AI 浪潮下的資安挑戰
根據史丹佛 2025 的 AI Index Report ,全球已有 78% 的企業在日常工作中導入 AI,較前一年的 55% 成長 23%。然而 AI 效率革命背後,資安裂縫正悄然擴大。IBM 報告更揭露,五分之一的企業曾因 Shadow AI 遭遇資安事件,平均造成額外 67 萬美元損失。企業賦予 AI 工具存取權限、積極培訓員工日常使用,卻在無意間讓辛苦建立的 Zero Trust 原則形同虛設。Cloudflare DLP 在資料外洩之前即時攔截,讓企業擁抱 AI 效率的同時,也堅守資安防線。
資料外洩常見的 5 種情境
在預防資料外洩前,我們需要先盤點可能的外洩情境,才能構思完善的資安策略,選擇適合的網路安全產品。
.使用者在未經授權下將資料複製到外部硬碟上
.外部攻擊者獲得未經授權的存取權限竊取資料
.機密資料透過電子郵件或即時訊息離開網路
.員工將資料上傳到公司無法控制的公用雲端
由此可知,資料外洩的途徑可能是透過硬體,也可能是透過網路,甚至是外部威脅的入侵。資安人員除了應當對硬體進行資料防護以外,也需對自身單位的基礎建設,部署應對的防護設備、規則。
而針對經由網路的資料外洩,齊瑞科技推薦使用可以透過流量偵測敏感字眼的 Cloudflare DLP 模組。
Cloudflare DLP 如何偵測敏感性資料?
Cloudflare DLP 核心原理是建立偵測規則,當網路流量經過 Cloudflare 節點進行偵測,它會自動識別流量中符合特定格式的敏感資料。我們將偵測的面相分為以下 3 種。
.關鍵字匹配:
在 Cloudflare DLP 對敏感字眼設定關鍵字規則。常見的個資關鍵字包含姓名、生日、身份證號碼、地址、護照號碼、電話號碼。Cloudflare已經預設個資關鍵字勾選功能,不需逐一設定。
Cloudflare DLP 會在使用者所上傳的檔案,或向 AI 工具輸入的訊息中,根據關鍵字規則進行偵測,當偵測到這些敏感字眼,即觸發阻擋動作,停止檔案傳遞。例如,若公司希望在財報會議之前對其季度財務報告保密,可以在 Cloudflare DLP 設定阻攔包含「季度財務報告」等關鍵字之電子郵件、檔案。
.模式匹配:
此技術根據適合受保護資料,與可能需要受保護的文字進行分類。假設從公司資料庫發出的 HTTP 回應包含一個 16 位數字。DLP 系統將自動判定該字串極有可能是信用卡號,判定為受保護的個人資訊並進一步攔截。意即 DLP 可以針對字串的特徵,進行阻擋。
.檔案匹配:
對檔案進行雜湊值處理,並讓 Cloudflare 只儲存雜湊值而不儲存明文資料。當企業需要上傳一份資料,無論使用者修改檔名,或另存檔案,雜湊值在檔案變更後仍舊維持一致。上傳的過程,Cloudflare 會對上傳資料的流量進行雜湊值比對,若偵測到與 Cloudflare 上儲存的雜湊值相同,就會阻擋。
Cloudflare DLP 規則設定 5 大面向
為發想出精準的DLP規則,我們將設定要素拆解成以下 5 個要素。
DLP 可針對角色進行權限控管,針對不同的職務設置不同 DLP 規則。
媒介指資料移動的管道。獨立出來看,既方便使用者盤點資料移動的管道,也能促進規則設定的發想。
對這 5 個 DLP 規則要素的細項進行各種排列組合,便可試想出規則設定的千百種可能。而對這 5 個要素,使用者亦可自行考慮要將哪幾項納入規則設定的範圍。
Cloudflare DLP 與 Cloudflare One 平台功能的整合應用
Gateway + DLP
Cloudflare Gateway 是 Cloudflare One 平台中的安全網頁閘道 (Secure Web Gateway, SWG),負責攔截從使用者設備發出的流量,決定流量是否通過。透過 DLP 的掛載,對 Gateway 攔截到的 HTTP 流量進行掃描,便能對傳輸中的資料 (Data in Motion) 有效過濾。
RBI + DLP
Cloudflare RBI (Remote Browser Isolation) 會將網頁程式碼的執行與運算移至 Cloudflare 雲端的虛擬瀏覽器中,僅將渲染後的像素傳回使用者的本地螢幕。使用者看到的是「畫面」,而非可執行的程式碼。與 DLP 互補作用能對使用中的資料 (Data in Use) 做到雙重把關。
Cloudflare DLP 實際業務案例
保護目標是人力資源管理系統 (HRM),裡面存放員工個資、眷屬加保資料、薪資結構。主要使用單位為人資部、財務部,但目前任何團隊都可以批次性瀏覽、匯出 HRM 的任何資料。
如此情況便可在 Cloudflare DLP 加入下列規則,避免資料外洩也不影響日常業務效率。
針對財務部與人資部以外的使用者,設定當上傳、輸入含有個人識別資訊(PII)的檔案至 AI 工具或公有雲時,Cloudflare DLP 即時攔截該傳輸行為,並提醒使用者已觸犯資料外洩防範機制。
僅允許法務人員瀏覽 HRM 系統紀錄,但透過 Cloudflare Gateway 封鎖其將資料下載至本機的行為,避免員工資料以檔案形式流出企業管控範圍。
將公司一份含有 200 筆員工資料的 Excel 經雜湊值處理,上傳至 Cloudflare。如此即便檔案被複製、重新命名,上傳到 AI 工具、公有雲、外部網站,仍會遭到阻擋。
Cloudflare DLP 導入,找齊瑞科技
選擇值得信賴的導入夥伴,與選擇正確的資安工具同等重要。齊瑞科技本業為機房代管業務,具 5×8 及 7×24 彈性 SLA 支援能力,並擁有橫跨公家單位、醫學中心、電信業者的 Cloudflare 導入經驗。
在 Cloudflare DLP 的部署之外,齊瑞科技能結合日誌管理系統,對網路流量進行持續監控與告警設定。當使用者觸發資料外洩防護規則時,系統可以即時通知資安管理員,在第一時間掌握機敏資料動向。
從導入規劃、政策設定到上線後的維運支援,齊瑞科技能確保 Cloudflare DLP 在您的環境中真正發揮防護效益。
如需進一步了解或安排技術諮詢,歡迎與我們聯繫,讓齊瑞與您共同築起企業資料的安全屏障。
