HackMDtags: 專題討論
DLP、DRM整理
DLP - 1
ref: https://digitalguardian.com/blog/what-data-loss-prevention-dlp-definition-data-loss-prevention
What is Data Loss Prevention (DLP)?
一組工具或流程,用於保護敏感數據不丟失、被濫用或被未授權訪問。DLP軟體分類受監管、機密和商業關鍵資料,並識別對組織定義政策的違反,通常這些政策包(policy pack)由HIPPA、PCI-DSS、GDPR等規定驅動。若發現違規行為,會透過警報、加密、或其他保護行為防止終端使用者意外或惡意分享可能造成組織風險的資料。DLP軟體、工具監視和控制終端活動,過濾公司網路的資料流,並監視雲端資料保護閒置、使用中、流動的資料。DLP也提供報告以符合compliance和auditing需求,並識別弱點區域、anomalies for forensics、事件響應。
Do I Need Data Loss Prevention? 3 Main Uses Cases for DLP
DLP解決三個主要目標,也是很多組織的痛點所在。個人資訊保護/合規性、知識產權IP合資料可見性(data visibility)。
-
Personal Information Protection / Compliance
若組織儲存個人身分資訊(PII)、受保護健康資訊(PHI)、支付卡資訊(PCI),會受到法規的約束,比方說HIPAA(針對PHI)和GDPR(針對歐盟人的PII)。DLP可以識別、分類、標記敏感資料,監控該資料周圍的活動和事件。報告也提供審計需要的材料。 -
IP Protection
若組織有重要的IP或貿易國家機密,丟失或被盜竊可能導致財務或品牌形象受損的風險,DLP,比方說基於上下文分類的Digital guardian可以對結構化或非結構化IP進行分類。透過適當的政策、控制,可以保護防止資料外洩。 -
Data Visibility
若組織尋求獲取額外的可見性到數據移動,全面的企業DLP解決方案可以協助查看和追蹤端點、網路、雲端的資料。可以了解組織中各用戶如何跟資料互動。
以上是主要的範例,DLP也可以解決其他問題,內部威脅、Office365資料安全、用戶與實體行為分析、高級威脅。
Why Data Loss Prevention? 7 Trends Driving DLP Adoption
丟失防護的市場越來越大。DLP市場並不新,但已經發展為包含託管服務、雲端功能額先進威脅防護等。這些加上大量資料外洩的上升趨勢,可以見到DLP作為一種手段的採用會上升。以下使推動DLP的九大趨勢。
- The Growth of the CISO Role
許多公司有CISO(首席安全官),向CEO匯報。比方說防止資料外洩的計畫。DLP有明顯的價值,為CISO報告提供功能,方便定期更新。 - Evolving Compliance Mandates
法規變化,組織需要適應做好準備。過去歐盟紐約通過GDPR和NYDFS,收緊保護資料要求。DLP可以順應法規發展 - There are More Places to Protect Your Data
雲端使用曾,複雜供應鏈和不完全控制使保護變複雜。在資料離開組織前了解事件和事件上下文對於保護而言很重要 - Data Breaches are Frequent and Large
來自國家的網路犯罪和惡意內部人員增加。DLP可以防禦各種惡意或非惡意的對手。 - Your Organization’s Stolen Data is Worth More
遭竊資料通常在暗網出售,可以購買並謀求私利。故資料竊取有經濟動機。 - There’s More Data to Steal
敏感資料的定義擴大,包還無形資產,方法或者模型。表示有更多資料要保護。 - There’s a Security Talent Shortage
安全人才的短缺部會很快消失,可能已經造成影響。託管DLP可以充當團隊的遠程擴展,填補缺口。
Data Loss Prevention Best Practices
-
Determine your primary data protection objective.
確立目標對於確定最合適的DLP部屬跟架構有好處。四種主要的部屬架構分別為端點DLP(Endpoint DLP)、網路DLP(Network DLP)、Discovery、Cloud。 -
DLP is not a security-only decision.
若沒有DLP計畫的預算,則需要CFO或CEO的支持。利用不同部門的痛點闡釋DLP如何解決問題。 -
When researching DLP vendors, establish your evaluation criteria:
- 那些部屬架構被提供
- 他們是否支援Windows linus 和具有feature parity的OS X
- 他們提供那些部屬選項? 是否有託管服務
- 防禦目標是內部、外部抑或是兩者的威脅?
- 是否需要基於內容或上下文的檢查跟分類? 使用者是否能對文檔進行自我分類? 需要混合多種方法嗎?
- 最關心的是保護結構化還是非結構化資料
- 是否有根據策略、事件或用戶查看和進行資料移動
- 受到那些法規約束? 即將出來那些新規定?
- 他們的技術合作夥伴是誰? 那些技術希望與DLP集成?
- 需要多快部屬?
- 是否需要額外雇員維護DLP?
-
清楚定義組織中每人的角色和責任。建立基於角色的權利義務將提供制衡。
-
Start with a clearly defined quick win.
組織時常常試複雜的初始新計畫,並試圖一次解決很多問題。定義初始方法並設定快速可衡量的目標。應該採用project approach,縮小範圍並專注在特定資料類型,重點在於敏感資料的發現和自動分類去控制出口(egress)。 -
和業務部門負責人一起定義將用於管理資料的DLP策略。這可以確保不同業務部門了解現行的政策以及可能的影響。制定DLP策略沒有唯一正解。通常DLP策略要和企業文化一至。
-
Document your processes carefully.
這會讓你有不變的應用策略,提供一份紀錄用於審查,在新成員或員工加入也有幫助。 -
Define success metrics and share reporting with business leaders.
決定關用於衡量和監控的KPI,已確定DLP計畫是否成功和需要改進的地方。與組織領導分享DLP的正向影響和商業價值。 -
DLP is a program, not a product.
安裝DLP工具只是DLP的第一步。雖然效果很快速,但了解DLP是一個需要持續運作的程式會幫助維持效果。DLP是一個不了解資料和用戶、系統和事件如何與資料互動以便更好保護的過程。
Experts Weigh in on Data Loss Prevention
專家對DLP的看法
1
DP是每個人的工作,每人都有責任維護資料安全標準。雖然IT部門完成大部分工作,帶組織中的利益相關者會影響策略跟實施。
資料洩漏導致品牌受損、違規和罰款、銷售跟客戶損失。故IT部門的影響力不足以解決。
在為DLP解決方案建構案例時必須讓領導參與,它們會成為主要的利益相關者。在discovery階段就讓他們加入,使其有機會看到演示並在簽屬前提問。各組織需求不同,但讓各個領域的人都討論會有幫助
2
加密很重要。當然,安全不只是加密。但加密是安全的關鍵要素。雖說大多不可見,每天都使用強加密技術,否則網路會是風險更大的地方。
若處理得當,強加密是無法破解的。任何加密的弱點會被駭客、罪犯、外國政府利用。許多駭客攻擊都是因為若加密,甚至根本沒有加密。
3
注意內部威脅。
DLP - 2
What is DLP?
Gartner定義的DLP是通過電子郵件和即時通訊等傳遞資訊的app發送的資料執行內容的檢查和上下文分析技術,資料在網路上移動;在託管端點設備使用;在本地文件伺服器或雲端app和雲端儲存庫中停留。這些解決方案根據定義的策略和規則反應,以解決無意或意外洩漏或暴露敏感資料的風險。
DLP技術大致分為企業DLP(Enterprise DLP)、集成DLP(Integrated DLP)。前者是全面的,封裝在機器的agent software中,比方說桌機、伺服器、用於監測網路和電子郵件流量的物理或虛擬設備,又或者用於資料發現(data discovery)的軟設備(soft appliances)中。後者則僅限於安全網路開關(secure web gateways, SWGs)、安全電子郵件開關(secure email gateways, SEGs)、電子郵件加密產品、企業內容管理(enterprise content management, ECM)平台、資料分類工具、資料發現工具和雲端存取安全broker(access security brokers, CASBs)。
How does DLP work?
理解DLP的關鍵是了解內容感知(content awareness)和上下文分析(contextual analysis)的差異。一種考慮差異的方法是,若內容是信件,上下文就是信封。內容感知涉及捕獲信封並查看裡面分析內容,但上下文包含外部因素,標題、大小、格式等任何不包含內容的因素。內容感知背後的想法是,雖說想用上下文分析獲得更多內容有關的知識,但不想被限制在單一上下文中。
打開信封並處理內容後,有多種內容分析技術來觸發違反策略的行為,包含:
-
Rule-Based/Regular Expressions:
DLP最常用的是技術包含一個引擎,它分析特定規則的內容,比方說16位信用卡號、9位社會安全碼等。這類技術是很好的first-pass過濾器,因為規則可以被快速配置和處理,儘管沒有效驗或驗證識別有效模式的形況下容易出現高誤報。 -
Database Fingerprinting:
也稱作精確資料配對(Exact Data Matching),查看出自database dump、live database的精確匹配(exact match)。雖然和兩者的連接會影響效能,但這是來自資料庫的結構化資料的選擇之一。 -
Exact File Matching:
檔案內容不被分析,而是配對檔案的hashes和exact fingerprins。提供低誤報率,儘管這個方法不適用具有多個相似但不同版本的文件 -
Partial Document Matching:
查看對特定檔案的完全或部分匹配,例如說不同使用者填寫的多個版本的表單。 -
Conceptual/Lexicon:
使用字典、規則等等的複合,這些策略可以對非結構化的想法提出警告,它需要針對提供的DLP解決方案進行客製化。 -
Statistical Analysis:
使用ML或其他統計方法,比方說貝葉斯分析去觸發安全內容的策略違反。需要很大量的資料去掃描,越多越好,否則容易誤報或漏報。 -
Pre-built categories:
為常見的敏感資料類型預先建立有規則和字典的類別,例如信用卡號/PCI保護、HIPPA等等。
現在市場上有很多技術提供不同類型的內容檢查。一件需要考慮的是當很多DLP供應商已經開發各自的內容引擎,有些則部屬了並非為DLP所設計的第三方技術。比方說,DLP供應商可能從搜尋引擎提供商獲得技術許可,可以配對信用卡號。當評估DLP解決方案時,密切注意每個解決方案對敏感資料的真實corpus檢測到的模式類型,以確認其內容引擎的準確性。
DLP best practices strengthen data security
DLP的最佳時做結合技術、流程控制、有知識的員工以及雇員的意識。下面是開發有效DLP程式的推薦指南:
-
Implement a single centralized DLP program
許多組織的實現不一樣。這種不一樣造成缺乏對資料資產的可見性以及薄弱的安全性。此外,雇員往往忽視組織其他部門不支持的部門DLP計畫。 -
Evaluate internal resources
要創建和執行DLP計畫,組織需要具有DLP知識的人員,包含DLP風險分析、資料洩漏響應和報告、資料保護法和DLP培訓和意識。有些政府規範需要組織雇用內部員工或保留具有資料保護知識的顧問。比方說,GDPR包含要求像EU消費者販售商品或服務或監控他們行為的組織的條款。GDPR規定一名資料保護官(DPO)或可以承擔DPO工作的員工,包含進行和法規的審計,以及充當組織和合規機構的聯絡人 -
Conduct an inventory and assessment
評估價值是DLP的早期重要步驟,涉及到識別資料、儲存位置、敏感性、知識產權、機密資訊、法規。一些DLP產品,可以通過掃描文件的元資料並對結果進行編目快速識別,或在必要時打開文件分析。下一步是評估各類型資料的風險,如果洩漏,其他考慮因素包還資料出口點、給組織帶來的成本。1000個患者醫療文件的資料和100000個銀行帳密,明顯級別不同。 -
Implement in phases
DLP是一個長期過程,分階段叫好。最好的方法是確定資料類型和通信管道的優先級。同理,考慮根據組織的優先級實施DLP軟體,而非全部一次實施。風險分析和資料清單有助級確定優先級。 -
Create a classification system
在可以創建和執行DLP前,需要一個針對非結構化的資料的分類框架或分類法。資料安全類別包含機密、內部、公共、個人身分資訊(PII)、財務資料、受監管資料、知識產權等。DLP產品可以使用預先設置的分類法掃描資料,組織稍後可以自定義分類法以幫助識別關鍵類別。當DLP軟體自動化和加速分類時,人工選擇和自定義類別。內容所有者還可以直觀評估無法使用簡單關鍵字或短詞識別的某些類型內容。 -
Establish data handling and remediation policies
創建分類框架後,下一步是創建處理不同類別資料的"策略"。政府要求指定用於處理敏感資料的DLP策略。DLP解決方案通常應用基於各種法規(HIPPA、GDPR)的預設置規則和配置。DLP員工可以隨後根據組織需要自定義策略。為了管理策略,DLP實施產品防止和監控傳輸渠道(email和chat)並提供處理潛在安全漏洞的選項。例如,發送帶有敏感復健的email的員工會收到彈出窗口,建議對郵件加密或系統會組織發送,並定向給經理。響應基於組織的規則 -
Educate employees
雇員對安全策略和程式的認識跟接受很重要。教育和培訓,比方說課程、在線培訓、定期mail、影片、文章,可以提高員工理解,增強遵守的能力。對違反的處罰也提高合規性。SANS研究所提供各種安全培訓和意識的資源。
––––––––––––––––––––––––––––––––––––––––––––––––––––––-
DRM
ref: https://digitalguardian.com/blog/what-digital-rights-management
What is Data Loss Prevention (DLP)?
DRM是一種保護數位媒體版權的方法。包含限制複製科技的使用以及受版權保護的作品及專有軟體的使用。
某種程度上,DRM允許出版者或作者控制付費用戶可以對作品做甚麼。對於公司,實作DRM解決方案或流程可以幫助避免使用者存取或使用某些資產(asset),允許組織避免因為未授權使用引起的法律問題。DRM在資料安全有很重要的角色。
P2P交換服務和torrent sites的興起,線上盜版已經成為受版權保護的禍根。DRM不會抓捕盜版的人。反之,它們使竊取和分享內容一開始就成為不可能。
How Digital Rights Management Works
多數時候,DRM包含禁止複製或限制訪問時間和設備的code。
出版者、作者和其他內容創作者用一個app加密媒體、資料、電子書、內容、軟體或其他任何受版權保護的材料。只有有密鑰的人可以訪問。他們也可以用工具限制使用者可以對材料做的事。
有很多方法保護內容、軟體或產品。DRM允許:
- 限制或避免使用者編輯或儲存內容
- 限制或避免使用者分享或傳播產品或內容
- 限制或避免使用者列印內容。對部分人,文件或藝術品只能有限列印。
- 禁止用戶創建內容截圖
- 在檔案或媒體設置到期日期,過期無法訪問。也可以透過限制用戶使用次數達成。比方說打開10次或列印20次後銷毀。
- 鎖定特定IP、位置或設備的訪問。僅供特定地區的人使用。
- 為藝術品或文件增加浮水印確定所有權跟身分。
DRM也允許出版者、作者存取使用媒體、內容、軟體的人的時間記錄。比方說查看特定電子書的下載跟列印時間跟人。
Digital Rights Management Use Cases
現在的數位世界中,DRM很重要,不只對創作者,對於使用第三方的公司、個人也是。以下是一些常見案例:
- DRM允許創作者避免未授權使用。保護它們的底線並控制分銷。
- DRM可以公司對機密資訊的訪問。限制對敏感資料的訪問,同時允許安全共享。此外,DRM讓審計人員調查和識別洩漏更容易。他可能有其他名子,比方說IRM(infor)、ERM(enterprise)。使公司合規也是目的。
- DRM保證數位作品不變。創作者通常希望作品以原始形式傳播,比方說FDIC用DRM避免未授權的重分發敏感資訊。
- 很多製造、科技、生物技術公司儲存敏感專利、商標、客戶資訊和流程再多個平台。為了保護這些資料和IP,他們需要DRM工具保護文件,無論其位置。
Challenges of Traditional Digital Rights Management Tools
傳統DRM工具可能帶來一些挑戰。比方說僅支持特定文件類型。"Others have an inflexible framework that requires a client at all times, making for a more challenging implementation and acting as a barrier to collaboration.
Benefits of Digital Rights Management
DRM解決方案提供了共享資料和文件的能力,但保留控制訪問權和操作的能力。安全的文件協作和第三方共享包含敏感資料文件的需求,對任何行業公司都不可少。DRM好處包含:
- DRM educates users about copyright and intellectual property.
多數人不關心版權,並在面對DRM時很被動。只要他們可以訪問喜歡的內容,他們不會在意細節。有DRM,公司可以向使用者傳達數位內容可以做/不可以做什麼。 - DRM helps make way for better licensing agreements and technologies.
DRM科技瞄準限制使用者和內容交互的方式,比方說在多個設備上聽音樂或和家人朋友分享內容。不想受DRM code限制的使用者可以支持提供無DRM內容的廠商,從而鼓勵供應商找尋比DRM更擅長許可的技術。 - Digital rights management helps authors retain ownership of their works.
公司或使用者很容易從其他人的電子書中複製內容並重新命名為自己的。有DRM,可以組織任何人更改內容。也適用於依賴DRM保護其發明的科學家。 - Digital rights management helps protect income streams.
影片或電影製作人花錢製作內容,希望發布後可以回收投資。DRM確保只有付費使用者可以觀看。也確保只提供特定人訪問。比方說面相成人的影片。 - Digital rights management can help secure files and keep them private.
DRM有效防止未授權用戶查看或閱讀機密
NFT、DRM關係
Copyright and Technology - Are NFTs DRM by Another Name?
ref: https://copyrightandtechnology.com/2021/03/15/are-nfts-drm-by-another-name/
第一帶DRM推出時,宣稱其打包的文件可以確定從源頭獲得正版內容,比方說期刊可以確保沒有被更改。但這沒有人關心。
現在,人們就是否存在一種技術進行爭辯,具有和DRM相似目的,但功能不如DRM,它為夠為買方保證物品真實性,但不保證獨特和稀缺性。這個技術就是NFT,它是存在區塊鏈上的紀錄,將購買者和購買本身聯繫起來。
NFT做了一些DRM沒有的事,它公開付費購買指向數位物件的NFT的人的身分,讓這些人可以在NFT平台吹噓,DRM通常不這樣做,儘管它可以。
但這裡"為指向數位物件的NFT付錢"的敘述,而非"購買數位物件"。因為NFT與很多DRM方案一樣,創建了創意作品所有權的數位模擬。NFT無法模擬真正的所有權,如同DRM一樣。所有權意味著稀缺性。NFT、DRM都試圖將稀缺性加在強烈抵制稀缺性的技術界。
擁有數位藝術家的比特,就像在亞馬遜購買的墊子書。可以在設備上看,但無法在其他平牌看。不能轉售、贈送出租,即使破解了DRM,也會為反條款。
即便該NFT作品可以在任何JPEG設備顯示,也不能疏遠這個作品,因為它已完全相同的形式提供每個人。不能出借或出租,因為平台不支持。可以轉售,但無法保留轉售的所有收入,部分返還給藝術家和平台。目前尚不知道可否贈送或繼承。
在NFT、DRM的案例中,購買者部會獲得版權法中為實體所保證的相同權利。這種情況,單獨的私人實體永久控制並從該過程中受益,而有人購買實體版權作品後,沒有私人實體參與,或法律不允許。
也有NFT和DRM的集成,比方說使用他們識別所有權的電子書方案。與傳統DRM基本相同,除了交易紀錄和標示位於鍊上而非私有資料庫。這支持轉讓,而標準DRM不支持。因為區塊鍊本身無主,有人吹捧這可以獨立於供應商。目前為止,尚未有人想出如何使DRM部分獨立於供應商。
通過查看DRM的軌跡,推測內容NFT會在將來有用。多數地方的電子書及電視節目、電影還有DRM。它被嘗試用於音樂下載並拒絕,但它仍然用於音樂服務。DRM從未用於數位藝術,主要因為DRM最初的技術發展時代,數位藝術並不存在,因此沒有用於影像。
就內容NFT而言這有意義,它僅適用獨特對象的內容,繪畫、素描、雕塑或幾乎獨特的對象,簽名和編號的照片或石版畫。這與消費者期望有關。與數位音樂和影片不同,數位藝術從現實世界引入消費者期望,包含獨特性和近獨特性。
相比之下,文章或歌曲的NFT似乎很愚蠢。這似乎合理,因為它與音樂會座椅和限量唱片相關。另一方面,一件藝術品的NFT非常像出處紀錄。同樣適用於數位和物理藝術品。像拍賣行保留出處紀錄。區塊鍊是最近出現的便捷方式。
然而,消費者期望隨時間改變。音樂是一個例子。串流音樂過去很小眾,但現在很廣泛,比方說spotify。音樂行業惟一增長的是黑膠唱片。換句話說,通過下載獲得數位音樂數年後,消費者決定當涉及數位音樂時,他們不關心所有權,它們想真正擁有。
這也可能發生在數位藝術上。NFT泡沫可以通過很多方式破滅。若藝術家販售過多,用NFT吹噓就沒有意義。然後第三方試圖製作假冒,就可能破壞最初的目的。
最終NFT和DRM和其他很多技術的共通點是,在大量炒作、實驗和反對後都會找到自己定位。但一個巨大區別,DRM只引起版權所有者的興趣,而非消費者。NFT引起消費者炒作。這是狂熱的原因。
open minded
元宇宙 NFT_DRM 有沒有辦法寫出報告
對自己期許能夠產生有價值的產出(知識)
NFT-DRM
要把事情當作自己的事情
要有能力透過文件和老師溝通,要自己判斷資訊是否需要和老師報告
