技術文章

2019-05-23防範機敏文件外洩首要落實Email DLP佈署與政策管控

70%的機敏資料外洩都是透過Email 管道的,由於企業DLP範疇太大,要全面實施所費不貲且曠日廢時,所以實務上,企業首要落實在Email管道的外洩防範,成果也最為有效。

DLP何其大?要從哪開始呢 - 企業實施Email DLP 是落實全面DLP的試金石:

機敏資料外洩防護產品近來受到企業高度重視,而今電子郵件在今日企業間扮演營運商務的重要資訊流平台,舉凡訂單、合約、設計圖、技術、製程、配方、程式、人事、營運、財務等資訊都通過Email傳遞,儼然是企業最關鍵的知識資產(KM asset)來源。為保護組織的智財(IP:Intellectual Property)在電郵通訊上的安全,企業必須在Email 管道上做好機敏資料外洩防範,企業佈署郵件稽核,可以有效避免機敏資料因電郵管道不當外洩並可以事後提出舉證資料,就法規遵循上除了恪盡『善良管理人之責』,並且落實企業端『具備舉證的能力』,同時亦可證明「已採行適當之安全措施」。

大多數敏感資料外洩或遺失都是由認知不足的員工所造成,根據統計約 80% 資料外流來自授權的內部使用者,資料加密對於這類來自員工無意間疏失或是計畫性犯罪的「企業內賊」案例,則是束手無策。沒有任何一項產品或技術可以防止所有的資料外洩!最佳對策是選擇一套適當防衛機制,為企業防堵可能的資料外流。在IT嚴格地資安管控的現在,絕大部分的外洩管道均可被有效管控,但唯有Email不容易!根據統計有70%的機敏資料外洩,都是透過Email 管道的,由於企業DLP範疇太大,要全面實施所費不貲且曠日廢時,所以實務上企業首要應落實在Email管道的外洩防範,成果也最為有效。等到Email-DLP導入一段時間後,再評估是否全面導入DLP,其中在Mail DLP方面建議使用前後稽核的外洩防衛與證據舉證策略,這種策略最理想,其中包括下列各項:

企業避免機敏資料或智財(Intellectual Property)透過Email管道外洩或因應相關IP或法規訴訟舉證所需的步驟應為:

  • 一、首先做好善良管理人的義務及舉證(自我保護)工作,也就是導入郵件稽核工具;
  • 二、透過專業顧問服務進行輔導,了解機敏資料分類、釐清資料Email流向、整理郵件架 構、員工有無資安意識、教育訓練等;
  • 三、查核組織內外間通訊行為與機敏內容,補強缺乏控制的流程或安全檢核點;
    • 機敏資料或智財(Intellectual Property)透過郵件管道需經相關單位審核
    • 監控組織與外部客戶與供應商間[通訊行為]與[機敏內容]
    • 確保與客戶/供應商/外包商/其他外部網域間通訊符合競業條款
    • 特定通訊對象或機敏內容信件自動加密
    • 規範組織與單位符合整體通訊行為政策
    • 避免不當言論外洩
    • 特定單位或人員監控
    • 各單位異常郵件流量動
  • 四、彙整各部門需求,訂定相關公司與部分的郵件稽核政策
  • 五、佈署Mail DLP與郵件歸檔相關產品,落實Email資料管控政策。

完整的Email DLP防衛系統應兼顧為『郵件前稽核』與『郵件後稽核』

  • 郵件前稽核(Email Pre-Audit)

    即時資料的稽核,確保內部機敏資料外洩與事前預警機制。系統可針對企業內送或外寄信件設定郵件稽核管理規則,而符合稽核條件的郵件,將觸發規則而遭攔截留置在待審區或是觸發相關審查通知流程,待相關主管審核後放行,以確保機敏資料或個資不外洩。

    稽核處理動作需支援郵件審核,除依組織成立主管審核區外,同時提供符合條件滯留、退信、通知管理員、Bcc主管、間接或直接傳送、上標籤、且相關信件可以做歸檔或監控通知寄送,以符合法規所規範的資料安全性準則。

    在積極防衛方面,避免機敏資料外洩最好方法,就是系統主動感知機敏資料並加密後外寄,搭配其他正確辨識郵件署名的方法或工具,則可大幅降低企業機敏資料外洩與郵件詐騙的威脅,因應此需求,Nopam Mail DLP 提供了三大郵件加密機制,依照郵件所觸發之郵件政策,提供郵件自動加密功能,支援By Policy 稽核閘道自動加密功能,郵件觸發相關政策時,自動對郵件進行加密後寄出,收件者需密碼方能開啟該封郵件,

    機第一種一般ZIP郵件加密;
    第二種是高階的TFG加密;
    第三種PDF加密,即是最受金融單位廣為使用的。

    需將郵件轉成PDF格式並加密。若郵件內含附件,當郵件被轉成PDF時,必須將其附件嵌入PDF,以PDF內嵌附件的方式寄送給原收件人。手機 (包含iOS、Android作業系統) 上之Adobe PDF reader,亦可以觀看本稽核系統轉換後的PDF嵌入附件格式。另外,郵件密碼產生方式可藉由網域管理員定義下列密碼產生方式,如隨機產生,或每一寄件人設定其專用密碼,網域管理員可選擇密碼通知函寄送對象等等,提供主動式Mail-DLP 郵件自動加密功能。

  • 郵件後稽核(Email Post-Audit)

    針對歸檔郵件資料的稽核,提供日常稽查或事後追查可疑的事件及人員。提供完整歸檔企業郵件,包含外對內、內對外、內對內(IN-OUT 、Local to Local)等流向的信件。並透過相關搜尋引擎技術,提供巨量資料的快速搜尋調閱(Search over BIG DATA)與郵件生命週期管理(Email Life cycle management)的規劃並結合相關後稽核引擎(Proactive Audit Engine)提供歸檔信件,依企業所需查核政策,提供後稽核上自動稽核機制與敏感資料內容感知偵測,以符合法規要求的長時間的稽核舉證需求與舉證時限內的規範。 提供稽核人員快速進行的包含郵件各種欄位與相關附件的內文全文檢索,調閱符合稽核條件的信件,選擇進行重送、下載、轉寄、轉寄鏈結、轉寄為附件或上標籤或稽核註記等工作,並提供稽核報表與佐證信件的輸出。

▲ 完整的郵件稽核策略應考量前稽核與後稽核

如何評估與選擇一套良好的郵件稽核系統

個人資料屬於企業機敏資料一環,亦是企業寶貴資產。綠色運算長期於電郵資安與雲端運算市場長期經營,在電郵稽核技術,除協助高科技產業郵件稽核的解決方案,近幾年亦協助電信業者相關郵件稽核雲端的開發與建置,如近年來協助中華電信建立全台最大的郵件後稽核雲端(Mail Archiving Cloud) ,提供上萬家企業組織雲端歸檔與稽核的解決方案。

綜觀目前電郵稽核技術,根據輔導經驗發現,有兩大基本問題值得客戶導入實作切實地評估:

事前稽核機敏資料含個資等,是否能有效偵測攔截
事後稽後機敏資料含個資等,是否能有效探勘舉證

技術的良莠與否,取決於該攔截的機敏資料是否可正確攔截? 有問題的機敏可疑信件是否於事後可以探勘舉證出來? 例如,企業若導入archiving 系統,於事後卻無法調閱『含有個資的信件』,『含有程式碼的信件』,『[業務部們]外寄郵件含部門敏感關鍵字附件,沒有知會主管,將信件寄往競爭對手們相關網域的信』有哪些? 上述問題若非,那導入該系統就在實務上的意義就大大減弱效益,甚至毫無意義

▲ Journal based Mail archiving 與郵件後稽核引擎

針對上述的客戶實境,綠色運算除了開發regular compliance 的中文化個資掃描引擎,針對郵件流中的中文姓名識別、全國各縣市地址,另外還支援身分證號碼、信用卡號、護照號、市話、手機號碼以及電子郵件位址或其他客製證號的個資偵測,確保各類個資組合都能精確掃描偵測!

個資或機敏資料偵測、支援雜訊、容錯、模糊比對、部分比對等進階比對功能 (如:陳兆寧與陳經理兆寧、陳組長兆寧、馬英九與馬總統英九、馬主席英九)均可以辨別為中文姓名。

可依自定義規格定義相關個資風險資料偵測rule{系統有預設值,ID 可以是身分證、信用卡、護證照、病歷或相關客製證號(保單號)}

  • 姓名+地址 (Found n次,n可指定)
  • 姓名+手機 (Found n次,n可指定)
  • 手機+地址 (Found n次,n可指定)
  • ID+手機 (Found n次,n可指定)
  • ID+市話 (Found n次,n可指定)
  • ID+地址 (Found n次,n可指定)

自訂個資組合或證號pattern (Found n次,n可指定),如 超高風險個資:信件內含姓名、身分證號、信用卡、護照號、市話、手機號碼以及電子郵件出現N種,各出現N筆 中度風險個資:ID證號+另一單一或多重個資(電話、手機、地址、email) 出現 n筆 (各類風險參數可自訂,可類推自定義) 定義後可輸出相關個資掃描與風險分析相關報表,以提供糾舉、提報、改善、舉證等相關用途

除個資外,在MDLP (Mail Data Leak Prevention),有別一般廠商關鍵字與正規表示式比對,綠色運算以卓越的大量資料集(辭典檔)比對引擎技術 (MPM-Multi-Pattern-matching)提供優越的偵測探勘引擎比對技術。何謂MPM技術,我們舉例一些高科技稽核實際案例說明,這些案例若不具備MPM技術,則很難在實際應用案例上,在稽核政策定義上可能就會抓禁見肘(當然,無法下政策就無法事前偵測或事後探勘)。

如高科技產業一些案例,若一般只提供關鍵字或正規表示式比對的電郵稽核系統,則很難於實務上應用或無法下稽核政策,如以下高科技產業常見稽核管控政策。

收件者只能含單一客戶網域,不能出現其他客戶網域於同一封信
客戶與供應商或外包商To/RCPT不能出現在同一封信
RD 部門外寄信件到免費信箱網域一律攔截
信件外寄所有收信欄位的收信人須都符合公司公務通信清單成員
多個專案team(或業務),只能寄信給屬於自己專案的客戶對象(各有自己的公務通訊清單),不可寄給其他非自己專案的客戶,可以寄信給不在上述所有通訊清單的對象.這要做稽核管控與分析 (即各專案組織不能與非自己客戶通信)
除[處級主管]以上,外送信件一律先做[關鍵字組權重(3分)式辭典檔檢查],有含關鍵內容則攔截。不含關鍵字仍需檢查[是否有附件],附件若cc給[主管]則放行,沒給主管若是通信對象為[公務清單]者放行
常會有專案組織,公務通訊清單,限發清單,拒絕清單,客戶清單,廠商清單,BU客戶清單,部門關鍵字典等Data set 設計
一般compliance偵測 (如個資法SOX,PCI,Basel,Hippa)

綠色運算從Appliance-Package-Project-Cloud,提供一系列的郵件稽核解決方案,就電郵稽核技術上提供best of breed 與先進的偵測與探勘技術。

最後,提供經驗上的分享-如何選擇良好的電郵稽核產品?

只有關鍵字與正規表示式表比對的方法無法滿足稽核實務(一般產品)
資料集(大量關鍵字或多模式樣pattern)如何比對? (如收件者符合公務清單如何比對? 符合部門關鍵字3個以上或分數6)
是否具有資料集(辭典檔權重)比對引擎技術(MPM-Multi-Pattern-Matching)
最簡單的方法是直接舉稽核的政策(如:RD部門外寄信件到免費信箱網域一律攔截)做實際產品POC驗測
產品是否提供最佳的稽核比對技術,效率與易於維運的稽核政策管理方式
歸檔產品是否提供自動化稽核或舉證探勘的工具或引擎

評選上的建議:

隨著法規修訂的腳步,個資法議題與需求在資安市場的熱度也持續上揚。對於企業而言,若要妥善管理與保護數量龐大且分散的個資,每天收發無數的電子郵件也是不容忽視的一大環節,要想做好個資保護與安全,郵件稽核管理便是第一步。實務上,建議使用單位應以實際應用案例(real audit scenario)去定義一些Policy 做稽核結果驗測,而非測試局部產品規格功能,會比較符合企業實務稽核上的需求。

作者:陳兆寧larry@green-computing.com
任職於綠色運算

Top