Non intendo questo per sembrare duro, ma questo fa parte del mio lavoro quotidiano, e ad essere sincero non penso che tu abbia l'esperienza o lo scopo necessario per tirare fuori qualcosa del genere da te stesso mentre realizzi qualsiasi una sorta di risultato significativo.
DLP è un dominio ENORME. Non ti è stata data alcuna chiara direzione in ciò che devi catturare, cosa che rende tutto questo ancora più difficile. Porta vendite o libri di affari interni rubati? PII? HIPAA? PCI? Non è possibile passare un controllo di questi ultimi due a rotazione della propria soluzione (parlare con il proprio auditor PRIMA di avviare lo sviluppo).
E nessuno dei tuoi grilletti catturerà altro che uno spambot canaglia in esecuzione sulla tua rete. Nella mia esperienza, le persone che sfogliano i dati sanno che stanno facendo qualcosa di male e prendono almeno UN passo per coprirlo. Inoltre, non inizieranno a inviare 100 volte più e-mail di quanto non facciano di solito. Nella migliore delle ipotesi, l'utilizzo di un'espressione regolare per i social o i numeri A / R potrebbe rilevare alcuni casi accidentali di Outlook durante il completamento automatico dell'indirizzo errato e il mittente che lo invia senza guardare.
- Come distinguerai i numeri delle 16 cifre delle carte da qualsiasi altra sequenza di 16 cifre?
- Potresti prenderli tutti, ma chi sta esaminando questi falsi positivi? È qualcuno? Se non hai il budget per una soluzione commerciale, hai persino degli analisti che esamineranno tutto ciò che trovi?
- Documenti di Word. Stai catturando e / o leggendo quelli?
- File di testo o documenti rinominati come qualcos'altro?
- Immagini. Stai eseguendo l'OCR su tutte le immagini in uscita?
- Flussi di dati alternativi / stego?
- Se esporto le informazioni del titolare della carta su un PDF e lo applico in un file zip crittografato, lo prenderesti? Cosa succede se ho bloccato quella zip crittografata all'interno di un'altra rar raramente crittografata? Dovresti decifrare almeno un livello di file zip / rar e analizzare un PDF per catturarlo. Potresti bloccare tutti gli allegati binari, ma quando si rivolgono a un canale alternativo per inviarlo in un altro modo, lo prendi?
- Vuoi prendere i numeri di previdenza sociale? Come distinguerai quelli dai numeri di telefono digitati male? 273-555-1010 è un numero di telefono o un social? Che ne dici di 123769931? Lo stesso regex prenderà entrambi.
Ricorda che nessuno di questi casi comporta un cambiamento nella velocità o negli allegati, come stai proponendo. È solo una e-mail maligna tra molte benigne che invierò quel giorno. Forse la tua è diversa, ma nella mia esperienza la maggior parte delle persone non è abbastanza stupida da scaricare semplicemente le PII nel corpo di una e-mail e inviarla; Il 90% delle volte è incapsulato in almeno un altro formato (pdf, txt, doc, doc all'interno di zip, zip all'interno di rar, ecc.)
La tua domanda riguarda specificamente la posta elettronica, ma devi anche considerare le persone che usano la messaggistica di Facebook, Dropbox, chiavette USB, ecc. per estrarre i dati ... altrimenti potresti anche non preoccuparti. L'email è solo un piccolo vettore.
Non intendo buttarti addosso, sottolineando solo alcune delle mie esperienze con questo campo nella speranza che ti risparmi un po 'di mal di testa. Non hai idea di cosa ti stai occupando se non disponi di budget per gli strumenti. La DLP è una delle poche aree in cui credo davvero che le soluzioni commerciali possano fare molto meglio del proprio.