Si su principal preocupación son los navegadores web, la respuesta "simple" parece ser configurar un proxy (por ejemplo, squid) con intercepción SSL. E informando a tus usuarios que estás haciendo esto.
Pero eso (como han señalado otros) no te compra mucho, más allá de abrir la puerta a más posibilidades.
Solo con Squid, obtendrías la fuente, el sitio de destino / URL y el tamaño / tipo mimo de la carga (y lo más probable, el código fuente se exfiltrará como un archivo comprimido, por lo que no parece probable que el tipo mime ser todo lo que sea útil).
Puede habilitar ICAP en Squid para descargar una inspección más profunda a otra cosa, pero no pude encontrar una solución DLP de código abierto que sea compatible con ICAP; hay soluciones comerciales.
Es posible utilizar ClamAV a través de ICAP, por lo que posiblemente podría escribir algunas firmas en Clam para intentar ayudar con su caso de uso.
Fundamentalmente, sin embargo, es poco probable que esto proteja realmente a las personas que filtran datos (es una cuestión de cuán decididos / inteligentes deberían ser, y no puedo pensar mucho en eso realmente levanta esa barra).
Puede ser mejor establecer un entorno de trabajo que limite las oportunidades de exfiltrarse en primer lugar (p. Ej., Usar algo parecido a un bastión / jumphost de bastion en el que se pueda acceder y trabajar en el código fuente, pero es posible que no se descargue; la copia puede ser difícil para prevenir).