關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2026.05.08
風險與威脅/資訊安全
瀏覽器正在破壞您的資料防洩漏 (DLP) 系統:資料如何繞過現代控制措施

現代DLP盲點

防止敏感資料遺失歷來被視為終端或網路問題,部署代理、檢查文件、監控流量,就萬事大吉了。我們最近的分析表明,46% 的敏感文件上傳到 Web 應用程式時被發送到未經授權的帳戶,這暴露出組織在監控和控制其數位生態系統中資料流動方面,存在重大差距。

安全團隊認為他們擁有強大的資料防洩漏 (DLP) 保護,但實際上他們缺乏對資料如今經常移動位置(即瀏覽器中)的可見性和控制力。

為什麼資料防洩漏 (DLP) 會失敗?瀏覽器端的工作被隱藏了

企業工作流程已從終端軟體轉向基於瀏覽器的應用程式。如今,員工通常使用 Google Workspace、Microsoft 365 或 Salesforce;開發人員使用 GitHub、Jira 和內部 Web 應用程式;許多部門現在也開始採用 ChatGPT 和 Copilot 等人工智慧工具。

用戶不再需要下載、修改和重新上傳文件到官方認可的 Web 應用程序,而是直接在瀏覽器中與數據交互,例如從應用程序複製數據或在應用程序之間複製數據、將文件上傳到各種工具以及將數據輸入到 Web 表單和 AI 提示中。加劇這些活動風險的還有一個簡單的事實:員工經常不受限制地使用個人帳戶和未經授權的帳戶。

換句話說,您的團隊所依賴的傳統 DLP 控制措施並沒有在現代活動頻繁發生的環境中應用。

敏感資料究竟是如何離開瀏覽器的

要了解現有資料防洩漏 (DLP) 方案為何不足,關鍵在於了解現代環境中資料外洩的實際發生方式。在瀏覽器會話中,使用者可以向網頁和應用程式輸入、貼上和上傳資料——無論這些操作是否獲得授權。

✔  複製貼上:使用者經常從內部系統複製敏感資料(例如客戶記錄、憑證、原始碼),並將其貼上到個人電子郵件、SaaS 應用程式和 AI 工具中。剪貼簿已成為一個高風險管道,大多數傳統的 DLP 解決方案無法對其進行上下文檢查或控制。

✔  表單輸入和人工智慧提示:敏感資料並非總是以檔案形式傳輸或從剪貼簿貼上。它通常直接輸入到網頁表單、SaaS 應用程序,甚至是人工智慧提示。

由於僅在瀏覽器會話中運行,端點和網路 DLP 控制永遠不會觸發。

✔  文件上傳至SaaS和AI工具:文件上傳仍然是資料遺失的主要途徑之一,而且表面上看起來似乎是正常的活動。員工會上傳原始碼、財務資料和客戶記錄。但如前文所述,這些上傳文件中多達一半可能被發送到未經授權的目的地,包括個人帳戶或未經批准的工具。

✔  影子帳戶和實例:即使在已批准的網域和應用程式中,風險和可見性漏洞依然存在。使用者可能使用個人帳戶將PHI記錄上傳到AI提示,或將敏感檔案儲存到個人Google雲端硬碟或其他SaaS工具中,而不是企業帳戶。

從傳統的資料防洩漏角度來看,這種活動通常與該網域上的正常使用情況沒有區別。

真實案例:瀏覽器中的敏感資料洩露

設想一個常見的工作流程:開發人員存取公司私有的 GitHub 程式碼庫,複製一段專有原始程式碼,然後開啟個人 ChatGPT 會話來排查問題。當他們將這段程式碼貼到 AI 提示框中時,敏感資料實際上就離開了公司。

沒有文件下載或上傳。該公司允許流量存取 ChatGPT,因此未觸發任何基於網路的保護措施,傳統的 DLP 控制措施也未標示貼上操作。儘管這一系列事件為公司的敏感資料帶來了實際風險,但表面上看起來卻像是正常的使用者和瀏覽器活動。

借助瀏覽器原生資料防洩漏 (DLP) 技術,這種互動變得完全可見且可強制執行。基於瀏覽器的 DLP 解決方案可以偵測敏感數據,識別其來源(例如已授權的應用程式),並識別其正在被發送到與個人帳戶關聯的未經授權的 AI 工具。

然後,策略可以阻止使用者的操作或警告安全團隊該操作,同時記錄事件的完整時間軸—將原本不可見的資訊轉換為清晰、可操作的安全訊號。

瀏覽器中的傳統DLP差距

傳統的 DLP 解決方案是為不同的風險模型設計的,該模型專注於防止資料從端點、網路甚至雲端環境洩露。端點 DLP 無法了解在瀏覽器、Web 應用程式本身以及使用的使用者帳戶類型中複製和貼上的資料——所有這些都是有效管理敏感資料所必需的關鍵上下文資料點。

同樣,網路資料防洩漏 (DLP) 也缺乏相同的關鍵背景資訊——即使代理解決方案能夠檢查原本加密的瀏覽器流量——而遠端和分散式工作團隊可能會加劇潛在的可見性問題。雲端 DLP 類似於端點和網路 DLP 解決方案的結合,但它提供了對特定 SaaS 實例或雲端環境的可見性和控制,而該實例或環境已經過 IT 安全部門的批准和管理。

傳統的 DLP 關注的是靜態文件和傳輸中的數據,但它並非設計用來檢查,更不用說控制當今職場中最廣泛使用的應用程式中的用戶活動和會話上下文。

瀏覽器原生資料防洩漏:彌合現代資料保護的差距

瀏覽器原生資料遺失防護 (DLP)直接在使用者的瀏覽工作階段中運行,其獨特的可見性使組織能夠:

✔  即時檢查資料(複製貼上操作、表單和提示輸入、文件上傳)

✔  了解上下文(正在使用哪個應用程序,帳戶或實例是企業帳戶還是個人帳戶,正在處理的資料類型)

✔  強制執行內聯控制(阻止或警告風險操作、根據上下文應用條件策略、允許安全的工作流程而不影響生產力)

這種方法並不會取代您組織現有的資料防洩漏 (DLP) 系統,而是對其進行補充,填補網路層級和終端工具無法解決的明顯可見性空白。

資料來源:https://www.bleepingcomputer.com/news/security/the-browser-is-breaking-your-dlp-how-data-slips-past-modern-controls/
 
現代企業工作流程已轉向瀏覽器,傳統 DLP 方案卻面臨 46% 的數據外洩盲點。