如何評估與選擇一套良好的郵件稽核系統
個人資料屬於企業機敏資料一環,亦是企業寶貴資產,綠色運算長期於電郵資安與雲端運算市場長期經營,在電郵稽核技術,除協助高科技產業郵件稽核的解決方案,近幾年亦協助電信業者相關郵件稽核雲端的開發與建置,如近年來協助中華電信建立全台最大的郵件後稽核雲端(Mail Archiving Cloud),提供上萬家企業組織雲端歸檔與稽核的解決方案。
綜觀目前電郵稽核技術,根據輔導經驗發現,有兩大基本問題值得客戶導入實作切實地評估
- 事前稽核:機敏資料含個資等,是否能有效偵測攔截
- 事後稽後:機敏資料含個資等,是否能有效探勘舉證
技術的良莠與否,取決於該攔截的機敏資料是否可正確攔截? 有問題的機敏可疑信件是否於是後可以探勘舉證出來? 例如,企業若導入archiving 系統於事後卻無法調閱『含有個資的信件』,『含有程式碼的信件』『[業務部們]外寄郵件含部門敏感關鍵字附件,沒有知會主管,將信件寄往競爭對手們相關網域的信有哪些? 上述問題若非,那導入該系統就在實務上的意義就大大減落效益甚至毫無意義
針對上述的客戶實境,綠色運算除了開發regular compliance 的中文化個資掃描引擎。
針對郵件流中的中文姓名識別、全國各縣市地址,另外還支援身分證號碼、信用卡號、護照號、市話、手機號碼以及電子郵件位址或其他客製證號的個資偵測,確保各類個資組合都能精確掃描偵測!
個資或機敏資料偵測,支援雜訊、容錯、模糊比對、部分比對等進階比對功能 (如,陳兆寧與陳經理兆寧、陳組長兆寧、馬英九與馬總統英九、馬主席英九)均可以辨別為中文姓名。
可依自定義規格定義相關個資風險資料偵測rule{系統有預設值、ID 可以是身分證、信用卡、護證照、病歷或相關客製證號(保單號)}。
- 姓名+地址 (Found n次,n可指定)
- 姓名+手機 (Found n次,n可指定)
- 手機+地址 (Found n次,n可指定)
- ID+手機 (Found n次,n可指定)
- ID+市話 (Found n次,n可指定)
- ID+地址 (Found n次,n可指定)
自訂個資組合或證號pattern (Found n次,n可指定),如
- 超高風險個資:信件內含姓名、身分證號、信用卡、護照號、市話、手機號碼以及電子郵件出現N種,各出現N筆
- 中度風險個資:ID證號+另一單一或多重個資(電話、手機、地址、email) 出現 n筆 (各類風險參數可自訂,可類推自定義)
定義後可輸出相關個資掃描與風險分析相關報表以提供糾舉,提報,改善,舉證等相關用途。
除個資外,在MDLP (Mail Data Leak Prevention),有別一般廠商關鍵字與正規表示式比對,綠色運算以卓越的大量資料集(辭典檔)比對引擎技術 (MPM-Multi-Pattern-matching)提供優越的偵測探勘引擎比對技術,因篇幅關係,何謂MPM技術,我們舉例一些高科技稽核實際案例說明,這些案例若不具備MPM技術,則很難在實際應用案例上,在稽核政策定義上可能就會抓禁見肘(當然,無法下政策就無法事前偵測或事後探勘)。
如高科技產業一些案例,若一般只提供關鍵字或正規表示式比對的電郵稽核系統,則很難於實務上應用或無法下稽核政策,如以下高科技產業常見稽核管控政策:
- 收件者只能含單一客戶網域,不能出現其他客戶網域於同一封信
- 客戶與供應商或外包商To/RCPT不能出現在同一封信
- RD 部門外寄信件到免費信箱網域一律攔截
- 信件外寄所有收信欄位的收信人須都符合公司公務通信清單成員
- 多個專案team(或業務),只能寄信給屬於自己專案的客戶對信(各有自己的公務通訊清單),不可寄給其他非自己專案的客戶,可以寄信給不在上述,所有通訊清單的對象.這要做稽核管控與分析 (即各專案組織不能與非自己客戶通信)
- 除[處級主管]以上,外送信件一律先做[關鍵字組權重(3分)式辭典檔檢查],有含關鍵內容則攔截.不含關鍵字仍需檢查[是否有附件],附件若cc給[主管]則放行,沒給主管若是通信對象為[公務清單]者放行常會有專案組織,公務通訊清單,限發清單,拒絕清單,客戶清單,廠商清單,BU客戶清單,部門關鍵字典等Data set 設計
- 一般compliance偵測 (如個資法SOX,PCI,Basel,Hippa)
綠色運算從Appliance-Package-Project-Cloud,提供一系列的郵件稽核解決方案,就電郵稽核技術上提供best of bread 與先進的偵測與探勘技術
最後,提供經驗上的分享-如何選擇良好的電郵稽核產品?
- 只有關鍵字與正規表示式表比對的方法無法滿足稽核實務(一般產品)
- 資料集(大量關鍵字或多模式樣pattern)如何比對? (如收件者符合公務清單如何比對?符合部門關鍵字3 個以上或分數6)
- 是否具有資料集(辭典檔權重)比對引擎技術(MPM-Multi-Pattern-Matching)
- 最簡單的方法是直接舉稽核的政策(如, RD部門外寄信件到免費信箱網域一律攔截)做實際產品POC驗測
- 產品是否提供最佳的稽核比對技術,效率與易於維運的稽核政策管理方式
- 歸檔產品是否提供自動化稽核或舉證探勘的工具或引擎
評選上的建議 :
隨著法規修訂的腳步,個資法議題與需求在資安市場的熱度也持續上揚。對於企業而言,若要妥善管理與保護數量龐大且分散的個資,每天收發無數的電子郵件也是不容忽視的一大環節,要想做好個資保護與安全,郵件稽核管理便是第一步。實務上,建議使用單位應以實際應用案例(real audit scenario)去定義一些Policy 做稽核結果驗測而非測試局部產品規格功能會比較符合企業實務稽核上的需求