資料外洩防護產品─趨勢LeakProof 5.0

這是趨勢在2007年底併購資安廠商Provilla後，近期所新推出的資料外洩防護（Data Loss Prevention，DLP）產品。和前一版本3.1相比，LeakProof 5.0的主要不同處，在於採用體積更小、更為精簡的DataDNA特徵（數位指紋）檔，因此能以更快的速度辨識資料。此外，它也針對更多的資料傳輸方式提供保護，同時具備正體中文的設定介面及完整的法規範本，使得新版產品可以更容易地部署在企業內部。

提供虛擬化版本，建置上增加選擇
LeakProof在架構上，原本是由一臺專用的管理伺服器硬體，搭配代理程式所組成的主機型DLP產品。不過從5.0的版本開始，原廠也提供可以安裝在VMware vSphere/ESXi平臺的相關套件，因此如果企業以虛擬機器的型式部署DLP的管理伺服器，則只需要根據使用者的授權數計價，可省下購買伺服器硬體的費用。

除此之外，趨勢也計畫將DLP的模組移植到該公司現有的Threat Discovery Appliance（TDA），這是一款關於網路病毒活動的監控設備，使其在功能上能兼任DLP閘道器的角色，利用鏡射（Mirror）的方式，部署在企業內部的網路骨幹，過濾流量當中可能存在的機密資料，據了解，內建DLP功能的TDA將會在2010年的第一季推出。

透過更輕薄的特徵檔，能加快比對資料內容的速度
LeakProof是透過檔案格式、關鍵字（含信用卡號在內的特殊字串），及DataDNA特徵辨識三道程序檢查資料是否含有機密內容。

包含壓縮檔在內，LeakProof目前一共支援300種以上的檔案格式。這套產品可以從企業內部的檔案伺服器，或者是微軟SharePoint伺服器取得機密資料的範本，並利用本身DataDNA引擎的分析，從中取得多個片段，組合成特徵檔，由相似度的高低，判別使用者傳送資料的性質。

LeakProof 5.0將單一檔案所擷取出的特徵檔大小，由3.1版的2KB上限，縮小到只有128Bytes。換句話說，在不影響辨識度的前提下，系統能以更輕薄的特徵檔，加快產品本身比對所有資料內容的速度。

此外，對於LeakProof這一類採用特徵辨識的DLP產品來說，在同時有多個據點，而且只有一臺管理伺服器的企業環境下，很容易因為管理伺服器透過網路分析遠端據點的範本檔案，製作特徵檔的動作，佔用到太多的網路頻寬，形成效能瓶頸。

新版解決了這個問題，利用LeakProof 5.0新增的Remote Crawler功能，我們可以將一個代理程式，安裝在Windows平臺的檔案伺服器上，即可直接在本地端分析範本檔案，最後將特徵檔回傳到管理伺服器。

這麼做可減少DLP產品對於頻寬上的需求，同時利用Remote Crawler分析本機上特定資料夾的檔案，此時並不需要開啟共享，因此不用擔心這些具備機密性質的資料會遭到其他人透過網路盜取，形成意料之外的安全漏洞。

將更多檔案傳輸方式納入DLP保護範圍
這款產品的代理程式的統一派送，可以利用Windows AD，或者是微軟SCCM（System Center Configuration Manager）等第3方的套件部署伺服器，安裝完成之後，它會偽裝成在背景執行的系統程式，同時不會在系統列出現常駐圖示，避免使用者自行以手動方式關閉。

辨識使用者傳送出去的資料，只是代理程式的功能之一，它同時也具備管理個人端電腦連接埠的能力。我們可以用它將連接埠設定為禁用，或者僅允許特定的裝置才可以連接電腦（例如特定廠牌、指定序號的隨身碟）。

外洩管道的防堵上，LeakProof先前已經可以防止使用者透過郵件、FTP、燒錄，及複製剪貼等多種方式外洩機密資料，而5.0版則更進一步將P2P一類的檔案共享軟體、具有加密性質的Skype、用來連接的智慧型手機的ActiveSync，及網路列印都納入DLP的保護範圍內，確保受保護的機密資料，無法輕易從企業內部流失出去。

當LeakProof稽核到不符政策規定的洩密事件發生時，它不僅會記錄在DLP的管理伺服器，告知管理者注意，同時也可以透過代理程式向使用者發出警告訊息。

對於欲傳送出去的資料，這套產品預設的動作是記錄後加以放行，不過我們也可以根據使用需求的不同，開啟即時阻擋的功能，或者要求使用者必須在代理程式的訊息介面填寫原因之後，才准予放行通過。

在使用者將企業筆電攜出內部，處於離線的情況下，LeakProof對於機密資料的保護也一樣有效。我們可以讓該臺電腦套用和內部上線時相同的規則，或者個別制定不同做法，提供合適的保護措施。

較前版產品易於部署
建置設定上，LeakProof 5.0比起3.1版，要更加易於部署。它內建5個可以直接套用的法規範本，無需像舊版產品一樣，要額外手動去設定法規範本的稽核項目。


▲新版內建5個可以直接套用的法規範本，無需像舊版一樣，需手動設定法規範本內部的稽核項目。

在外觀上，LeakProof 5.0採用和其他趨勢資安產品相同的網頁介面設計，有助於已經採用同廠牌產品的企業快速熟悉產品的操作。不僅如此，該產品的語系介面已經全面中文化，同時也提供了流程圖形式的設定介面，不需要使用者花費時間摸索產品的設定邏輯，只要按照流程圖所要求的5個步驟，按部就班操作，很輕易地就可以稽核政策的制定與派送。


▲管理者使用介面已經全面中文化，同時提供了流程圖形式的設定介面，只要按照步驟操作，就可以輕易完成稽核政策的制定與派送。

強化報表功能與AD間的整合
不單是即時阻擋機密資料的外洩，事件的收集也是企業之所以導入DLP的主要原因，當資安事件發生時，企業可利用DLP提出相關的舉證。

而透過LeakProof的網頁介面首頁，我們可以快速瀏覽違規事件的摘要統計，值得一提的是LeakProof 5.0在功能上，強化了與Windows AD之間的整合，因此我們可以透過產品所提供的報表，得知目前有那些人違反了企業的管理政策。文⊙楊啟倫


▲透過LeakProof的網頁介面首頁，我們可以快速瀏覽違規事件的摘要統計。