网络DLP是否有实质上的收益?| 总第229周

资讯 1个月前 admin
14 0 0
‍‍

‍‍

网络DLP是否有实质上的收益?| 总第229周

0x1本周话题

话题:咨询下大家,大家用网络DLP有实质上的收益吗?

A1:串进去还是有的,凡能送进去一个人,就表示有收益

A2:我们DLP都被法务给我们下线了,好像是有员工告了,估计是之前裁员的。从合规上来看,没有dlp只会扣点分,并不是强制的,所以给下了。

A3:其实可以battle的,上周五刚被挑战了DLP的敏感性,可以说明DLP的敏感性主要源于监控个人隐私数据,而非企业数据一是企业办公电脑一般场景下仅允许处理工作事务。二是如果员工担心DLP管理员有滥用职权的情况,如私看别人敏感信息。我们会有审计员对DLP的管理员进行二次行为审计(你可以理解为公安可以查任意公民信息,但也有人审计公安的行为)

Q:你们这边的业务人员,没有需要处理和审核到客户粒度的数据么?

A4:客户粒度可以靠规则维护的,我之前抓人的时候,会细分到一个非常小众的文件类型领域里面,全靠规则解决

Q:大家网络DLP是旁路告警还是开启阻断?

A5:旁路的,阻断影响有点太大了。但银行类可以阻断,互联网不可能阻断,DLP主要监控+溯源能力,靠规则维护以及监控渠道。

Q:准确性高吗?今年也想引进看看。

A6:看你们业务类型,我们因为业务发送文件很难有准确规则定义是否敏感,以及时效性问题,dlp只能上审计,不开阻断。

A7:我们现在想通过网络dlp解决:mac、linux缺少审计,以及服务器缺少审计的问题。

A8:网络DLP现在串行基本上都是中间人模式,遇到双向认证的SSL,直接无解。

Q:目前DLP对mac电脑支持也很全面?

A9:网络dlp不用说了,终端DLP目前主流厂商的也都支持得还行,我们最近也在对比测试。

Q:终端DLP的话,准备主要在哪些场景?

A10:业务数据加密提取的场景,前期账号维护类的工作量比较大。后期定期关注审计记录即可

A11:大方向分两类:一是合规外发,二是违规外发。【合规外发】需要配套相应的流程制度,比如电脑坏了需要拷贝数据。【违规外发】会细分两个领域:a.有意/恶意违规(比如泄露商业数据、离职拷贝文件);b.无意违规(比如云笔记、网盘自动备份)我们准备上文件摆渡的平台,解决拷贝外发的问题。

A12:外发的文件里会有敏感信息,但是交易时间没发出去会比较麻烦。

Q:有外发动作即可呀,没发出去是因为网络原因还是DLP原因呢?

A13:外发了,dlp阻断,需要领导审批。领导审批耽误一会儿就过交易时间了,这个比较麻烦,所以干脆针对不同部门采用审计模式,开阻断业务部门硬让你背锅也麻烦。

A14:阻断策略与公司制度策略要保持一致,比如你禁止员工外发100个手机号的DLP策略,那么数据管理规定里面也应该有的,我们都是先走数据外发流程,DLP的运营就能自行判断场景是否合理了。

A15:那这些制度要定得很细。一般制度不会这么细,基线和手册之类的才有。

A16:不会到手机号,但会到数据级别。比如C4C3数据禁止外发,C2数据禁止发送超过100条。我们几个数据人为外泄的case,全靠终端DLP+网络DLP溯源取证。

Q:dlp一般是防内鬼,如果是防范攻击者窃取数据,dlp不够吧?

A17:窃取不够,大部分公司也没安装服务器dlp,从有上网权限的服务器传出去就行了。得依赖边界设备或镜像流量去检测和拦截了,类似攻防的waf和ndr设备。

Q:dlp对于加密的数据怎么处理?我们这解决不了。

A18:我们正在解决,目前对于rar加密有一些解法,其实早期国外的厂商就能解决。比如你下载了1000个客户数据,然后常规绕过DLP的方法是压缩加密码或者excel添加密码,然后外传,我们现在测试的产品是可以监控到这种加密的敏感数据外发,算是解决了一类场景问题吧。

Q:加密了,你们怎么解密识别内容?还是说识别的是文件名级别?

A19:其实原理是加密的那个时刻先识别出来,然后就一直跟踪这个文件的路径就好了,包括改拓展名。不过多加几次密这个场景我们还没试过,但原理上不应该啊,除非能把这个文件切片,感觉还能绕过

A20:我们是网络dlp,终端没有安装,就没办法探测加密前的文件了。

0x2 群友分享

【安全资讯】

2024年网络安全人才市场的十大趋势

我们是KMind,志在发明个人AI计算机

高能预警情报 | 国内批量企业遭高级勒索团伙利用多个漏洞攻击投毒

伪造人脸识别认证,4人获刑!专家提醒:保护好这些敏感信息→

—————————————————————————-‍‍‍
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群周报:
关于默认安全的讨论 | 总第228周
遭遇CC攻击,如何有效处置和防范?| 总第227周
关于如何实现IAST低误报及其与RASP区别的杂谈 | 总第226周

如何进群?

如何下载群周报完整版?
请见下图:
网络DLP是否有实质上的收益?| 总第229周

原文始发于微信公众号(君哥的体历):网络DLP是否有实质上的收益?| 总第229周

版权声明:admin 发表于 2024年1月22日 上午8:01。
转载请注明:网络DLP是否有实质上的收益?| 总第229周 | CTF导航

相关文章