī)的共享方式，如按需添加的服務(wù)器或主機(jī)文件夾的臨時(shí)共享，應(yīng)予以集中化的記錄。這是在源頭上實(shí)施的用戶行為和習(xí)慣控制，也是數(shù)據(jù)泄露防護(hù)的最佳實(shí)踐之一。

• 培養(yǎng)用戶在處理敏感數(shù)據(jù)時(shí)的遮擋意識(shí)和與客戶交換文件時(shí)的加密習(xí)慣。

從架構(gòu)上清除泄漏的坑點(diǎn)

• 用戶終端必須使用安全的代理服務(wù)器進(jìn)行上網(wǎng)，以預(yù)防惡意軟件、釣魚網(wǎng)站、域名劫持和其他類似的攻擊。

• 入站的電子郵件里如果包含有外部的鏈接，應(yīng)通過反釣魚技術(shù)的鏈接重寫方式發(fā)送到管控中心進(jìn)行健康檢查，從而抵御潛在的垃圾郵件和釣魚攻擊。

• 用戶終端除了本地的硬盤加密之外，還要通過組策略(Group Policy)禁止用戶擅自修改系統(tǒng)設(shè)置和安裝軟件。

• 為那些必須連到內(nèi)網(wǎng)進(jìn)行協(xié)作的上下游合作伙伴，提供非本域的賬號和受限的VPN遠(yuǎn)程連接方式。同時(shí)，非本域的賬號登錄到企業(yè)的無線網(wǎng)絡(luò)時(shí)，應(yīng)限制其僅能向外訪問到互聯(lián)網(wǎng)，這種單一的訪問路徑與權(quán)限。

• 通過在用戶終端上安裝主機(jī)測的DLP agent，過濾和監(jiān)控帶有敏感字段的文檔、數(shù)據(jù)(如源代碼)、郵件以及剪貼板上的內(nèi)容，防止用戶通過網(wǎng)絡(luò)或移動(dòng)設(shè)備拷貝的方式轉(zhuǎn)移到不安全的系統(tǒng)、設(shè)備甚至是公網(wǎng)的網(wǎng)盤上。

• 在內(nèi)網(wǎng)中部署網(wǎng)絡(luò)級的DLP，以旁路式分析流量，從而識(shí)別出im(即時(shí)通訊)、http、ftp、telnet和smtp等協(xié)議中正文及附件內(nèi)容。

• 對于如今許多企業(yè)都應(yīng)用到的云服務(wù)，可以購置和部署最新類型的DLP，通過與云訪問安全代理 (CASB)的集成，持續(xù)監(jiān)控各種云應(yīng)用程序中敏感數(shù)據(jù)內(nèi)容的添加、修改和刪除。

有“記”無患，未雨綢繆

前面幾期的廉環(huán)話，我們有提到對系統(tǒng)和網(wǎng)絡(luò)日志的檢測。正所謂巧婦難為無米之炊，那么首先你就要能得到及時(shí)且充分的各類日志。在設(shè)計(jì)或添置日志系統(tǒng)的時(shí)候，我們需要捫心自問、或是與部門內(nèi)成員討論如下與記錄有關(guān)的問題：

• 進(jìn)行了什么操作?
• 誰或是哪個(gè)系統(tǒng)(即主體)執(zhí)行的操作?
• 對誰或是哪個(gè)系統(tǒng)(即對象) 執(zhí)行的操作?
• 何時(shí)操作的?
• 操作用到了什么工具?
• 操作后的狀態(tài)(如成功與失敗)、結(jié)果、或輸出是什么?

在日志分類上，想必大家都能區(qū)分出：操作系統(tǒng)日志、應(yīng)用系統(tǒng)日志、數(shù)據(jù)庫日志、網(wǎng)絡(luò)設(shè)備日志和安全設(shè)備日志的基本不同。而各類日志所記錄的基本信息也應(yīng)涵括到：設(shè)備/服務(wù)本身的啟動(dòng)/關(guān)閉/重啟，用戶的登錄/注銷/密碼修改，服務(wù)屬性的配置/變更，關(guān)鍵進(jìn)程/端口的啟動(dòng)/關(guān)閉，權(quán)限的切換，以及各種報(bào)警/故障信息等。

既然有這么多類型的日志，而且會(huì)產(chǎn)生海量的記錄條目，那么我們就需要用一套集中化的日志管理系統(tǒng)，通過使用syslog或syslog-ng之類的開放網(wǎng)絡(luò)協(xié)議來匯聚歷史信息，從而進(jìn)行過濾和分析。說到這里，愛思考的小伙伴也許會(huì)問了：既然針對的是歷史信息，那么是否有針對實(shí)時(shí)的呢?我的回答是：還真的有，那就是SIEM(安全信息事件管理)，它可以對各類實(shí)時(shí)的記錄進(jìn)行事件關(guān)聯(lián)與趨勢分析。

值得多說一句的是：一般日志管理系統(tǒng)都應(yīng)該能夠?qū)l(fā)送來的、各種格式的日志存儲(chǔ)到一個(gè)遵循ansi-sql規(guī)范的數(shù)據(jù)庫中，以方便日后生成適合審計(jì)的日志文件。

準(zhǔn)確定位，有的放矢

前面我們介紹了各項(xiàng)基礎(chǔ)性的準(zhǔn)備工作。Let’s move forward。正所謂沒有絕對的安全。那么一旦不幸發(fā)生了數(shù)據(jù)泄漏事件，我們應(yīng)該從哪里著手進(jìn)行檢測甚至是取證呢?在此，我給大家提供一個(gè)可參考的速查藍(lán)本。

• 在用戶終端上，使用取證工具對電子郵件客戶端、瀏覽器的脫機(jī)內(nèi)容、瀏覽歷史等進(jìn)行檢查。注意，有些人會(huì)使用到不同的瀏覽器(如IE、Chrome、Firefox等)，因此一定要逐一檢查每一個(gè)瀏覽器的歷史記錄。

• 在代理服務(wù)器的相關(guān)日志里檢查可疑賬戶訪問過的URL及其服務(wù)類型。

• 在可疑用戶使用過的各種外部存儲(chǔ)設(shè)備(如U盤、CD、DVD、移動(dòng)硬盤、智能手機(jī)以及SD卡等)上直接或間接(如利用恢復(fù)工具)尋找蛛絲馬跡。

• 當(dāng)然，用戶也可能身處企業(yè)之外，通過VPN連進(jìn)來，或者是在企業(yè)內(nèi)連接到外部的SSH服務(wù)器進(jìn)行數(shù)據(jù)的收與發(fā)。在這種情況下，我們一般只能找到有關(guān)連接的記錄證明，卻無法查看到具體傳送的數(shù)據(jù)內(nèi)容。

• 除了電子的形式，數(shù)據(jù)或文件也可能被發(fā)送到打印機(jī)轉(zhuǎn)成hard copy。在這種情況下，我們應(yīng)該對用戶端的假脫機(jī)程序或直接在打印機(jī)上進(jìn)行檢查。

• 有時(shí)候用戶并非主動(dòng)泄漏信息，而是其終端上的惡意軟件所致。對此，我們可以結(jié)合網(wǎng)上最近針對各類頻發(fā)的惡意病毒的相關(guān)對策進(jìn)行逐一識(shí)別。這里就不贅述了。

識(shí)別關(guān)鍵，篩選策略

既然我們屢次提到日志和記錄，那么面對汗牛充棟的“大數(shù)據(jù)”，應(yīng)該如何大海撈針呢?我分享給大家如下的特征關(guān)鍵點(diǎn)，以便籍此進(jìn)行篩選策略的制定：

• 新用戶或組的添加，對用戶權(quán)限的改變，身份驗(yàn)證和授權(quán)的相關(guān)活動(dòng)。
• 文件及文件夾屬性、注冊表鍵值以及計(jì)劃任務(wù)(自啟動(dòng)項(xiàng))的更改。
• 系統(tǒng)和軟件補(bǔ)丁的安裝和更新，新軟件的安裝、升級與卸載。
• 數(shù)據(jù)庫對象權(quán)限的修改。
• 達(dá)到資源門限值(比如CPU、內(nèi)存、網(wǎng)絡(luò)連接、網(wǎng)絡(luò)帶寬、磁盤空間等)所導(dǎo)致的應(yīng)用程序進(jìn)程的中止、異?；驁?bào)錯(cuò)，網(wǎng)絡(luò)服務(wù)(如DHCP和DNS)的失敗，以及硬件故障等。
• FW/IDS/IPS/AV(防病毒系統(tǒng))的規(guī)則更改和端口調(diào)整。

日志元素，抽絲剝繭

在得到了上述篩選過的分類記錄之后，我們可以回顧一下在前面準(zhǔn)備設(shè)計(jì)階段所思考過的問題列表。我們同樣可以進(jìn)一步將“理想”照進(jìn)“現(xiàn)實(shí)”，著手對如下的日志元素進(jìn)行分析：

• 操作的類型，包括各種授權(quán)、創(chuàng)建、讀取、更新、刪除和網(wǎng)絡(luò)連接的接受。
• 操作的屬性，包括流程或事務(wù)的名稱或唯一標(biāo)識(shí)號。
• 操作主體的特征，包括用戶名、計(jì)算機(jī)名、IP地址和MAC地址。
• 操作對象的特征，包括訪問的文件名、訪問數(shù)據(jù)庫的查詢/定位參數(shù)和記錄的唯一標(biāo)識(shí)號、用戶名、計(jì)算機(jī)名、IP地址和MAC地址。
• 當(dāng)操作涉及到更新數(shù)據(jù)元素時(shí)，其執(zhí)行前、后的不同數(shù)值。
• 操作執(zhí)行的日期和時(shí)間，包括相對應(yīng)的時(shí)區(qū)信息。
• 根據(jù)訪問控制機(jī)制，被拒絕的相關(guān)描述和原因/錯(cuò)誤代碼。

日志維護(hù)，查缺補(bǔ)漏

最后，我給大家分享一下日志系統(tǒng)維護(hù)的落地和實(shí)操。

• 首先最為重要的、也是經(jīng)常被運(yùn)維人員所忽略的是：日志管理系統(tǒng)必須保持其時(shí)鐘信息與內(nèi)網(wǎng)里各臺(tái)服務(wù)器的時(shí)鐘相同步。這可以通過設(shè)置NTP來實(shí)現(xiàn)，當(dāng)然運(yùn)維人員也可以每月檢查確認(rèn)，并予以記錄。
• 各類日志內(nèi)容至少需要保存半年，關(guān)鍵系統(tǒng)的日志甚至可以延長為一年。
• 任何運(yùn)維人員不得擅自停用日志服務(wù)。如需暫停某項(xiàng)日志記錄，則要走常規(guī)的變更管理的流程。
• 運(yùn)維人員應(yīng)每周登錄到日志管理系統(tǒng)進(jìn)行檢查，對日志中的錯(cuò)誤或可疑項(xiàng)進(jìn)行記錄。如發(fā)現(xiàn)有可疑的事件或無法判斷的內(nèi)容，應(yīng)提交給信息安全部門進(jìn)行分析，處理結(jié)果應(yīng)當(dāng)被補(bǔ)充標(biāo)注到例檢中。
• 各類日志文件應(yīng)被集中管理和存放，同樣需設(shè)置相應(yīng)的日志文件的訪問控制權(quán)限，以防止未授權(quán)的篡改或刪除。
• 內(nèi)部審計(jì)部門應(yīng)當(dāng)定期(如每季度)對日志的采集范圍和篩選策略進(jìn)行檢查，并對各個(gè)系統(tǒng)管理員和操作員的操作記錄進(jìn)行審計(jì)。

小結(jié)

隨著技術(shù)的不但迭代和升級，現(xiàn)在信息安全業(yè)界也出現(xiàn)了端點(diǎn)檢測與響應(yīng)(EDR)的解決方案。它不但可以基于威脅情報(bào)和大數(shù)據(jù)分析，來發(fā)現(xiàn)新的威脅行為或攻擊跡象，還能進(jìn)行威脅追蹤和數(shù)據(jù)回溯。

我們做信息安全實(shí)務(wù)的，不應(yīng)該只會(huì)單純利用各類產(chǎn)品，像“打地鼠”那樣出現(xiàn)一個(gè)問題就去解決一個(gè)問題，而是應(yīng)該掌握基本全面的理念和思路，活用技術(shù)和產(chǎn)品實(shí)現(xiàn)1+1>2的閉環(huán)防護(hù)效果。各位老鐵，上述的娓娓分析，雖談不上什么庖丁解牛，但整體結(jié)構(gòu)還算比較清晰，相信愛思考、愛做筆記的您已經(jīng)能畫出一張思維導(dǎo)圖或是系統(tǒng)結(jié)構(gòu)圖了吧?好的，請直接拿去使用吧，不謝!

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請注明原文作者和出處為51CTO.com】