técnicas de correo electrónico DLP

Navega tus respuestas
1

Se me pidió que implementara algunos comandos externos para que nuestro servidor de correo electrónico los llame para realizar una comprobación básica de los mensajes salientes.

Estoy haciendo una investigación para comprender qué tipo de controles puedo implementar.

Algunas notas:

  • las reglas de DLP de palabras clave están bajo escrutinio
  • no hay ningún esquema de clasificación confidencial en la empresa. Lo haremos en un futuro cercano. Por lo tanto, todavía no hay manera de identificar un documento basado en la palabra clave de clasificación
  • no hay presupuesto para implementar una solución DLP dedicada

Aquí hay algunas comprobaciones que pensé implementar:

  • cuente la cantidad de mensajes enviados por un usuario por día. Si el número de mensajes del día actual es mayor que el de un umbral definido (en porcentaje, digamos 100%) en comparación con el número promedio de mensajes enviados en los últimos N días, se genera una alerta. También debería considerar un número mínimo de mensajes, por debajo del cual este control no tiene sentido
  • analice el tamaño o la cantidad de archivos adjuntos enviados por un usuario por día. La misma verificación sobre un umbral como se describe en la regla anterior

¿Alguno de ustedes realizó algún tipo de actividad? ¿Tiene algún consejo sobre otro tipo de reglas o enfoque?

    
pregunta StefanoBo 12.08.2016 - 12:25
fuente

4 respuestas

3

No quiero que esto suene duro, pero esto es parte de mi trabajo diario, y para ser honesto, no creo que tengas la experiencia o el alcance necesarios para lograr algo como esto por ti mismo mientras logras algo. tipo de resultado significativo.

DLP es un dominio ENORME. Ni siquiera se te ha dado una dirección clara sobre qué es lo que necesitas atrapar, lo que hace que esto sea aún más difícil. ¿Robos de ventas internas o libros de negocios? PII? HIPAA? PCI? Es posible que no pase una auditoría de los dos últimos para poner en marcha su propia solución (hable con su auditor ANTES de comenzar el desarrollo).

Y ninguno de sus activadores detectará nada excepto un spambot deshonesto que se ejecuta en su red. En mi experiencia, las personas que exageran los datos saben que están haciendo algo malo y toman al menos UN paso para encubrirlo. Tampoco van a comenzar a enviar 100 veces más correos electrónicos de lo que suelen hacer. En el mejor de los casos, el uso de una expresión regular para números sociales o de A / R puede detectar algunos casos accidentales de Outlook que completa automáticamente la dirección incorrecta y que el remitente la envíe sin mirar.

  • ¿Cómo va a distinguir los números de tarjeta de 16 dígitos de cualquier otra secuencia de 16 dígitos?
  • Puede capturarlos a todos, pero ¿quién está revisando estos falsos positivos? ¿Hay alguien? Si no tiene el presupuesto para una solución comercial, ¿tiene analistas que revisarán cualquier cosa que encuentre?
  • documentos de Word. ¿Está capturando y / o leyendo a través de ellos?
  • ¿Se ha cambiado el nombre de los archivos de texto o documentos como otra cosa?
  • Imágenes. ¿Está realizando OCR en todas las imágenes salientes?
  • Flujos de datos alternativos / stego?
  • Si exporto la información del titular de la tarjeta a un PDF y la coloco en un archivo zip cifrado, ¿lo captaría? ¿Qué pasa si coloco ese zip cifrado dentro de otro rar cifrado? Tendría que descifrar al menos una capa de archivo zip / rar y analizar un PDF para atraparlo. Podrías bloquear todos los archivos adjuntos binarios, pero cuando recurran a un canal alternativo para enviarlo de otra forma, ¿lo captarás?
  • ¿Quieres capturar números de seguridad social? ¿Cómo los distinguirá de los números de teléfono mal escritos? ¿Es 273-555-1010 un número de teléfono o un social? ¿Qué tal 123769931? Las mismas expresiones regulares atraparán a cualquiera.

Tenga en cuenta que ninguno de estos casos implica un cambio en la velocidad o los archivos adjuntos, como está proponiendo que buscaría. Es solo un correo electrónico malicioso entre muchos mensajes benignos que enviaré ese día. Tal vez el tuyo sea diferente, pero, según mi experiencia, la mayoría de las personas no son lo suficientemente tontas como para simplemente descargar la PII en el cuerpo del correo electrónico y enviarlo; El 90% de las veces se encapsula en al menos otro formato (pdf, txt, doc, doc en zip zip, zip en rar, etc.).

Su pregunta se refería específicamente al correo electrónico, pero también debe considerar a las personas que usan mensajes de Facebook, Dropbox, memorias USB, etc. para filtrar datos ... de lo contrario, puede que no se moleste. El correo electrónico es solo un pequeño vector.

No es mi intención arrojarte sobre ti, solo señalar algunas de mis experiencias con este campo con la esperanza de que te ahorre un poco de dolor de cabeza. No tiene idea de en qué se está metiendo si no tiene presupuesto para herramientas. DLP es una de las pocas áreas en las que creo que las soluciones comerciales pueden hacerlo mucho mejor que rodar las suyas.

    
respondido por el Ivan 12.08.2016 - 17:00
fuente
0

Si bien no tiene una marca de protección, debe considerar buscar en los mensajes el contenido que tiene una expectativa razonable de no ser compatible.

Por ejemplo, en una organización financiera, la búsqueda de cadenas de 16 dígitos podría ser un indicador del envío de datos de la tarjeta. Posiblemente no sea útil en sí mismo, pero varias instancias de tales números son sospechosas. Del mismo modo, los números de la seguridad social, o su equivalente donde se encuentre, etc.

También piense en la dirección de destino como un posible elemento para marcar. ¿Desea que las personas envíen correos electrónicos a direcciones residenciales, competidores, etc.?

Hay una larga lista de cosas que puede hacer; mi enfoque preferido es verlo desde una perspectiva de riesgo. ¿Qué cosas podría hacer un empleado que presente un riesgo para su empresa? Evalúe los riesgos y descubra cómo medir los comportamientos que conducen a esos riesgos.

(Por supuesto, si el riesgo de DLP es demasiado grande, el control extremo es prohibir por completo el correo electrónico externo. Es una solución adecuada para algunas organizaciones)

    
respondido por el Rory Alsop 12.08.2016 - 12:52
fuente
0

DLP no solo se trata de verificar los correos electrónicos salientes para el contenido confidencial. Si se le pidió que configurara los controles de DLP, debería responder con varias preguntas, como qué datos son confidenciales para su empresa, además del correo electrónico, qué otras aplicaciones en línea utilizan los empleados, ¿también tienen acceso a dispositivos de almacenamiento portátiles? Antes de escribir comandos, también debe verificar qué hay en el mercado, aunque no tenga un presupuesto. Podría darle una mejor idea de qué es DLP y cómo debe abordarlo una empresa. La cantidad de correos electrónicos o archivos adjuntos enviados por los empleados puede no ser relevante para incidentes de seguridad. El contexto también es importante. Si un empleado tiene un período ocupado y envía más correos electrónicos de lo habitual, ¿significa necesariamente que está filtrando datos? Solo algo en lo que pensar ...

    
respondido por el Sec 3400 06.09.2016 - 12:08
fuente
-2

De GTB Technologies " ¿Por qué falla el DLP ":

  

La función de protección del sistema DLP es ser una herramienta precisa que supervise y proteja los datos confidenciales. Los oficiales de seguridad y cumplimiento deben comprender y exigir que su sistema DLP pueda tener respuestas a preguntas como:

     

"¿Qué datos quiero proteger?" y

     

"¿Puede mi sistema DLP clasificar los datos correctamente en tiempo real?" o

     

"¿Puedo realmente prevenir una violación de datos?"

    
respondido por el Jim Benecasa 16.09.2016 - 06:23
fuente

Lea otras preguntas en las etiquetas

¿Cómo maneja el lado del servidor las mismas solicitudes múltiples al mismo tiempo? Meterpreter detach command