web-dev-qa-db-ja.com

DLPメールテクニック

送信メッセージの基本的なチェックを実行するために、電子メールサーバーによって呼び出されるいくつかの外部コマンドを実装するように依頼されました。

どのようなチェックを実行できるかを理解するために調査を行っています。

いくつかの注意:

  • キーワードDLPルールは精査中です
  • 会社には機密分類スキームはありません。近い将来それをするつもりです。したがって、分類キーワードに基づいてドキュメントを識別する方法はまだありません
  • 専用のDLPソリューションを実装するための予算はありません

これが私が実装しようと思ったいくつかのチェックです:

  • ユーザーが1日に送信したメッセージの数を数えます。当日のメッセージの数が、過去N日間に送信されたメッセージの平均数と比較して、定義されたしきい値(パーセンテージ、たとえば100%)よりも多い場合は、アラートを生成します。メッセージの最小数も考慮する必要があります。この数を下回ると、このチェックには意味がありません。
  • ユーザーが1日に送信する添付ファイルのサイズまたは数を分析します。前のルールで説明したのと同じしきい値を超えるチェック

そんな活動をした人はいますか?他の種類のルールやアプローチについて何かアドバイスはありますか?

emaildlp
1
StefanoBo

厳しいとは言えませんが、これは私の日常業務の一部であり、正直なところ、このようなことを自分で成功させながら、何らかの意味のあることを達成するために必要な経験や範囲はないと思います。結果。

DLPは巨大なドメインです。捕まえる必要があるものについて明確な指示さえ与えられていないため、これはさらに困難になっています。盗まれた社内のセールスリードやビジネスの本? PII? HIPAA? PCI?後者の2つは、独自のソリューションをローリングする監査に合格しない可能性があります(開発を開始する前に監査人に相談してください)。

また、どちらのトリガーも、ネットワーク上で実行されている不正なスパムボット以外はキャッチしません。私の経験では、データを盗み出す人々は、自分が何か悪いことをしていることを知っており、それを隠すために少なくとも1つのステップを踏みます。また、通常の100倍の数のメールを突然送信し始めることもありません。せいぜい、ソーシャル番号またはA/R番号に正規表現を使用すると、Outlookが間違ったアドレスを自動補完し、送信者が見ずにアドレスを送信するという偶発的なケースを見つけることができます。

  • 16桁のカード番号を他の16桁のシーケンスとどのように区別しますか?
  • それらすべてを捕まえることができますが、誰がこれらの誤検知をレビューしていますか?誰かいますか?商用ソリューションの予算がない場合は、見つけたものをレビューするアナリストもいますか?
  • Word文書。それらをキャプチャおよび/または読んでいますか?
  • テキストファイルまたはドキュメントの名前が別のものに変更されましたか?
  • 画像。すべてのアウトバウンドイメージでOCRを実行していますか?
  • 代替データストリーム/ステゴ?
  • カード所有者情報をPDFにエクスポートし、暗号化されたZipファイルに貼り付けた場合、それをキャッチしますか?その暗号化されたZipを別の暗号化されたrar内に貼り付けた場合はどうなりますか?で復号化する必要があります。 Zip/rarファイルの少なくとも1つのレイヤーを解析し、PDFを解析してキャッチします。すべてのバイナリ添付ファイルをブロックできますが、別の方法で送信するために別のチャネルに切り替えた場合、キャッチしますか?それ?
  • あなたは社会保障番号をキャッチしたいですか?それらをタイプミスの電話番号とどのように区別しますか? 273-555-1010は電話番号ですか、それとも社交ですか? 123769931はどうですか?同じ正規表現がどちらかをキャッチします。

あなたが探していると提案しているように、これらのケースのどれも速度やアタッチメントの変更を伴わないことを覚えておいてください。これは、私がその日に送信する多くの良性の電子メールの1つにすぎません。たぶんあなたは違うかもしれませんが、私の経験では、ほとんどの人はPIIを電子メールの本文にダンプして送信するほど愚かではありません。 90%の確率で、少なくとも1つの他の形式(pdf、txt、doc、Zip内のdoc、rar内のZipなど)でカプセル化されます。

あなたの質問は特に電子メールに関するものですが、Facebookメッセージング、Dropbox、USBスティックなどを使用してデータを盗み出す人々を考慮する必要があります...そうでなければ、気にしない方がよいでしょう。電子メールは1つの小さなベクトルにすぎません。

頭痛の種を免れることを願って、この分野での私自身の経験のいくつかを指摘するだけで、あなたを捨てるつもりはありません。工具の予算がない場合、何に取り組んでいるのかわかりません。 DLPは、商用ソリューションが独自のソリューションよりもはるかに優れていると私が本当に信じている数少ない分野の1つです。

3
Ivan

DLPは、送信メールの機密コンテンツを確認するだけではありません。 DLPコントロールの設定を求められた場合は、電子メール以外に会社にとって機密性の高いデータ、従業員が使用する他のオンラインアプリケーション、ポータブルストレージデバイスにもアクセスできるかなど、いくつかの質問に答える必要があります。コマンドを作成する前に、予算がない場合でも、市場に出回っているものを確認する必要があります。 DLPとは何か、企業がDLPにどのように取り組むべきかについてのより良いアイデアが得られるかもしれません。従業員から送信された電子メールまたは添付ファイルの数は、セキュリティインシデントに関連しない場合があります。コンテキストも重要です。従業員が忙しい時期に通常よりも多くの電子メールを送信している場合、それは必ずしも彼がデータを漏らしていることを意味しますか?考えるべきこと...

0
Sec 3400

保護マークはありませんが、非準拠であることが合理的に予想されるコンテンツをメッセージで検索することを検討する必要があります。

たとえば、金融機関では、16桁の文字列を検索することで、カードデータが送信されていることを示すことができます。それ自体は役に立たない可能性がありますが、そのような番号の複数のインスタンスは疑わしいものです。同様に、社会保障番号、またはあなたがいる場所での同等の番号など。

また、フラグを立てる可能性のある項目として宛先アドレスを考えてください-人々が自宅のアドレスや競合他社などに電子メールを送信するようにしたいですか?

あなたができることの長いリストがあります-私の好ましいアプローチはリスクの観点からそれを見ることです。あなたの会社にリスクをもたらす従業員はどのようなことをすることができますか?リスクを評価し、それらのリスクにつながる行動を測定する方法を考え出します。

(もちろん、DLPによるリスクが大きすぎる場合、極端な制御は外部の電子メールを完全に禁止することです。これは一部の組織にとって適切なソリューションです)

0
Rory Alsop