什么是端点数据丢失预防技术呢？

敏感数据很少会因为某个突然的举动而泄露出去。它们通常是通过日常操作泄露出来的：比如，有人将文件复制到U盘上，或者将文件片段粘贴到浏览器中，又或者打印出文档后将其放在打印机上。

如果您的公司负责处理客户记录、财务数据、健康信息或知识产权相关的数据，那么终端DLP系统就非常重要了。因为它能够监控人们在实际工作时的行为——也就是在他们使用的设备上所发生的事情。

端点DLP定义

端点数据丢失预防技术，能够将数据保护机制直接应用于终端设备，比如用户的笔记本电脑和台式机。这有助于企业监控并限制用户对这些设备上存储的敏感数据的操作行为。

基于网络的DLP系统主要关注的是数据如何跨越企业的边界。而终端级的DLP则运行在设备本身上，因此可以在数据离开设备之前就发现那些可能带来风险的行为。无论用户是在总部、家中还是通过咖啡馆的无线网络进行工作，这种数据保护机制都能有效发挥作用。

端点级DLP与其他类型的DLP的区别

NIST将数据丢失预防定义为：能够检测并防止信息被未经授权地使用和传输的系统。这类系统能够保护数据的安全。处于静止状态, 正在使用/处于运行状态，以及正在运动/处于运行状态采用深度包检查、上下文分析等方法。DLP类型之间的主要区别在于……在何处控制装置已经就位了。

网络版DLP系统检查数据正在运动/处于运行状态因为它在流经您的基础设施时（比如电子邮件网关和网页代理服务器）会受到影响。

云端数据泄露防护机制保护存储在其中的数据。SaaS应用程序和云存储库比如 Microsoft 365、Google Drive、Salesforce、Box 等等。

端点DLP专注于正在发生的事情在用户的设备上包括：

1. 存储在磁盘上的文件处于静止状态),
2. 内容可以被打开、编辑、复制或打印。正在使用/运行中),
3. 正在上传、同步或传输数据。处于运动状态).

因此，网络级DLP系统会监控网络中的传输过程，而云端的DLP则负责监控应用程序的行为。至于终端级的DLP，它则直接监控笔记本电脑本身的行为。这一点非常重要，因为个人使用的USB驱动器、本地打印操作，或者通过浏览器进行的复制粘贴操作，都可能发生，而这些行为可能根本不会被网络监控工具所察觉。

为什么端点DLP如此重要呢？

CIS控制要求使用自动化工具来实现相关功能（包括……）基于主机的DLP机制它可以帮助您在各种设备上找到并管理敏感数据。所谓“基于主机的DLP”，通常指的是以下几种情况：

• 扫描终端设备，以发现包含受监管数据的文件（例如，信用卡号码或健康信息）。
• 将文件移动到风险较高的位置（比如个人云同步文件夹）是危险的做法。
• 记录那些访问或移动敏感文件的人，以及他们的操作方式。

远程和混合式工作模式使得问题更加复杂，因为需要完成的工作量增加了。非网络范围内当员工通过家庭网络（或个人热点）进行工作时，传统的边界防御措施就变得不再有效了。本地网络代理、网络监控功能，以及仅适用于办公室环境的防火墙控制机制。可以少看到一些操作过程了。端点DLP技术使得控制功能能够更靠近用户和文件所在的位置，即使“边界”随着笔记本电脑的移动而不断变化。

有一些实际案例表明，端点DLP技术能够在其他方法难以实现的情况下发挥重要作用：

• 复制/粘贴到个人网页邮箱中：网络版DLP工具可以在邮件发送后（如果它能够检测到这一行为的话）对邮件进行拦截。而端点版DLP则可以在邮件被保存为草稿之前就将其拦截掉。
• 上传到未经授权的云工具中：Cloud DLP能够保护在批准的应用程序中存储的数据，但它无法保护那些未经授权的“免费文件传输”行为或其他类似的内部网络行为。Endpoint DLP则可以在数据上传过程中进行阻止或发出警告。
• 打印以及“打印为PDF格式”的操作：网络工具并不能阻止用户将敏感文档打印到家用打印机上，或者将其保存为PDF格式后再进行共享。根据所使用的平台不同，端点DLP功能可以控制打印流程。

端点DLP带来的好处

当您需要控制那些传统网络或云控制系统往往无法监控的日常用户行为时，Endpoint DLP就能发挥其作用了。

实时检测，以保护敏感数据

端点DLP能够监控用户对文件和内容的操作行为，并实时将其与政策条件进行比对。如果有人试图将客户的信用卡号码复制到文档中，端点DLP可以立即发出警告或阻止该操作。

对敏感数据泄露路径的严格管控

现代的端点DLP工具能够监控数据从设备中脱离时的具体“出口点”。例如：

• 上传到受限制的云域名中。
• 将操作复制到浏览器中。
• 剪贴板操作
• 复制到USB设备中。
• 传输到网络共享文件夹中。
• 印刷
• 蓝牙传输功能
• 远程桌面会话。

控制这些路径，就能避免数据因意外或故意而丢失的情况发生。

针对不同情景的灵活政策

并非所有具有风险性的操作都需要使用硬限制措施来加以约束。端点DLP策略通常提供以下几种执行方式：

1. 仅用于审计目的（请记录下这些信息，不要打断我）
2. 警告/提醒（告诉用户哪些行为存在风险，以及为什么会有这样的风险）
3. 块/区块（停止该动作）
4. 具有覆盖功能的块如果用户提供了理由或获得了批准，则可以允许该操作。

这样就能让工作继续顺利进行下去，因为每当有人尝试执行他们职责范围内的正常操作时，你不必每次都强制触发支持请求。警告和覆盖流程可以减少“安全性与工作效率”之间的冲突。在打开那个红色的“阻止所有操作”开关之前，使用审计模式可以帮助你调整相关规则。

为符合相关法规而提供的数据保护支持

如果您处理受监管的数据，那么端点DLP功能可以帮助您实施相应的保护措施，并证明您确实已经采取了这些措施。

• 那个HIPAA安全规则需要采取保障措施来保护电子形式的受保护健康信息，包括信息的保密性、完整性和可用性。同时，还需要采取措施防止这些信息被不当使用或泄露。
• NIST SP 800-171r3适用于那些需要处理此类事务的组织。受控的非机密信息（通常是那些从事联邦项目的承包商及其供应链相关企业）。这其中包括对某些媒体使用的限制，以及对可移动存储媒体的控制要求。

端点DLP功能可以强制实施关于受监管数据应被存储在何处的规定（同时还会生成用于支持审计的日志），这样一来，合规性检查就变得更加容易验证。

更好的数据泄露调查能力

即使在仅进行审计的模式下，端点DLP也能正常发挥作用。遥测详细的事件记录，包括用户对敏感内容的操作情况（如复制、粘贴、打印、上传、移动、重命名等，具体取决于所使用的平台）。

例如，一位安全分析师正在调查一起疑似的数据泄露事件，他们看到的时间线如下所示：

• 用户打开了一个标为“机密”的文件。
• 试图将其复制到USB设备中，但被阻止了。
• 然后试图将其上传到个人云存储服务上（但被警告或阻止了）。
• 然后，将其重新命名为本地副本。

这种详细的线索，能够将“我们认为发生了某事”转化为“我们清楚发生了什么、时间以及方式”。

端点级DLP挑战

没有任何技术是完全完美的。了解端点级DLP机制存在哪些不足之处，有助于我们做好相应的应对计划。

• 假阳性与假阴性：
  • 一些不常见的文件格式（如特定领域的CAD文件、专有格式的文件，或者编码方式异常的PDF文件）可能会让扫描仪无法识别其中的内容。
  • 部分数据模式会导致混淆。一个文件中可能包含一些数字，这些数字看起来像信用卡号码，但实际上并非如此。或者，该文件中可能只包含了某个敏感数值的一部分，而检测器无法准确识别这部分数值。
  • 所谓“情境依赖型敏感性”，指的是同样的数据在某种情况下可能是安全的，而在另一种情况下则可能存在风险。例如，在人力资源系统中，员工ID是正常且安全的；而将相同的ID粘贴到公共票务工具中时，这种安全性就会降低。
• 性能与用户使用体验：实时检查需要使用CPU和内存资源。过于严格的规则可能会拖慢工作流程，还会让用户感到不适。而恼怒的用户往往会想出各种对策来应对这种情况，但这显然不是端点安全所期望的结果。
• 覆盖范围的缺失：
  • 离线工作流程：如果某个终端设备处于离线状态，那么那些依赖于云服务或策略更新的某些功能可能会出现延迟现象（具体取决于供应商的设置）。
  • 加密的容器：如果有人将文件存储在经过加密处理的档案或卷中，那么端点DLP工具在解密后也无法正常检查这些内容。除非能够在应用程序层面进行解密处理，否则端点DLP工具将无法成功检测这些内容。
  • 基于屏幕截图的数据泄露方式：如果有人能够查看数据，他们有时可以通过截图或拍照的方式将数据保存下来。虽然某些平台可以在特定应用中限制这种行为，但这种限制并不适用于所有情况。
• 政策的复杂性：过多的重叠规则会导致警报的频繁触发。如果不进行适当调整，端点级的DLP系统就会变成那种让人难以忍受的“吵闹系统”——人们只能选择忽略它而已。

端点DLP解决方案总是需要权衡安全性与可用性的关系。过于严格的规则会阻碍正常的工作流程。例如，某政策可能会将一份普通的销售合同视为数据泄露，因为它在合同中包含了“SSN”这个词。因此，这样的合同会被阻止执行。

端点DLP的最佳实践

当 Endpoint DLP能够像一道屏障一样发挥作用时，它的效果最为显著。采用这些做法可以有效防止数据泄露事件的发生，同时不会让您的支持团队变成处理各种问题的“支援小组”。

从对敏感数据的发现和分类开始。

在编写相关政策之前，首先需要明确需要保护的内容以及这些内容存在于何处。CIS建议利用自动化工具来保持数据清单的更新。端点DLP平台通常会使用诸如分类法等方法来处理这些数据。

• 敏感信息类型：与规范数据相匹配的模式，比如信用卡号码、国家身份证明号码或银行账户格式等。
• 完全匹配的数据：您可以提供一个已知的数据集（例如，客户账户ID的列表），然后系统会寻找与之完全匹配或近似匹配的数据。
• 可训练的分类器：这些模型被训练用来识别“这看起来像一份合同”、“这看起来像源代码”或“这看起来像一张发票”等图案，即使这些图案中并不具有明显的数字模式。
• 命名实体识别：能够识别文本中的各种实体，比如人名、地址、公司名称或地点等。

关于“标记文件”这个概念：这些方法有助于系统的运行。识别/辨认这些内容属于敏感信息，因此相关政策可以针对这些内容进行处理。与其阻止所有的电子表格文件，不如只屏蔽那些包含客户支付信息的电子表格，或者那些被归类为机密文件的文档。

2. 首先以审计模式来部署终端DLP策略。

在第一天，不要被诱惑而选择屏蔽某些内容。可以先以仅用于审计的模式来开始测试，通过一个小规模的样本群体来观察哪些因素会引发问题，以及为什么会出现这些问题。

在那些只会产生日志的烦人规则被修复之后，你就不会在之后因为启用警告或限制而破坏工作流程了。

3. 应重点关注那些存在高风险的数据泄露渠道，以确保数据的安全性。

从那些带来最多麻烦的路径开始处理吧：

• 可移动介质（USB）
• 上传到个人使用的或未经授权的云存储服务中。
• 可以复制并粘贴到浏览器和网页应用程序中。
• 传输到网络共享文件夹。

电子邮件附件同样可能成为威胁，不过其防护效果取决于所使用的端点DLP工具以及电子邮件客户端。如果您的端点工具无法有效控制附件，那么就需要通过电子邮件安全设备或网关DLP来应对这个问题。对于端点数据丢失预防功能来说，最好的应用方式就是将其用于执行设备相关操作。