网络DLP是否有实质上的收益？| 总第229周

‍‍

0x1本周话题

话题：咨询下大家，大家用网络DLP有实质上的收益吗？

A1：串进去还是有的，但凡能送进去一个人，就表示有收益。

A2：我们DLP都被法务给我们下线了，好像是有员工告了，估计是之前裁员的。从合规上来看，没有dlp只会扣点分，并不是强制的，所以给下了。

A3：其实可以battle的，上周五刚被挑战了DLP的敏感性，可以说明DLP的敏感性主要源于监控个人隐私数据，而非企业数据。一是企业办公电脑一般场景下仅允许处理工作事务。二是如果员工担心DLP管理员有滥用职权的情况，如私看别人敏感信息。我们会有审计员对DLP的管理员进行二次行为审计（你可以理解为公安可以查任意公民信息，但也有人审计公安的行为）。

Q：你们这边的业务人员，没有需要处理和审核到客户粒度的数据么？

A4：客户粒度可以靠规则维护的，我之前抓人的时候，会细分到一个非常小众的文件类型领域里面，全靠规则解决。

Q：大家网络DLP是旁路告警还是开启阻断？

A5：旁路的，阻断影响有点太大了。但银行类可以阻断，互联网不可能阻断，DLP主要监控+溯源能力，靠规则维护以及监控渠道。

Q：准确性高吗？今年也想引进看看。

A6：看你们业务类型，我们因为业务发送文件很难有准确规则定义是否敏感，以及时效性问题，dlp只能上审计，不开阻断。

A7：我们现在想通过网络dlp解决：mac、linux缺少审计，以及服务器缺少审计的问题。

A8：网络DLP现在串行基本上都是中间人模式，遇到双向认证的SSL，直接无解。

Q：目前DLP对mac电脑支持也很全面？

A9：网络dlp不用说了，终端DLP目前主流厂商的也都支持得还行，我们最近也在对比测试。

Q：终端DLP的话，准备主要在哪些场景？

A10：业务数据加密提取的场景，前期账号维护类的工作量比较大。后期定期关注审计记录即可。

A11：大方向分两类：一是合规外发，二是违规外发。【合规外发】需要配套相应的流程制度，比如电脑坏了需要拷贝数据。【违规外发】会细分两个领域：a.有意/恶意违规（比如泄露商业数据、离职拷贝文件）；b.无意违规（比如云笔记、网盘自动备份）。我们准备上文件摆渡的平台，解决拷贝外发的问题。

A12：外发的文件里会有敏感信息，但是交易时间没发出去会比较麻烦。

Q：有外发动作即可呀，没发出去是因为网络原因还是DLP原因呢？

A13：外发了，dlp阻断，需要领导审批。领导审批耽误一会儿就过交易时间了，这个比较麻烦，所以干脆针对不同部门采用审计模式，开阻断业务部门硬让你背锅也麻烦。

A14：阻断策略与公司制度策略要保持一致，比如你禁止员工外发100个手机号的DLP策略，那么数据管理规定里面也应该有的，我们都是先走数据外发流程，DLP的运营就能自行判断场景是否合理了。

A15：那这些制度要定得很细。一般制度不会这么细，基线和手册之类的才有。

A16：不会到手机号，但会到数据级别。比如C4C3数据禁止外发，C2数据禁止发送超过100条。我们几个数据人为外泄的case，全靠终端DLP+网络DLP溯源取证。

Q：dlp一般是防内鬼，如果是防范攻击者窃取数据，dlp不够吧？

A17：窃取不够，大部分公司也没安装服务器dlp，从有上网权限的服务器传出去就行了。得依赖边界设备或镜像流量去检测和拦截了，类似攻防的waf和ndr设备。

Q：dlp对于加密的数据怎么处理？我们这解决不了。

A18：我们正在解决，目前对于rar加密有一些解法，其实早期国外的厂商就能解决。比如你下载了1000个客户数据，然后常规绕过DLP的方法是压缩加密码或者excel添加密码，然后外传，我们现在测试的产品是可以监控到这种加密的敏感数据外发，算是解决了一类场景问题吧。

Q：加密了，你们怎么解密识别内容？还是说识别的是文件名级别？

A19：其实原理是加密的那个时刻先识别出来，然后就一直跟踪这个文件的路径就好了，包括改拓展名。不过多加几次密这个场景我们还没试过，但原理上不应该啊，除非能把这个文件切片，感觉还能绕过。

A20：我们是网络dlp，终端没有安装，就没办法探测加密前的文件了。