0x1本周话题
话题:请教下大家是如何处理内部员工数据泄露行为的?如何判断对方是否为业务行为?如何定级和处罚的?比如员工a发生事件,确认是找他本人还是直接走行政流程?
A1:了解一点数据泄露事件的处理流程。1、事件的输入,可以是内部安全监控、投诉、举报、暗网发现。2、根据事件进行初步的定级,判断是否为数据泄露事件,并形成工单或起uioc 。3、如果是事件进行止损、定损,完成问题整改。4、最后进行事件奖惩。整个过程和网络安全事件区别除了技术类泄露排查外,最多的还是和人打交道,内部人为泄露才是占比大头,例如碰到非常异常行为的人就是不承认,就需要安保或者报警介入。同时还有做好提前的数据安全意识和数据泄露奖惩制度对宣导。
A2:你肯定得先去通过技术手段确认是否外泄,外泄的内容类型,数量和等级,然后找员工确认该行为的实际情况,如果存在争议或者分歧,再拉三方。例如升级处理,或者拉法务,人力一起评估定性,最后才是走行政流程。直接上来一棒子打死,这不是胡闹呢。
A3:先找本人,然后再走流程,直接走流程,也是需要有本人访谈的吧,不然你怎么提供报告呢。
A4:dlp核心是是否开阻断,开阻断了,运营工作主要集中在处理拦截和开白需求,不拦截,工作量主要集中在事后审计上,都需要和内控建立完善的审批和审计机制。
A5:阻断一般不敢开的,误报以及运营成本响应导致业务强烈反弹。
A6:感觉目前业内的dlp产品差强人意,有效性比较差,如果能够做到应用层waf类似的准确度,就比较靠谱了,感觉和当年ips产品一样,明明定位是拦截,结果都是用来搞检测,用成了ids。
A7:dlp做不到,其实主要是震慑作用,有各种绕过方式。
A8:我发现安全工作最好做的时候,还是员工被审计保密整麻了的时候,那时候他们发现,还是安全好,好歹重实质大于形式。
A9:DLP场景最大的问题,不像基础安全异常非黑即白。数据外泄是一个灰色的地带,同一份数据在不同行业、不同职级、不同时期可能对业务重要性完全不一样,没法单独只靠安全策略去评价是否有风险,也就做不到精准这个情况。即防泄漏上,安全策略只能评价是否泄漏了,但不能评价行为是否符合业务需求(商业合作、异地办公等)。
A10:安全只能给外泄行为及数据内容级别,至于是否违规,还得是当事人及其管理者来确认具体外发场景,是否合理工作需要。大部分管理者都会客观确认合理性,个别管理者会包庇。没事,看公司对数据安全首要责任人怎么定的,如果是业务部门,管理者一般不敢,否则他得负责。还有,明确是公司敏感和重要数据,如果未按规定事先报备走申请外发流程,那这个管理者包庇不了,该罚就罚。一般审计时,都会先翻一翻这员工及主管,是否参加过信息安全考试和培训。一线主管可能会倾向包庇,安全如果不认同,再上升到经理总监甚至VP,一线主管会怂。
A11:泄露只是事实,动机才是评判定性的关键。
A12:我觉得最大的问题是目标识别不正确,如果防泄漏的对象是这20个图纸、这5万组数据,那怎么都能搞定 防泄漏对象是“公司秘密”,那就扯淡了,啥是公司秘密?有定义么?人能识别么?人识别不了凭啥要机器识别。技术只是实现了“制造”,如果连流程都没有,那造出来的就只能是没人要的垃圾了,这个问题如果在组织内得到解决,那没啥不敢拦截的,走流程呗,审批确认风险呗,审计呗。
A13:技术只是提高了门槛,对于不同动机、不同技术的人来说,这个门槛时高时低。
A14:一定程度上这是个业务问题,通过dlp运营识别出风险来,第一个层次:要同步给业务管理层人员的,这本身就能起到震慑作用,最后的处罚不过去震慑力的加强升级。第二个层次:到处罚这个阶段要做数据是否敏感的判断、处罚适应性等,需要业务,内审内控,信安协作,有个机制。 回过头来看工具识别的准不准可能就不是一个关键问题,避免因识别准确性问题把自己搞死,从信安的角度覆盖率以及基于规则识别的事件在趋势上是否下降反而更为重要,能有重点处罚案件也可以锦上添花,再好不过了。
A15:dlp作为兜底震慑能发挥一定作用,但高敏数据资产的防泄露问题一定要前置左移才好治理解决。
A16:至于dlp开拦截的问题可以再开拦截前有个灰度,即先预警通知让用户有参与反馈的过程,固定场景稳定下来后再开拦截,这也是运营的工作。两个工具互为补充了,能融合运营本身要求就有点高了。
A17:对于加密数据,DLP防不了吧,比如数据本身加密。