0x1本周话题
话题:咨询下大家,大家用网络DLP有实质上的收益吗?
A1:串进去还是有的,但凡能送进去一个人,就表示有收益。
A2:我们DLP都被法务给我们下线了,好像是有员工告了,估计是之前裁员的。从合规上来看,没有dlp只会扣点分,并不是强制的,所以给下了。
A3:其实可以battle的,上周五刚被挑战了DLP的敏感性,可以说明DLP的敏感性主要源于监控个人隐私数据,而非企业数据。一是企业办公电脑一般场景下仅允许处理工作事务。二是如果员工担心DLP管理员有滥用职权的情况,如私看别人敏感信息。我们会有审计员对DLP的管理员进行二次行为审计(你可以理解为公安可以查任意公民信息,但也有人审计公安的行为)。
Q:你们这边的业务人员,没有需要处理和审核到客户粒度的数据么?
A4:客户粒度可以靠规则维护的,我之前抓人的时候,会细分到一个非常小众的文件类型领域里面,全靠规则解决。
Q:大家网络DLP是旁路告警还是开启阻断?
A5:旁路的,阻断影响有点太大了。但银行类可以阻断,互联网不可能阻断,DLP主要监控+溯源能力,靠规则维护以及监控渠道。
Q:准确性高吗?今年也想引进看看。
A6:看你们业务类型,我们因为业务发送文件很难有准确规则定义是否敏感,以及时效性问题,dlp只能上审计,不开阻断。
A7:我们现在想通过网络dlp解决:mac、linux缺少审计,以及服务器缺少审计的问题。
A8:网络DLP现在串行基本上都是中间人模式,遇到双向认证的SSL,直接无解。
Q:目前DLP对mac电脑支持也很全面?
A9:网络dlp不用说了,终端DLP目前主流厂商的也都支持得还行,我们最近也在对比测试。
Q:终端DLP的话,准备主要在哪些场景?
A10:业务数据加密提取的场景,前期账号维护类的工作量比较大。后期定期关注审计记录即可。
A11:大方向分两类:一是合规外发,二是违规外发。【合规外发】需要配套相应的流程制度,比如电脑坏了需要拷贝数据。【违规外发】会细分两个领域:a.有意/恶意违规(比如泄露商业数据、离职拷贝文件);b.无意违规(比如云笔记、网盘自动备份)。我们准备上文件摆渡的平台,解决拷贝外发的问题。
A12:外发的文件里会有敏感信息,但是交易时间没发出去会比较麻烦。
Q:有外发动作即可呀,没发出去是因为网络原因还是DLP原因呢?
A13:外发了,dlp阻断,需要领导审批。领导审批耽误一会儿就过交易时间了,这个比较麻烦,所以干脆针对不同部门采用审计模式,开阻断业务部门硬让你背锅也麻烦。
A14:阻断策略与公司制度策略要保持一致,比如你禁止员工外发100个手机号的DLP策略,那么数据管理规定里面也应该有的,我们都是先走数据外发流程,DLP的运营就能自行判断场景是否合理了。
A15:那这些制度要定得很细。一般制度不会这么细,基线和手册之类的才有。
A16:不会到手机号,但会到数据级别。比如C4C3数据禁止外发,C2数据禁止发送超过100条。我们几个数据人为外泄的case,全靠终端DLP+网络DLP溯源取证。
Q:dlp一般是防内鬼,如果是防范攻击者窃取数据,dlp不够吧?
A17:窃取不够,大部分公司也没安装服务器dlp,从有上网权限的服务器传出去就行了。得依赖边界设备或镜像流量去检测和拦截了,类似攻防的waf和ndr设备。
Q:dlp对于加密的数据怎么处理?我们这解决不了。
A18:我们正在解决,目前对于rar加密有一些解法,其实早期国外的厂商就能解决。比如你下载了1000个客户数据,然后常规绕过DLP的方法是压缩加密码或者excel添加密码,然后外传,我们现在测试的产品是可以监控到这种加密的敏感数据外发,算是解决了一类场景问题吧。
Q:加密了,你们怎么解密识别内容?还是说识别的是文件名级别?
A19:其实原理是加密的那个时刻先识别出来,然后就一直跟踪这个文件的路径就好了,包括改拓展名。不过多加几次密这个场景我们还没试过,但原理上不应该啊,除非能把这个文件切片,感觉还能绕过。
A20:我们是网络dlp,终端没有安装,就没办法探测加密前的文件了。
如何进群?
原文始发于微信公众号(君哥的体历):网络DLP是否有实质上的收益?| 总第229周
