企業安全建設之淺談數據防泄露
*本文原創作者:兜哥,屬Freebuf原創獎勵計劃,未經許可禁止轉載
前言
數據防泄露在每個公司都是很頭疼的事情,大大小小的泄露事件也總是不期而至。本文結合我的使用經驗從使用的層面介紹常見的數據防泄露技術手段。
核心數據資產的定義
數據防泄露是一個非常複雜的工程,投入再多人力也不為過,但是互聯網公司的安全人力多是非常有限,所以大蛇打七寸,我們需要先定義清楚什麼是核心數據資產。通常理解會包含以下幾大類:
以上只是舉例,具體公司情況都不太一樣,需要結合自生實際。比如招聘類公司,簡歷就是十分重要的資產。
數據保護的生命周期
數據防泄露需要針對定義的核心數據的全生命周期進行保護。
數據防泄露的協議棧為:
這並非一個嚴格的劃分,只是便於把不同的數據防泄露產品和方案進行劃分。
設備級
0×01設備加密
設備防丟失,主要是預防設備丟失後造成的數據泄露,最常見的就是U盤等移動存儲,京東上一搜一大片。
指紋保護的:
密碼保護的:
雖然保護方式不一樣,但是底層數據加密基本都是AES128或者256,可以提高設備丟失後數據泄漏的門檻,對於高手來說還是可以搞定的。
對於硬碟,也有一些解決方案。
硬碟密碼:
可以在bios裡面設置硬碟密碼,這樣每次開機都需要輸入硬碟密碼。
0×02硬碟加密
如果冠希老師看到這段估計會怪我寫晚了。。。mac自帶的硬碟加密:
硬碟加密技術非常成熟了,商用產品非常多,不得不提的還有truecrypt,據說國內安全傳統四強之一就要求員工用這個。
truecrypt同時支持Windows Vista,7/XP, Mac OS X, Linux 等操作系統。TrueCrypt不需要生成任何文件即可在硬碟上建立虛擬磁碟,大家可以按照盤符進行訪問,所有虛擬磁碟上的文件都被自動加密,需要通過密碼來進行訪問。
TrueCrypt 提供多種加密演算法,包括:AES-256, Blowfish (448-bit key), CAST5, Serpent, Triple DES, and Twofish,其他特性還有支持FAT32和NTFS分區、隱藏卷標、熱鍵啟動等,最關鍵它免費。不過
truecrypt被爆存在安全漏洞,其開發者也承認存在安全問題,具體是否使用大家根據實際情況權衡。
0×03移動設備數據擦除
微軟郵件系統自帶一個十分強悍的功能,對於配置接受公司exchange郵件的移動終端,可以通過登錄OWA頁面直接遠程擦除整個設備的內容並完全恢復設備出廠化配置。
文件級
0×01文件加密
文件加密產品目前國內產品就非常強悍了,一搜一大把,我這裡介紹一款微軟提供的文件加密產品RMS。RMS跟微軟的AD集成,可以針對郵件組進行授權讀寫列印許可權控制,坦率講針對微軟的文件類型支持挺不錯,比如word 電子表格 ppt等,而且還有mac版。
不過對於非微軟等文件類型就比較遺憾了,不過滿足正常辦公需要基本夠用,最強悍的是與郵件系統的集成,可以在發郵件的時候直接設置哪些郵件組的人才能看(收件人和可以加密看郵件的人恨可能是子集關係)。
0×02端點級DLP
本質上是網路級DLP的端點級實現,支持攔截功能。
網路級
0×01網路DLP
狹義的數據防泄漏產品就是指網路DLP,這是一個經久不衰的安全領域,16年的gartner排名如下:
網路級DLP本質上類似IDS,通過旁路分析網路流量,識別至少以下協議中正文以及附件內容:
im
http
ftp
telnet
smtp
與IDS不同的是,DLP關注的不是攻擊簽名而是用戶定義的核心數據。常見的DLP產品支持的檢測規則為:
0×01基礎規則
用規則不丟人,簡單幾個正則很有用:
0×02指紋文檔比對
用規則不丟人,只有規則就丟人了。指紋文檔比對是個非常強悍的功能,把重要的文件直接倒入DLP系統,DLP抽取其中的文字形成指紋,這樣只要對文件內容修改不大都可以被檢測到。常見支持的文件類型包括:Microsoft Word 和 PowerPoint 文件、PDF 文檔、設計規劃、源碼文件、CAD/CAM 圖像、財務報告、併購文檔和其它敏感或專利信息形式保存。
業務或者系統管理只需要定義機敏信息應當存儲的目錄,IDM即可以對該目錄下的文件建立索引,類似與搜索引擎的方式,形成企業機敏信息的內容索引。
網路級DLP的未來趨勢是與雲訪問安全代理 (CASB) 功能集成,將敏感數據的發現範圍進一步擴大到雲應用程序。
擴展了 DLP 覆蓋範圍到雲應用程序中的內容,包括 Office 365、Box、Dropbox、Google Apps 或 Salesforce
利用全部的 CASB 功能,持續監控雲應用程序中內容的增加、修改和訪問許可權
應用級
應用級DLP主要是指郵件DLP,本質上是掃描郵件的內容和附件,與設定的數據安全策略匹配,這裡就不展開了。
其他
0×01水印
對抗截屏的利器,常見手段是在圖片中帶入水印,通過水印可以查出截屏人員的個人信息。
0×02桌面虛擬化
這個基本是對抗數據防泄露的大招了。
桌面虛擬化在數據中心的伺服器上進行伺服器虛擬化,生成大量的獨立的桌面操作系統(虛擬機或者虛擬桌面),同時根據專有的虛擬桌面協議發送給終端設備。用戶終端通過乙太網登陸到虛擬主機上,只需要記住用戶名和密碼及網關信息,即可隨時隨地的通過網路訪問自己的桌面系統。
任何數據全生命周期都在數據中心虛擬出的桌面系統中,員工接觸到的瘦終端僅僅起到一個顯示和傳遞鍵盤滑鼠聲音信息的作用。
0×03 github監控
github、雲盤、雲筆記等影子IT對數據防泄露工作基本是個噩夢。這裡以github為例,介紹一款github的監控工具
GitMiner
。
GitMiner
是一款輕量級的github監控工具,地址:
https://github.com/UnkL4b/GitMiner安裝非常簡單:
git clone http://github.com/danilovazb/GitMiner pip install -r requirements
.txt
總結
數據防泄漏是個非常複雜的系統工程,任何技術手段都不能確保不被繞過,必要的技術手段可以提高門檻,最後的落地強依賴於公司相關數據安全管理策略的執行,常說的七分管理三分技術在這裡非常合適,數據防泄露工作很重要的一個就是安全意識教育,盡量減少無意泄密的情況。
*本文原創作者:兜哥,屬Freebuf原創獎勵計劃,未經許可禁止轉載
※JSShell:一個基於python的互動式Shell
※LastPass密碼管理器再曝嚴重漏洞,基於瀏覽器的密碼管理器還能用嗎?
※瘋狂的身份證 | 一張身份證如何攻破人臉識別技術
※CIA泄露文檔第二彈「Dark Matter」:剛出廠的iPhone就感染惡意程序
※網路空間搜索引擎全方位評測
TAG:FreeBuf |
※保護企業數據安全從文檔管理開始
※中軟國際大數據服務:做企業數據的全能管家
※傑和NAS數據安全解決方案 企業數據安全專家
※亨達科技如何建設安全的大數據資源體系
※安全報告:五分之一的外部數據泄露事件涉及政府背景
※構建大數據健康發展的安全生態環境
※賽門鐵克全新解決方案自動加密企業關鍵業務數據
※印度政府要求UC瀏覽器等配合安全審計 證明數據安全
※蘋果中國首建數據中心 數據將更安全
※中國運營商建設數據中心熱情不減 美國同行態度冷淡
※數據安全+知識產權保護 淺析西門子智能製造
※爐石也可以玩數據流!職業玩家數據全民剖析凈化牧卡組
※數據安全發展態勢及相關技術
※英國政府數據服務網站用戶數據遭意外泄露
※大數據對傳統產業的改變全流程
※中國首個移動數據防泄露系統亮相ISC互聯網安全大會
※上海市場監管引入大數據 對食品安全精準執法
※復深藍軟體聯合達觀數據,共同推進上海軟體及數據服務產業發展
※大型機大防數據泄露 IBM Z開啟全時加密