企业安全的未来取决于智能DLP系统

在我的故事开始时，我想指出 DLP 系统不应被视为解决仅与人员安全相关的狭窄范围问题的东西。如今，DLP 系统正在解决范围广泛的任务，包括合规、风险管理、反腐败、人员和企业内部安全。

人员安全和信息安全

人员安全是DLP的主要任务之一。这些工具有助于降低与员工粗心行为以及恶意内部活动相关的风险。许多公司已经拥有内置的信息安全生态系统，但如果内部人员有效工作，即使是成熟和完善的系统也面临风险。因此，人员安全如今发挥着越来越重要的作用。

公司安全高度依赖于三个安全领域：信息、人员和网络。如果安全问题涉及技术问题，例如如何穿透数据存储，那么这就是网络安全问题。当我们谈论人们的行为时，这就是人员安全。最后，如果任务与业务流程相关，那么这就是信息安全。

只有通过 IT 部门、信息安全和人力资源团队之间的适当互动，才能实现高效对抗安全威胁。因此，DLP 正在成为连接所有业务保护领域的日益全面和集成的工具。

为了得到更好的保护，您不仅应该考虑实际风险，还应该考虑潜在威胁。因此，收集数据、正确分析数据并随后得出正确结论至关重要。

人员安全风险

DLP 工具解决的主要风险是数据泄露、欺诈、为竞争对手工作的员工等。这些主要风险主要与经济领域有关。然而，DLP 是信息安全的“瑞士刀”，其功能可以连接各种任务。

DLP 系统可帮助公司规避主要与财务和声誉相关的风险。但是，对于政府组织，情况就不同了。后者处理战略数据，损害会严重影响整个国家。因此，DLP 在公共部门变得至关重要。

人员安全领域正在发生变化。以前，我们必须主要处理由于疏忽造成的事件——绝大多数情况过去都是无意的。今天，我们看到恶意的急剧变化。

主要作为潜在风险存在的风险现在已经成为现实。到目前为止，许多中型公司认为他们不需要特殊保护，因为他们没有重要或敏感的信息。现在他们面临这样一个事实，即员工有目的地策划恶意行为。员工通常是攻击的组织者或参与第三方组织的行动。此外，外部参与者在员工的设备上安装手机跟踪应用程序并以不知情的方式使用它们的情况并不少见——“盲目地”。

早些时候，恶意意图通常仅限于恶作剧或报复。破坏活动也很普遍。现在，任务是真正突破边界并掌握机密数据。

对于 DLP 系统，这会产生新的因素和评估。有必要考虑员工的工作地点和他们的职位在安全方面的关键意义的级别。

DLP系统在人员安全中的使用实践

应通知员工有关引入的安全控制。他们还提供一揽子文件以供签署。员工必须了解所收集的数据属于信息安全领域，可以在法庭上使用。

例如，在 DLP 的帮助下，可以通过向员工发送包含商业机密的文件和屏幕截图来证明员工为竞争组织的利益做了某事。当员工使用公司设备谋取私利时，也可以挖掘证据。

从技术角度来看，该系统看起来尽可能简单。有端点和网关收集有关合法和非法事件的数据。为了响应合法事件，必须创建特殊规则。

DLP系统的问题

主要的人员安全风险来自恶意内部人员。除了内部人士，还有与特权用户相关的风险。DLP 可以从公司所有部门收集用户数据。但是，这需要高能力和正确设置 DLP 规则。

在实施 DLP 时，应注意 DLP 系统的运营商。他们可能会遇到个人信息，并且在处理这些数据时必须了解他们的责任。

安全团队过度关注 DLP 系统工作的技术部分。同时，很少注意与人合作。因此，必须了解攻击者也是人。正确解释他们的行为和及时的预防措施将使您能够建立有效的对策。

同样值得关注的是不同公司使用 DLP 的文化差异。并非所有客户都与 DLP 供应商分享他们的问题。供应商可以协助选择有助于识别问题根源并找到解决方法的规则。但是，许多客户不共享此类信息。原因可能不同。首先是信息可以被归类为严格机密（在某些组织中，这是国家机密）。但我们经常处理公司中特定的安全文化。很少有公司坚持开放，大多数公司更愿意尽可能地封闭。

一些 DLP 客户并不认为 DLP 是一个需要定期修改控制规则以解决新问题的“活”系统。相反，他们认为 DLP 是一种自动工具，在安装过程中只需设置一次，无需再次触摸。

学习使用 DLP 系统

应特别注意培训和学习 DLP 系统操作规则的问题。例如，谁以及何时可以成为 DLP 系统的操作员或分析员？这个话题相当热门，尤其是对外包的兴趣越来越大。

没有专门的课程或教材可以全面学习DLP操作规则。相反，大学只教授经济安全。该知识不适用于 DLP。基本上，培训在 DLP 供应商开设的专门中心进行，这些中心教授如何使用他们的系统。当员工自己获得经验时，其余的培训以自学模式进行。

很多时候，前执法人员被招募与 DLP 合作。但是，只有他们了解收集到的信息的价值，并且对工具、方法和场景有经验。不幸的是，完成经济安全培训的普通毕业生对 DLP 几乎没有用处。

DLP 神话

关于 DLP 工具一直有很多神话。神话源于对系统运作缺乏了解和原始恐惧，甚至经常由其他人表达。但是，当您深入研究 DLP 系统的结构及其原理时，所有的神话都会自行消除。以下是一些神话：

• 十年前，您可以听到员工谈论引入 DLP 后出现的严重担忧。仍然有一种观点认为，DLP 是许多员工的私人敌人，因为它会监视他们并侵犯他们的隐私。
• 其他神话也出现了。关于 DLP 系统的“高”成本有一个公认的神话。
• 关于 DLP 安装的过度复杂性以及开箱即用的不可能，还有一个令人讨厌的神话。
• 在启动 DLP 的初始阶段，已经发布了数百个安全事件，吓坏了许多商业领袖。结果，人们认为 DLP 很难使用并且害怕使用这个系统。
• 对于 DLP 系统的过度资源消耗，也有一个公认的判断。“他们将关闭网络上的所有计算机”——这样的话经常可以听到。
• 还值得注意的是，DLP 系统供应商可能会使用其客户的数据，从而给公司带来风险。
• 最危险的神话是 DLP 系统据称可以在安装后自行提供安全性。但安全主要是处理安全问题的称职员工。DLP 只是一种用于安全目的的工具。

同样，正确评估您的风险和需求、与供应商密切合作以及正确实施 DLP 将有助于消除所有误解。

改进 DLP 系统的技术

DLP 的未来前景主要与引入行为分析（UBA和UEBA）有关。此类系统允许您对员工进行评级，这有助于跟踪风险并识别和预防严重事件。

与 UBA 和 UEBA 的集成允许员工裁员预测和识别数据积累以将其带到外围。UBA 和 UEBA 还可以通过识别与计划诋毁公司或检测员工不忠行为相关的业务流程中的违规和异常情况来帮助改进 DLP。

在标准 DLP 框架内解决这些问题具有挑战性，因为没有与此类事件相关的明确安全事件。然而，新技术使得更准确地预测各种风险情况的发展成为可能。

目前，UBA 还没有真正“起飞”，因为这个话题有很多猜测。供应商害怕跟不上市场趋势，尝试添加 UBA 功能，但在缺乏实际专业知识和独特研究的情况下，他们收效甚微。

以目前的形式实施 UEBA 也很棘手，因为在实践中，有太多不同的格式。而且，UEBA机制的结果过于依赖数据源，稍有变化就会立即导致结果的差异。因此，首先需要对 UEBA 的输入数据进行形式化。这将提供正确的分解。

人员安全系统发展趋势

DLP 客户总是希望有一个大红色按钮。通过单击它，客户希望立即获得结果。这是理想的目标。DLP 供应商才刚刚开始使用它。当 DLP 系统可以处理大量复杂数据时，我们将使用它。

很多事情已经在做。预计人工智能的自动化水平和广泛使用将很快提高。运营 DLP 的人工成本将会降低。更好地识别事件并自动化配置和策略设置将成为可能。机器应该完成工作的中心部分。DLP 官员将只参与决策，而不参与技术问题。

从技术发展的角度来看，DLP 将走向与其他安全解决方案的集成。例如，DLP 有望与DCAP、UBA 和 UEBA 集成。整合已经迈出了第一步。例如，在SIEM产品中积极使用 DLP 日志来评估事件的相关性。