Freebuf WitAwards:指掌易移动DLP产品解读

2017-12-06 39387人围观 企业资讯
  • 本文是WitAwards 2017年度互联网安全评选活动“年度创新产品”,对指掌易移动DLP(数据防泄露)产品的解读。

    来源:FreeBuf.com

    背景

    根据国际知名数据公司 IDC 发布的报告,2016 年中国社交化移动办公软件市场累计注册用户达到 1.6 亿人,累计企业用户达到 1158.4 万家,同比 2015 年分别增长 92.4% 和 87.2% [1]。进入 2017 年,这一数据又得到进一步增长。毫无疑问,移动办公已成为当前企业办公模式的主流。

    近年来,网络安全问题日益凸显,数据泄露事件频繁发生,全球各行各业都因为网络安全而受到不同程度的影响,其中移动安全所占的比重也越来越大,企业安全边界无限延伸。曾有调查表明,企业员工是企业网络安全事故的首要因素,其中人为操作失误、未授权访问、BYOD办公、不安全 WiFi 接入等都可能引起数据泄露等安全问题 [2]。随着数据逐渐成为企业移动端最重要的业务资产,移动安全技术的发展也从早期的移动终端安全,移动 APP 安全,迅速过渡到移动业务安全。 保护企业的业务应用,以及重要的业务数据,已经成为移动安全的首要任务。

    就企业内部数据泄露途径而言,主要分为三个层面:

    1、操作泄露:操作失误导致技术数据泄露或损坏;通过打印、剪切、复制、粘贴、另存为、重命名等操作泄露数据;

    2、存储泄露: 数据中心、服务器、数据库的数据被随意下载、共享泄露;离职人员通过U盘、CD/DVD、移动硬盘随意拷走机密资料;移动设备被盗、丢失或维修造成数据泄露;

    3、传输泄露:通过email、QQ、MSN等轻易传输机密资料;通过网络监听、拦截等方式篡改、伪造传输数据。

    传统的移动安全解决方案大多为企业移动管理(EMM)方案,主要是在设备管理(MDM)的基础上,实现应用管理(MAM)和内容管理(MCM)。许多企业都采取过这种方案保护移动办公的安全。但是, EMM 方案在发展中也体现出一些不足。首先,这个方案的重点在于设备的管理,主要依赖于设备权限,导致部署流程和管理操作都比较复杂;此外,此方案在实施中没有将企业数据和个人数据进行区分,导致员工个人隐私遭到不同程度的侵犯,且过多数据也增加了处理成本。如何能便捷高效地满足企业安全需求同时保护好用户隐私,成为了移动安全产品所需要解决的首要问题。

    在此背景下,数据泄露防护(Data leakage prevention, DLP)技术应运而生。DLP 又称为“数据丢失防护”(Data Loss prevention, DLP),有时也称为“信息泄露防护”(Information leakage prevention, ILP),是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。DLP这一概念来源于国外,是目前国际上最主流的信息安全和数据防护手段。

    41.jpg

    在国内,拥有 DLP 自主知识产权的厂商并不多,其中做移动安全出身的厂商指掌易在 2017 年发布了国内首款移动数据防泄露(移动DLP)产品,着力在在企业安全和用户隐私之间做到平衡。

    关于指掌易

    北京指掌易科技有限公司成立于2013年,其核心团队成员曾开发了中国最早的移动安全产品,并拥有上亿规模的用户运营经验。指掌易的客户已涉及军队、政府、教育、金融、能源、航空和制造等多个领域,还同微软、Google、三星、IBM、Intel和华为等生态链企业建立了合作关系,为其持续输出移动端的安全能力。

    指掌易 DLP 产品

    指掌易移动数据防泄露(DLP)产品是以独有的虚拟安全域(VSA)技术为核心,结合了(私有部署)云、管(传输通路)、端(移动终端),整合一体的全生命周期数据保护的DLP产品。基于移动应用级实现完整的数据加密及防泄露保护。简单理解即是通过虚拟区域,完全覆盖需要管理的企业应用,实现应用和应用内数据的加密以及防泄露。

    详细来说,指掌易的VSA技术可在移动设备上为用户生成一个专属的安全虚拟工作区,在工作区中,用户可以自由的访问企业应用,而企业业务和数据的安全性可以得到保障:如防截屏、防转发、防复制粘贴,禁用摄像头,数据传输和存储加密等。在虚拟安全域以外的应用、数据和设备权限,依然归员工个人控制。这样,就完美解决了企业信息安全和员工个人隐私间的矛盾。

    同时,指掌易在VSA基础上开发出了一整套移动办公安全的通用套件,包括安全邮件、安全文档、安全浏览器、安全云盘、安全即时通信IM以及移动安全接入隧道Tunnel,构成了独有的移动安全办公空间。

    产品测评

    据了解,指掌易移动 DLP 产品适用于所有企业级应用和按照客户要求的特殊应用的审计。而本部分内容则以安全邮箱测评为例,介绍其 DLP 产品的基础安全功能。

    在使用这项业务时,首先要将需要保护的应用通过指掌易提供的打包服务系统上传,经过处理形成新包后可直接在系统下载使用。这一环节可以实现统一分发,节省用户时间和人力,同时可支持多种应用场景。与其他厂商需要SDK方式或者需要应用厂商介入相比较,这样的打包系统的确便利不少,达到了轻量级的标准。对于企业而言,无需更改原有应用,只需在指定系统上传并进行一定的配置即可;对于用户而言,直接在指定系统中下载打包好的应用并在移动端安装,与常见应用下载流程毫无区别,也不需要额外操作。

    此外,这个打包系统还可以配置权限证书、签名、角标(Android)等信息;上传的应用也可以选择 iOS 或 Android 版本。在这种设置下,整个系统呈现出有较高的兼容性和较强的适配性,无须改变企业原有的 IT 和安全架构;而企业已部署的移动安全产品,只需要几个简单的设置,即可包容在整个系统中。

    指掌易的移动 DLP 产品主要有以下功能:

    1. 禁止将数据向无防护应用复制、禁止使用应用截屏和系统截屏

    用户下载打包后的应用后,这个应用相当于在手机端形成了一个虚拟安全域。应用中的内容无法复制粘贴到非安全域的(非防护)应用中,可以防止企业重要数据泄露。而同时,安全邮件本身作为一个可控的应用,在应用内部,可以实现复制粘贴,不会影响业务正常使用,可以保证企业安全应用内部之间的互相沟通。也就是说,这个应用在实现安全功能的同时,也不影响内部沟通。

    此外,在安全应用界面无法截屏,这能够确保安全应用界面的内容不会通过截屏,以图片的形式泄露出去。

    42.jpg

    图1 系统提示“涉及隐私内容,无法截屏”

    2. 在应用界面增加水印

    企业可在管理后台为应用加装水印,且可做灵活配置(见下图),其中水印可选择:用户姓名、公司名称、用户手机号等。通过这种设置,可以形成有效溯源,就算通过第三方拍摄应用界面内容并泄露,也能根据显示的水印信息发现泄露的源头。

    43.jpg

    图2 可灵活配置水印功能

    3. 禁止使用摄像头、禁止访问多媒体文件

    经测试,在安全应用中内,无法启用摄像头,也无法访问多媒体文件;可以防止企业环境、办公区域、办公内容经过拍摄造成外泄,也可防止企业相关的多媒体文件泄露。对于无法访问文件带来的不便问题,指掌易也有一定的应对策略:如果使用本地资源(如图片、文件),可以在管理后台对策略做灵活配置;如果资源来自企业,还可结合企业云盘策略,实现更完整的保护,并带来更好的用户体验。

    44.jpg

    图3 安全应用中禁止调取多媒体文件

    4. 启用文件加密(AES256、SM4)

    通过管理后台,企业可以对存储在SD卡上的数据进行加密(外置、内置SD卡),防止文件通过非安全域中的应用分享或拷贝出去。企业封装过的、权限为文件加密的应用都能正常访问。

    5. 禁止使用Wi-Fi

    目前,有很多网络攻击者通过钓鱼 Wi-Fi 窃取数据信息,不仅损害个人利益,一旦获取到移动设备中的企业信息,造成的后果更是不堪设想。对于接入企业的网络来说,需要限定企业应用的上网方式,通过安全的方式进行上网行为,避免恶意入侵。而移动 DLP 产品通过虚拟安全域设置,可以对 Wi-Fi 接入进行限制,禁止接入限定网络之外的 WiFi,防止Wi-Fi 钓鱼造成的数据泄露。

    45.jpg

    图4 限制Wi-Fi接入

    对于用户而言,除了这些安全功能,应用的正常业务功能并不受影响,能够实现业务需求,易于操作。

    当然,安全邮件的完整解决方案,还需要依赖安全邮件网关来实现。安全邮件网关能够实现邮件内容的加解密、分发控制、安全审计、准入过滤控制。此外,安全邮箱只是企业移动安全办公的一个应用,配套使用其他应用(IM、office、云盘、浏览器、移动应用安全网关等),才有助于实现更完整的移动安全办公。而其他应用则会通过安全接入审查等(非安全APP的准入过滤、审计、策略控制等)实现更安全的管控。对此,指掌易也在各个环节做了一定的安全部署,给出了全生命周期的解决方案。

    除了基础的数据防泄露功能外,指掌易的移动 DLP 产品还能定制深度的防泄露能力。在虚拟安全域以外的区域(即安全应用以外的区域),其数据绝不会被采集,保证了员工个人隐私的安全。 可以说,这类移动 DLP 产品在操作层面(操作失误或剪切、复制、粘贴、另存为、重命名等操作泄露数据)、存储层面(数据中心、服务器、数据库的数据被随意下载、共享泄露或通过U盘、CD/DVD、移动硬盘随意拷走机密资料)和传输层面(通过email、QQ、MSN 等轻易传输机密资料或通过网络监听、拦截等传输数据)都实现了一定的安全防护;同时,也实现了企业安全和用户隐私之间的平衡,能够让企业在保证安全的同时达到合规的要求。

    总结

    在移动办公势不可挡的今天,如何保护企业业务应用与业务数据已成为各大安全厂商关注的重点。除了安全这一核心功能,轻量级、兼容性高、适配力强、用户体验佳等,都是移动安全产品的竞争要素。在这些要素上,指掌易做出了大胆的探索和尝试,其基于虚拟安全域功能的 DLP产品为企业提供了具备无限扩展能力的环境,兼容、适配不同的企业应用,易于打包安装、操作轻便,无需用户额外操作。此外,又在确保安全的同时,不侵犯用户隐私,贴合当下用户诉求。

    移动安全防护永无止境,随时都会有新的隐患和新的需求出现。未来,企业依然需要持之以恒地研究用户的使用痛点、把握用户真正需求,创新变革,做出更好的移动安全产品。

    参考来源:

    [1] http://conferencecall4.com/news/guonei/506326.html

    [2]https://wfis.wellsfargo.com/insights/whitepapers/Documents/Empl-Caused-Data-Breach-WhtPaper-FNL.pdf

    * FreeBuf官方出品,作者:AngelaY

相关推荐
取消
Loading...

最近文章

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php