Trend Micro LeakProof ·...

A Trend Micro White Paper I January 2008

Trend Micro, Incorporated

Leveraging Data Leak Prevention Technology to Secure Corporate Assets

Trend Micro™ LeakProof™

2 白皮書 | 善用LeakProof資料外洩防禦技術保護企業重要資產

Trend Micro LeakProof 善用資料外洩防禦技術保護企業重要資產

I. 高階主管心聲：解決內賊的威脅

根據Ponemon Institute 的研究，78%的資料外洩事件都是由企業內

的合法使用者所造成。機密資料及智慧財產外洩可能導致罰鍰、訴

訟、品牌形象損失以及聲譽損失。企業部署了許多防護措施，例如

VPN、防火牆、網路監視器等等，來提供稽核記錄並防止外界不當

存取內部的機密資訊。然而，這些解決方案並無法解決來自內部使

用者的威脅。由於內部人員擁有資料的存取權限，反而成為資訊外

洩的主要管道，包括蓄意違反政策，或是意外遺失資料 (例如遺失

存有個人資料的行動裝置)。

要保護敏感資料，企業需要一套有效的資料外洩防禦(Data Leak

Prevention，簡稱 DLP) 解決方案，在資料使用位置監控可能的資訊

外洩事件。然而，隨著訊息傳遞系統、無線網路以及USB 儲存裝置

的普及，企業關鍵資料保護也更加困難。結果，員工或簽約人員的

蓄意或疏失行為而造成資料資產遺失或遭竊的事件頻傳。

在現今這種虛擬企業當中，若要對員工進行搜身，防止他們攜帶

iPod 或其他USB 裝置，根本不切實際或不符合成本效益。因此，需

要一套更完整、更有效的資料外洩防禦架構，針對企業內每一個

連接埠、每一個端點以及任何種類的網路提供防護，不論是企業網

路、公共網路或者廣域網路(WAN)。

大多數的資料外洩都是由意外所造成。資料外洩防禦技術不只是透過監控來預防外洩，還需要教育

並加強員工對公司政策與敏感資料處理程序的認知。因此，企業若能教導員工正確的資訊處理方

式，就能讓企業資料保護事半功倍。且為了達到SB-1386、GLBA、EU DPD、Sarbanes-Oxley 以及HIPAA

等法規的要求，企業就更需要一套聰明的內容過濾解決方案來強制執行安全政策。

請您先思考以下幾個問題

1. 您是否擔心您的智慧財產可能外洩，

例如合約、設計、原始程式碼、圖表

等等？

2. 您如何預防您的客戶或員工資訊遭到

外洩，如身分證、信用卡、帳戶名稱/

帳號等等？

3. 您最近是否遇到敏感資訊外洩事件？

如何發生？透過何種管道？電子郵件

還是USB 裝置？

4. 您是否評估過任何資料保護的產品，

例如加密、數位版權管理、DLP、電子

郵件內容過濾等等？如果有，是哪一

種、何時評估、在哪裡、哪一家廠商、

原因為何？

5. 您是否已經開始推動一些法規遵循

計畫來保護敏感資訊或進行員工教

育？



ii. 資料外洩所付出的昂貴代價

企業資料資產從未面臨如此龐大的威脅，同時

資料外洩的代價又如此驚人。根據Attrition.org

產業觀察機構的資料顯示，在2007一整年中就

有超過1億6,200萬筆記錄(如信用卡及社會安全

號碼) 遭到外洩，包括美國及海外地區。然而

在前一年只發現4,900萬筆記錄遭到外洩。此

外，Identity Theft Resource Center 身分竊盜資源中

心(ITRC) 截至2007年12月18日為止也發現了7千

9百萬筆資料遭到外洩。與2006年發現的2千萬

筆相比，成長了將近四倍。

在美國，平均每一件身分竊盜案件所造成的

損失金額超過31,000美元，包含企業損失及個

人損失在內。此外，美國企業每年因為軟體、

產品設計、遊戲、藥品配方、業務計畫以及其

他商業機密遭到非法複製所造成的智慧財產損

失，亦高達數十億美元。除了龐大的利益損失

之外，資料外洩還可能造成公眾形象不佳、失

去社會大眾信心、品牌形象受損、競爭優勢降

低等負面影響。以下是最近的三起典型資料竊盜案件：

波音公司資料外洩事件

「警方指出某波音員工竊取資料。他利用一條順著電腦終端機背面的USB纜線將隨身碟連接至他

的電腦終端機，另一端連到藏在桌子抽屜內的儲存裝置。」顯然地，隨著可卸除式裝置及行動系

統的普及，避免敏感資料外洩的工作將更加困難。

FNiS財務機構竊盜事件

「為了躲避偵測，一位系統管理員竊取資料並將資料下載到一個儲存裝置，而非透過電子方式傳

送。」這事件發生在Fidelity National Information Services旗下機構Certegy Check Services的竊盜案件，

正顯示了員工在資料竊取的手法上已經越來越精密。在這個案件中，系統管理員知道公司已經架

設了電子郵件過濾及網路過濾措施，因此透過其他管道將資料攜出。

英國政府資料外洩事件

英國稅務機關HM Revenue & Customs (HMRC) 遺失了一批含有2千5百萬名兒童補助發放對象個人機

密資料的光碟。這些資料當中包含了整個HMRC 兒童補助資料庫中的姓名、地址、生日、社會保

險號碼等資料，以及超過7百萬名父母、監護人及照護人的銀行帳戶細節。

客戶切身之痛

高階主管考量

避免因為蓄意竊取或是意外導致客戶、病患或員工資料外

洩而造成不良的公眾形象及法律訴訟。

業務面考量

保護客戶、病患及員工資料，避免因為外洩而遭到身分盜

用或用於其他犯罪行為

避免財務損失以及資料外洩所引發的法律賠償 ●

保護智慧財產，維持競爭優勢 ●

維持良好的品牌名譽及形象 ●

IT面考量

提供有效的IT控管機制來防止內部資料因意外或蓄意 ●

的犯罪行為而造成資料外洩/被竊事件

透過認知及教育來強化IT安全及風險管理政策 ●



內部安全威脅頻傳之際，一些最新的市場研究也透露出此問題的嚴重性。

根據PricewaterhouseCoopers 的「機密資訊損失趨勢」報告指出，Fortune1,000大企業與其他600家

企業光是一年的機密資訊及智慧財產損失就高達530億至590億美元之譜。其他研究也顯示，美國

一年的智慧財產與身分竊盜損失約850億美元。

根據Computer Security Institute 於2007年9月發表的最新網路犯罪與資訊安全調查，平均每一受訪者

因電腦犯罪所遭受的企業損失為345,000美元，比2006年的167,700美元還高，總損失將近6,700

萬美元。其中，因機密資料竊盜及內賊所造成的損失就佔了1,360萬美元，排行第二，第一大類

別是金融詐騙(2,100萬美元)。這數字已超越了病毒、蠕蟲及間諜程式所造成的損失(840萬美元)

以及系統遭到外界入侵所造成的損失(僅690萬美元)。約有四分之一的受訪企業表示大多數的損失

都來自於內賊。

根據產業分析機構Enterprise Strategy Group 在2007年6月的調查：

• 幾乎三分之一的企業在過去12個月內都曾經發生資料外洩。更駭人聽聞的是，有另外10% 的專

業安全人員受訪表示他們「不知道」在過去12個月中是否曾經發生資料外洩事件。

• 超過40%的使用者表示資料外洩會衍生一些企業問題，例如資料損失、應用程式停機、客戶不

滿。令人擔憂的是，有30%的受訪者表示他們企業的資料外洩事件「直接侵害到獲利」。

如果這些風險還不足以促使企業改善資料保護措施，還有來自政府的壓力。現在已經有相當多的

法律要求企業必須保護客戶資料，企業流程必須可供稽核，而且必須預防入侵與詐騙。美國的

Sarbanes-Oxley and Gramm-Leach-Bliley Acts聯邦法案、加州的Security Breach Information Act (SB-1386)

、HIPAA、歐盟的Data Protection Directive以及其他法規等等，都對機密資料與客戶資訊制訂了嚴格的

規範，讓網路安全主管倍感壓力。

現有的資訊安全解決方案大多著重於企業邊界防護。這種作法能夠降低來自外界的風險，防止遭到

竊聽或駭客入侵，但這並無法預防內部人員蓄意或意外洩漏資料。員工、合作夥伴、顧問以及約聘

人員，凡是能夠存取安全網路的人員，都可能有多種管道可以取得重要的資訊及文件，並且傳送至

企業之外。不論是電子郵件、FTP、即時通訊、IrDA、WiFi無線網路、USB 隨身碟、數位相機、電話、

可燒錄CD/DVD 光碟、甚至是直接列印資訊，總之有太多不安全的網路提供了許多蓄意或意外洩漏資

料的機會。



iii. 傳統的DLP解決方案

資訊安全廠商已經開發了許多產品來解決一些資訊竊盜與資料外洩

問題。企業已部署了防火牆、VPN、網路流量監視器、電子郵件過

濾系統以及資訊安全代理程式等等。不幸的是，這些僅能解決部分

問題。

雖然這些解決方案在防止外部威脅方面都有其重要地位，但卻無法

作到：

智慧型掃瞄並過濾內容

這些解決方案大多使用簡單的關鍵字或其他規則來偵測機密資

訊，而這些規則一旦遇到有心人士，就很容易被巧妙處理並瞞騙

過去。

保護每一個網路出口

這些解決方案大多建構在網路端，並無法鎖定每一台用戶端電腦的每一個連接埠。因此，小心的

內賊很容易躲避這些防護措施。

即時防止資料外洩

大多數的解決方案都只監控並稽核使用者行為，是一種讓系統管理者在事發之後才發覺資料外洩

的被動式解決方案。

保護筆記型電腦及其他未連線的端點

大多數的解決方案僅對連上企業網路的裝置才完全有效。因此，在星巴克上網的筆記型電腦，或

是失竊的筆記型電腦，就形成了巨大而無法掌控的漏洞。

主要重點

LeakProof 能為您預防及解決在端點裝

置發生的資料外洩問題：

不影響員工生產力或系統效能 ●

容易安裝，僅需少許調校 ●

與單、雙位元組語言皆完全相容 ●



iv. TreND Micro LeakProoF 資料外洩防禦(DLP)解決方案

Trend Micro LeakProof™ 3.0 能保護客戶及員工的隱私與智慧財產。讓員工

成為企業資產而非負債，為任何上線或離線的端點裝置提供最廣泛的

保護，包括USB連接埠、CD/DVD燒錄機、桌上型電腦、離線筆記型電

腦、Webmail、加密的Webmail、即時通訊、FTP 以及HTTPS等等，例如：

• 行動裝置、分行、企業據點

• 上線與離線端點裝置

• 企業網路

• 公共網路

• 電子郵件

• 移動中、儲存中、使用中的資料

Trend Micro LeakProof 有效降低企業資料外洩風險，確保隱私並符合法

規。此DLP解決方案能夠「辨認」每一個文件獨特的DNA，進而監控

並保護儲存中、使用中及移動中的資料。 LeakProof採用一種獨特的

技術－結合了端點裝置的強制措施以及高準確度的資料指紋與內容比

對，能有效預防資料外洩。

LeakProof 提供最廣泛的網路邊界及端點裝置防護。內建的過濾模組能

在內容加密之前進行檢查，以便主動保護網頁瀏覽器與電子郵件應用程式的活動。IT管理員能夠輕

鬆停用某些裝置。

LeakProof 的連續監控讓企業安全與法規遵循人員能像雷達一樣偵測敏感資訊，進一步降低資料外洩

風險。LeakProof 能夠搜尋端點裝置 (如筆記型電腦、桌上型電腦及伺服器) 上未獲授權的資訊。

IT管理員能自行編輯互動式的「警示」對話方塊內容，並直接顯示在員工的電腦畫面上。這些對話方

塊內含自訂的URL連結，可藉此教育員工如何正確處理機密資訊。未獲授權的資料傳輸及複製時將

被攔截，也能要求員工在將資料複製到USB 裝置時，必須使用內建的資料加密模組將資料加密。

LeakProof 資料外洩防禦解決方案的優勢

保護隱私

監控並防止客戶及員工資訊 ●

遭到不當使用

保護智慧財產

搜尋、分類及保護關鍵企業 ●

資產

遵循隱私權法規

監控資料使用、掃瞄端點並 ●

教育員工如何降低風險

教育員工 ●

可自訂的員工教育互動式對 ●

話視窗及工作流程

搜尋敏感資料

搜尋筆記型電腦、桌上型電 ●

腦及伺服器上的敏感資料


Trend Micro LeakProof善用資料外洩防禦技術保護企業重要資產

完整的LeakProof 解決方案包含了用戶端軟體及伺服器硬體裝置：

LeakProof Anti-Leak Client — 不造成干擾、高效能監控的政策執行軟體，能在每個端點裝置偵測並防

止資料外洩。此用戶端軟體能即時與DataDNA Server 溝通以接收政策及更新資料特徵，並將違規事

件回報給伺服器。端點裝置上安裝了用戶端驅動程式來監控網路流量、I/O、應用程式操作。Anti-

Leak Agent能夠鎖定實體與虛擬裝置，防止敏感資料遭到不當複製或移動。多重比對引擎利用指紋

比對、正規表示法(regular expression)、關鍵字及metadata提供即時過濾功能。Anti-Leak Agent 運用

DataDNA 技術，能監控應用程式行為，並且在敏感資訊離開公司之前將資訊加密以防止外洩。

LeakProof DataDNA™ Server —是一個能提供集中化的檢視及政策設定，且能從內容來源抽取指紋的

硬體裝置。其網頁管理介面提供搜尋、分類、政策設定、監控以及報表等系統管理工作流程。此

技術能以優異的效能非常準確地偵測出敏感的資料。強大的演算法能從內容當中擷取資訊，為每

一份文件製作出獨一無二的DNA 序列，也就是所謂的「指紋」。這些「指紋」就能讓用戶端點裝

置在上線或離線時強制實行保護措施。



v. LeakProoF 3.0 功能特色

LeakProof 提供以下強大功能來協助企業保護珍貴資訊與智慧財產：

敏感資訊比對

LeakProof 利用指紋、正規表示法(regular expression)、關鍵字及metadata 比對，能找出敏感資訊並

防止資料外洩。其結構化與非結構化資料分析可支援文字檔案部分相符比對，以及二進位檔案完

全相符比對。不受語言限制，LeakProof 能超越地域的藩籬，非常適合跨國部署。

完整且精細的安全政策

提供記錄、伺服器端警示、用戶端警示、攔截、加密、合理化、教育等功能，讓您根據公司的資

料保護政策來自行設定安全政策。您可以針對上線或離線違規、個別端點或群組、受信任與不受

信任的電子郵件網域等等，分別建立不同的政策。

端點裝置拓樸與敏感資料搜尋

搜尋、監控及管理端點裝置：企業端點電腦搜尋、敏感資料掃瞄、端點狀態即時對應、集中化用

戶端狀態監控與管理、搜尋端點裝置上未獲授權使用的I/O裝置等等。

周邊裝置及應用程式控制

LeakProof 能控制所有I/O裝置：USB、CD/DVD、軟碟、IrDA、影像裝置、COM 及 LPT 連接埠，並禁

止畫面列印 (PrtSc) 功能。

違規監控及報表

根據端點裝置、使用者等等提供摘要的即時儀表板與安全性違規報表，清楚顯示違規的情況，方

便管理作業。此外，還提供趨勢分析及違規通道細分資料，還有定期及隨選的安全性違規報表。

選擇性的解剖分析擷取功能，在DataDNA 伺服器上記錄實際的檔案違規事件，以供後續檢驗。

法規遵循範本

利用預先設定的分類與政策來符合法規，支援PCI、GLBA、SB-1386 及 SOX 等法規，針對社會安全

號碼、信用卡號碼、ABA 銀行代碼、加拿大及中華民國國民身分證、美國人姓名辨識等內建規則

及驗證模組。


Trend Micro LeakProof善用資料外洩防禦技術保護企業重要資產

系統管理與擴充性

網頁式的管理介面，還有以角色為基礎的系統管理及敏感內容存取控制，皆能提高系統管理

員生產力。與LDAP及Active Directory整合，透過叢集式管理伺服器，提供企業級擴充性，而且

端點裝置與伺服器採用SSL安全通訊。

0%

10%

20%

30%

40%

50%

60%

70%68% 67%

64%

58%

54%

25%

4%

您的企業建置了資料外洩防禦解決方案之後，發揮了何種效益？ (受訪者百分比，N=84，可複選)

建置資料外洩防禦解決方案後所得到的效益

不知道能夠簡化解剖分析調查

能夠將資料分類

能夠防止違反人事政策能夠偵測可疑行為

能夠避免違反法規

能夠防止意外性資料外洩



vi. 總結

Trend Micro LeakProof 能為端點裝置儲存中、使用中以及移動中的資料提供最廣泛的保護。此外，還

能透過互動式警示，教育員工如何預防資料外洩。現有的網路安全及入侵偵測產品僅能解決部分

的資訊竊盜及資料外洩問題。然而，一旦企業部署了趨勢科技LeakProof 這套完整的 DLP解決方案之

後，就能大幅提昇桌上型電腦及行動裝置上的企業敏感資訊安全保護。趨勢科技的優異技術，讓

系統快速對資訊進行分類並過濾，準確地偵測各類型檔案中的敏感內容。這套即時、主動的解決

方案，不僅提供今日運算環境所需的監控能力，而且還杜絕資訊外洩事件。即使個人電腦或筆記

型電腦已經離線，依然受到完整的保護。

LeakProof 使用獨特的特徵比對技術來監控每一台個人電腦上的每一個連接埠，因此，唯有獲得授

權的資訊才能複製或傳輸。LeakProof 是目前最先進DLP解決方案，能為企業關鍵資料提供最大的保

護。

除了保護網路邊界及內部端點之外，LeakProof 還能教育員工，讓員工變成企業的資產，防止資料

外洩，避免意外洩漏機密。而且，讓所有的員工都維持高度的警覺性，共同捍衛公司的敏感資料。

Trend Micro LeakProof ·...

Documents

Transcript of Trend Micro LeakProof ·...