【51CTO.com原創(chuàng)稿件】不可否認，我們正處在數(shù)據(jù)爆炸的時代，無論是初創(chuàng)公司還是百年老店，企業(yè)里的各種文件每天都在以幾何的數(shù)量級增長著。數(shù)據(jù)在企業(yè)內(nèi)部的存儲和企業(yè)之間的流通環(huán)境日趨復(fù)雜。無論是在數(shù)據(jù)庫、應(yīng)用中間件、用戶終端、業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)設(shè)備上，還是數(shù)據(jù)的產(chǎn)生、存儲、使用、修改、流轉(zhuǎn)和銷毀等各個環(huán)節(jié)，數(shù)據(jù)泄漏的可能性隨時隨處都會發(fā)生。

[[196054]]

我們作為企業(yè)一線的IT人員，面對這些反復(fù)重演的扎心劇情，就算你能拍馬趕到，也往往卻是為時已晚。面對領(lǐng)導(dǎo)的壓力和用戶的抱怨，我們光靠躲進“深夜廚房”吃泡面是顯然不夠的。那么這一次，讓我來給大家靜水流深地切開數(shù)據(jù)泄漏防護(DLP)這塊“大牛排”，咱們一口、一口地來咀嚼它。

西方理念中常提到“雙人舞”的概念，我們東方人則常談的是圍棋里的兩眼論，那么下面我就從防御和檢測兩個方面來進行深入討論。

識別數(shù)據(jù)泄露的“災(zāi)區(qū)”

• 有過數(shù)據(jù)庫管理經(jīng)驗的小伙伴應(yīng)該都有這種感受：如今各種安防產(chǎn)品對各種后臺數(shù)據(jù)庫里的數(shù)據(jù)可謂是“嚴防死守”，而往往容易造成敏感數(shù)據(jù)泄漏的形式卻是那些非結(jié)構(gòu)化的內(nèi)容。說白了就是那些Excel、PPT里的數(shù)據(jù)，以及PDF和剪貼板的圖片文件等。

• 另一個數(shù)據(jù)泄露的“災(zāi)區(qū)”是企業(yè)的文件與信息的交換平臺，如大家日常頻繁使用的郵件客戶端(如Outlook)和內(nèi)網(wǎng)協(xié)作平臺(如SharePoint)。當前，隨著云平臺的使用，各種企業(yè)混合云以及公網(wǎng)上的共享云平臺(如百度云等)都成為了數(shù)據(jù)被轉(zhuǎn)移出去的“跳板”。

從管理上杜絕泄漏的發(fā)生

• 在生成文檔和數(shù)據(jù)的時候，應(yīng)按照最小權(quán)限的原則設(shè)定好各類屬性的默認值，如attribute默認為私有(private)而非公開(public)，可訪問(包括讀/寫/改/刪等權(quán)限)的用戶群僅限于創(chuàng)建者所在的部門和組。同時在屬主(屬主不一定是創(chuàng)建者，也可以是日常使用人)的崗位發(fā)生變化時(如離職或調(diào)崗)，要做好接任屬主的接管工作。

• 規(guī)范文件、文件夾和數(shù)據(jù)的命名規(guī)則(Naming convention)，以便能夠根據(jù)其表征名稱迅速定位或追查。

• 對于那些并無屬主或是項目已結(jié)束的文檔，本地管理員應(yīng)及時聯(lián)系業(yè)務(wù)部門做好集中和離線轉(zhuǎn)移的工作。

• 對于各種非常規(guī)的共享方式，如按需添加的服務(wù)器或主機文件夾的臨時共享，應(yīng)予以集中化的記錄。這是在源頭上實施的用戶行為和習(xí)慣控制，也是數(shù)據(jù)泄露防護的最佳實踐之一。

• 培養(yǎng)用戶在處理敏感數(shù)據(jù)時的遮擋意識和與客戶交換文件時的加密習(xí)慣。

從架構(gòu)上清除泄漏的坑點

• 用戶終端必須使用安全的代理服務(wù)器進行上網(wǎng)，以預(yù)防惡意軟件、釣魚網(wǎng)站、域名劫持和其他類似的攻擊。

• 入站的電子郵件里如果包含有外部的鏈接，應(yīng)通過反釣魚技術(shù)的鏈接重寫方式發(fā)送到管控中心進行健康檢查，從而抵御潛在的垃圾郵件和釣魚攻擊。

• 用戶終端除了本地的硬盤加密之外，還要通過組策略(Group Policy)禁止用戶擅自修改系統(tǒng)設(shè)置和安裝軟件。

• 為那些必須連到內(nèi)網(wǎng)進行協(xié)作的上下游合作伙伴，提供非本域的賬號和受限的VPN遠程連接方式。同時，非本域的賬號登錄到企業(yè)的無線網(wǎng)絡(luò)時，應(yīng)限制其僅能向外訪問到互聯(lián)網(wǎng)，這種單一的訪問路徑與權(quán)限。

• 通過在用戶終端上安裝主機測的DLP agent，過濾和監(jiān)控帶有敏感字段的文檔、數(shù)據(jù)(如源代碼)、郵件以及剪貼板上的內(nèi)容，防止用戶通過網(wǎng)絡(luò)或移動設(shè)備拷貝的方式轉(zhuǎn)移到不安全的系統(tǒng)、設(shè)備甚至是公網(wǎng)的網(wǎng)盤上。

• 在內(nèi)網(wǎng)中部署網(wǎng)絡(luò)級的DLP，以旁路式分析流量，從而識別出im(即時通訊)、http、ftp、telnet和smtp等協(xié)議中正文及附件內(nèi)容。

• 對于如今許多企業(yè)都應(yīng)用到的云服務(wù)，可以購置和部署最新類型的DLP，通過與云訪問安全代理 (CASB)的集成，持續(xù)監(jiān)控各種云應(yīng)用程序中敏感數(shù)據(jù)內(nèi)容的添加、修改和刪除。

有“記”無患，未雨綢繆

前面幾期的廉環(huán)話，我們有提到對系統(tǒng)和網(wǎng)絡(luò)日志的檢測。正所謂巧婦難為無米之炊，那么首先你就要能得到及時且充分的各類日志。在設(shè)計或添置日志系統(tǒng)的時候，我們需要捫心自問、或是與部門內(nèi)成員討論如下與記錄有關(guān)的問題：

• 進行了什么操作?
• 誰或是哪個系統(tǒng)(即主體)執(zhí)行的操作?
• 對誰或是哪個系統(tǒng)(即對象) 執(zhí)行的操作?
• 何時操作的?
• 操作用到了什么工具?
• 操作后的狀態(tài)(如成功與失敗)、結(jié)果、或輸出是什么?

在日志分類上，想必大家都能區(qū)分出：操作系統(tǒng)日志、應(yīng)用系統(tǒng)日志、數(shù)據(jù)庫日志、網(wǎng)絡(luò)設(shè)備日志和安全設(shè)備日志的基本不同。而各類日志所記錄的基本信息也應(yīng)涵括到：設(shè)備/服務(wù)本身的啟動/關(guān)閉/重啟，用戶的登錄/注銷/密碼修改，服務(wù)屬性的配置/變更，關(guān)鍵進程/端口的啟動/關(guān)閉，權(quán)限的切換，以及各種報警/故障信息等。

既然有這么多類型的日志，而且會產(chǎn)生海量的記錄條目，那么我們就需要用一套集中化的日志管理系統(tǒng)，通過使用syslog或syslog-ng之類的開放網(wǎng)絡(luò)協(xié)議來匯聚歷史信息，從而進行過濾和分析。說到這里，愛思考的小伙伴也許會問了：既然針對的是歷史信息，那么是否有針對實時的呢?我的回答是：還真的有，那就是SIEM(安全信息事件管理)，它可以對各類實時的記錄進行事件關(guān)聯(lián)與趨勢分析。

值得多說一句的是：一般日志管理系統(tǒng)都應(yīng)該能夠?qū)l(fā)送來的、各種格式的日志存儲到一個遵循ansi-sql規(guī)范的數(shù)據(jù)庫中，以方便日后生成適合審計的日志文件。

準確定位，有的放矢

前面我們介紹了各項基礎(chǔ)性的準備工作。Let’s move forward。正所謂沒有絕對的安全。那么一旦不幸發(fā)生了數(shù)據(jù)泄漏事件，我們應(yīng)該從哪里著手進行檢測甚至是取證呢?在此，我給大家提供一個可參考的速查藍本。

• 在用戶終端上，使用取證工具對電子郵件客戶端、瀏覽器的脫機內(nèi)容、瀏覽歷史等進行檢查。注意，有些人會使用到不同的瀏覽器(如IE、Chrome、Firefox等)，因此一定要逐一檢查每一個瀏覽器的歷史記錄。

• 在代理服務(wù)器的相關(guān)日志里檢查可疑賬戶訪問過的URL及其服務(wù)類型。

• 在可疑用戶使用過的各種外部存儲設(shè)備(如U盤、CD、DVD、移動硬盤、智能手機以及SD卡等)上直接或間接(如利用恢復(fù)工具)尋找蛛絲馬跡。

• 當然，用戶也可能身處企業(yè)之外，通過VPN連進來，或者是在企業(yè)內(nèi)連接到外部的SSH服務(wù)器進行數(shù)據(jù)的收與發(fā)。在這種情況下，我們一般只能找到有關(guān)連接的記錄證明，卻無法查看到具體傳送的數(shù)據(jù)內(nèi)容。

• 除了電子的形式，數(shù)據(jù)或文件也可能被發(fā)送到打印機轉(zhuǎn)成hard copy。在這種情況下，我們應(yīng)該對用戶端的假脫機程序或直接在打印機上進行檢查。

• 有時候用戶并非主動泄漏信息，而是其終端上的惡意軟件所致。對此，我們可以結(jié)合網(wǎng)上最近針對各類頻發(fā)的惡意病毒的相關(guān)對策進行逐一識別。這里就不贅述了。

識別關(guān)鍵，篩選策略

既然我們屢次提到日志和記錄，那么面對汗牛充棟的“大數(shù)據(jù)”，應(yīng)該如何大海撈針呢?我分享給大家如下的特征關(guān)鍵點，以便籍此進行篩選策略的制定：

• 新用戶或組的添加，對用戶權(quán)限的改變，身份驗證和授權(quán)的相關(guān)活動。
• 文件及文件夾屬性、注冊表鍵值以及計劃任務(wù)(自啟動項)的更改。
• 系統(tǒng)和軟件補丁的安裝和更新，新軟件的安裝、升級與卸載。
• 數(shù)據(jù)庫對象權(quán)限的修改。
• 達到資源門限值(比如CPU、內(nèi)存、網(wǎng)絡(luò)連接、網(wǎng)絡(luò)帶寬、磁盤空間等)所導(dǎo)致的應(yīng)用程序進程的中止、異?；驁箦e，網(wǎng)絡(luò)服務(wù)(如DHCP和DNS)的失敗，以及硬件故障等。
• FW/IDS/IPS/AV(防病毒系統(tǒng))的規(guī)則更改和端口調(diào)整。

日志元素，抽絲剝繭

在得到了上述篩選過的分類記錄之后，我們可以回顧一下在前面準備設(shè)計階段所思考過的問題列表。我們同樣可以進一步將“理想”照進“現(xiàn)實”，著手對如下的日志元素進行分析：

• 操作的類型，包括各種授權(quán)、創(chuàng)建、讀取、更新、刪除和網(wǎng)絡(luò)連接的接受。
• 操作的屬性，包括流程或事務(wù)的名稱或唯一標識號。
• 操作主體的特征，包括用戶名、計算機名、IP地址和MAC地址。
• 操作對象的特征，包括訪問的文件名、訪問數(shù)據(jù)庫的查詢/定位參數(shù)和記錄的唯一標識號、用戶名、計算機名、IP地址和MAC地址。
• 當操作涉及到更新數(shù)據(jù)元素時，其執(zhí)行前、后的不同數(shù)值。
• 操作執(zhí)行的日期和時間，包括相對應(yīng)的時區(qū)信息。
• 根據(jù)訪問控制機制，被拒絕的相關(guān)描述和原因/錯誤代碼。

日志維護，查缺補漏

最后，我給大家分享一下日志系統(tǒng)維護的落地和實操。

• 首先最為重要的、也是經(jīng)常被運維人員所忽略的是：日志管理系統(tǒng)必須保持其時鐘信息與內(nèi)網(wǎng)里各臺服務(wù)器的時鐘相同步。這可以通過設(shè)置NTP來實現(xiàn)，當然運維人員也可以每月檢查確認，并予以記錄。
• 各類日志內(nèi)容至少需要保存半年，關(guān)鍵系統(tǒng)的日志甚至可以延長為一年。
• 任何運維人員不得擅自停用日志服務(wù)。如需暫停某項日志記錄，則要走常規(guī)的變更管理的流程。
• 運維人員應(yīng)每周登錄到日志管理系統(tǒng)進行檢查，對日志中的錯誤或可疑項進行記錄。如發(fā)現(xiàn)有可疑的事件或無法判斷的內(nèi)容，應(yīng)提交給信息安全部門進行分析，處理結(jié)果應(yīng)當被補充標注到例檢中。
• 各類日志文件應(yīng)被集中管理和存放，同樣需設(shè)置相應(yīng)的日志文件的訪問控制權(quán)限，以防止未授權(quán)的篡改或刪除。
• 內(nèi)部審計部門應(yīng)當定期(如每季度)對日志的采集范圍和篩選策略進行檢查，并對各個系統(tǒng)管理員和操作員的操作記錄進行審計。

小結(jié)

隨著技術(shù)的不但迭代和升級，現(xiàn)在信息安全業(yè)界也出現(xiàn)了端點檢測與響應(yīng)(EDR)的解決方案。它不但可以基于威脅情報和大數(shù)據(jù)分析，來發(fā)現(xiàn)新的威脅行為或攻擊跡象，還能進行威脅追蹤和數(shù)據(jù)回溯。

我們做信息安全實務(wù)的，不應(yīng)該只會單純利用各類產(chǎn)品，像“打地鼠”那樣出現(xiàn)一個問題就去解決一個問題，而是應(yīng)該掌握基本全面的理念和思路，活用技術(shù)和產(chǎn)品實現(xiàn)1+1>2的閉環(huán)防護效果。各位老鐵，上述的娓娓分析，雖談不上什么庖丁解牛，但整體結(jié)構(gòu)還算比較清晰，相信愛思考、愛做筆記的您已經(jīng)能畫出一張思維導(dǎo)圖或是系統(tǒng)結(jié)構(gòu)圖了吧?好的，請直接拿去使用吧，不謝!

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】