tecniche di posta elettronica DLP

Naviga le tue risposte
1

Mi è stato chiesto di implementare alcuni comandi esterni che verranno chiamati dal nostro server di posta elettronica per eseguire alcuni controlli di base sui messaggi in uscita.

Sto facendo una ricerca per capire che tipo di controlli posso implementare.

Alcune note:

  • le regole DLP delle parole chiave sono sotto esame
  • non esiste uno schema di classificazione confidenziale in azienda. Lo faremo nel prossimo futuro. Pertanto, non è ancora possibile identificare un documento basato sulla parola chiave di classificazione
  • non esiste un budget per implementare una soluzione DLP dedicata

Ecco alcuni controlli che ho pensato di implementare:

  • conta il numero di messaggi inviati da un utente al giorno. Se il numero di messaggi del giorno corrente è superiore a una soglia definita (in percentuale, ad esempio 100%) rispetto al numero medio di messaggi inviati negli ultimi N giorni, genera un avviso. Dovrei anche considerare un numero minimo di messaggi, al di sotto del quale questo controllo non ha senso
  • analizza la dimensione o il numero di allegati inviati da un utente al giorno. Stesso controllo su una soglia come descritto nella precedente regola

Qualcuno di voi ha eseguito qualche tipo di attività del genere? Hai qualche consiglio su altri tipi di regole o approccio?

    
posta StefanoBo 12.08.2016 - 12:25
fonte

4 risposte

3

Non intendo questo per sembrare duro, ma questo fa parte del mio lavoro quotidiano, e ad essere sincero non penso che tu abbia l'esperienza o lo scopo necessario per tirare fuori qualcosa del genere da te stesso mentre realizzi qualsiasi una sorta di risultato significativo.

DLP è un dominio ENORME. Non ti è stata data alcuna chiara direzione in ciò che devi catturare, cosa che rende tutto questo ancora più difficile. Porta vendite o libri di affari interni rubati? PII? HIPAA? PCI? Non è possibile passare un controllo di questi ultimi due a rotazione della propria soluzione (parlare con il proprio auditor PRIMA di avviare lo sviluppo).

E nessuno dei tuoi grilletti catturerà altro che uno spambot canaglia in esecuzione sulla tua rete. Nella mia esperienza, le persone che sfogliano i dati sanno che stanno facendo qualcosa di male e prendono almeno UN passo per coprirlo. Inoltre, non inizieranno a inviare 100 volte più e-mail di quanto non facciano di solito. Nella migliore delle ipotesi, l'utilizzo di un'espressione regolare per i social o i numeri A / R potrebbe rilevare alcuni casi accidentali di Outlook durante il completamento automatico dell'indirizzo errato e il mittente che lo invia senza guardare.

  • Come distinguerai i numeri delle 16 cifre delle carte da qualsiasi altra sequenza di 16 cifre?
  • Potresti prenderli tutti, ma chi sta esaminando questi falsi positivi? È qualcuno? Se non hai il budget per una soluzione commerciale, hai persino degli analisti che esamineranno tutto ciò che trovi?
  • Documenti di Word. Stai catturando e / o leggendo quelli?
  • File di testo o documenti rinominati come qualcos'altro?
  • Immagini. Stai eseguendo l'OCR su tutte le immagini in uscita?
  • Flussi di dati alternativi / stego?
  • Se esporto le informazioni del titolare della carta su un PDF e lo applico in un file zip crittografato, lo prenderesti? Cosa succede se ho bloccato quella zip crittografata all'interno di un'altra rar raramente crittografata? Dovresti decifrare almeno un livello di file zip / rar e analizzare un PDF per catturarlo. Potresti bloccare tutti gli allegati binari, ma quando si rivolgono a un canale alternativo per inviarlo in un altro modo, lo prendi?
  • Vuoi prendere i numeri di previdenza sociale? Come distinguerai quelli dai numeri di telefono digitati male? 273-555-1010 è un numero di telefono o un social? Che ne dici di 123769931? Lo stesso regex prenderà entrambi.

Ricorda che nessuno di questi casi comporta un cambiamento nella velocità o negli allegati, come stai proponendo. È solo una e-mail maligna tra molte benigne che invierò quel giorno. Forse la tua è diversa, ma nella mia esperienza la maggior parte delle persone non è abbastanza stupida da scaricare semplicemente le PII nel corpo di una e-mail e inviarla; Il 90% delle volte è incapsulato in almeno un altro formato (pdf, txt, doc, doc all'interno di zip, zip all'interno di rar, ecc.)

La tua domanda riguarda specificamente la posta elettronica, ma devi anche considerare le persone che usano la messaggistica di Facebook, Dropbox, chiavette USB, ecc. per estrarre i dati ... altrimenti potresti anche non preoccuparti. L'email è solo un piccolo vettore.

Non intendo buttarti addosso, sottolineando solo alcune delle mie esperienze con questo campo nella speranza che ti risparmi un po 'di mal di testa. Non hai idea di cosa ti stai occupando se non disponi di budget per gli strumenti. La DLP è una delle poche aree in cui credo davvero che le soluzioni commerciali possano fare molto meglio del proprio.

    
risposta data 12.08.2016 - 17:00
fonte
0

Anche se non hai contrassegni di protezione, dovresti considerare la possibilità di cercare messaggi per contenuti che hanno una ragionevole aspettativa di non conformità.

Ad esempio, in un'organizzazione finanziaria, la ricerca di stringhe a 16 cifre potrebbe essere un indicatore dei dati della carta inviati. Forse non è utile di per sé, ma più istanze di tali numeri sono sospette. Allo stesso modo, i numeri di previdenza sociale, o il loro equivalente dove sei ecc.

Pensa anche all'indirizzo di destinazione come possibile oggetto da contrassegnare - vuoi che le persone inviino email a indirizzi di casa, concorrenti ecc.?

C'è una lunga lista di cose che puoi fare - il mio approccio preferito è vederlo dal punto di vista del rischio. Che cosa potrebbe fare un dipendente che presenta un rischio per la tua azienda? Valutare i rischi e capire come misurare i comportamenti che portano a tali rischi.

(Naturalmente, se il rischio di DLP è troppo grande, il controllo estremo consiste nel bandire completamente l'e-mail esterna. È una soluzione appropriata per alcune organizzazioni)

    
risposta data 12.08.2016 - 12:52
fonte
0

DLP non si occupa solo di verificare le e-mail in uscita per i contenuti sensibili. Se ti è stato chiesto di configurare i controlli DLP, dovresti rispondere con diverse domande, ad esempio quali dati sono sensibili per la tua azienda, diversi dalla posta elettronica, quali altre applicazioni online utilizzano i dipendenti, hanno anche accesso ai dispositivi di archiviazione portatili? Prima di scrivere comandi, dovresti anche controllare cosa c'è sul mercato, anche se non hai un budget. Potrebbe darti un'idea migliore di ciò che è DLP e di come un'azienda dovrebbe avvicinarsi. Il numero di e-mail o allegati inviati dai dipendenti potrebbe non essere rilevante per gli incidenti di sicurezza. Anche il contesto è importante. Se un dipendente sta avendo un periodo di lavoro intenso e invia più e-mail di solito, significa necessariamente che sta perdendo dati? Solo qualcosa su cui riflettere ...

    
risposta data 06.09.2016 - 12:08
fonte
-2

Da GTB Technologies " Perché DLP non funziona ":

The function of DLP system protection is to be a precise tool that monitors and protects sensitive data. Security and compliance officers must understand and require that their DLP system is able to have answers to questions such as:

“What data do I want to protect?” and

“Can my DLP system classify data correctly in real-time?” or

“Can I truly prevent a data breach?”

    
risposta data 16.09.2016 - 06:23
fonte

Leggi altre domande sui tag

In che modo gli iframe sono vulnerabili agli attacchi Exchange: compromissione dell'account e-mail