一個免費的DLP介紹 - Email篇

最近因為新版個資法通過, 而讓 ’(DLP)資料外洩防護’ 變成現在資安議題的當紅炸子雞.因為在試用一個UTM軟體, 裡面的DLP功能就可以當做sample,來說明DLP能做到的事.

這個DLP功能是落在他們家的Web security跟Mail security這2類, 所以最常用到的網路傳輸協定: Email, HTTP, FTP與IM都包含了, 再針對不同協定分別自訂過濾規則而做掃描阻擋.

這個設定分成兩個步驟:
第一步要先設定單一的過濾規則Rule,
第二步則還需新增一個Compound,把你所要用的Rule都加進來使用。
這樣這個DLP才能發揮功能.

不過因為這套軟體目前只支援ASCII語法, 所以還不能設中文. 所以這邊就先示範英文的設定, 因為概念是一致的.

譬如, 我們將情境設定為即將跟客戶簽訂的合約內容與收費標準是公司內部的最高機密, 絕不能流出去. 所以關鍵字串為agreement跟fee.

我們這邊先以設定email規則做示範:

(1) 先到 Rule按下Add, 在Protocal選擇Email, 由於我們只限制內部文件含agreement或fee的關鍵字流出, 所以, 只需勾選SMTP和SMTPS即可

(2) 勾選Body, 將agreement與fee用regular expression的方式(agreement|fee)寫入空格中 (因為他一次只能設定單一規則, 所以, 沒辦法同時將Body還有Attachment text設定起來, 只能一條Rule一條Rule的設)

(3) 再到Name跟Comment中分別填入規則名稱後, 按下Apply即完成設定



所以email附件內容(Attachment Text)也要將相同的regular agreement|fee)加入, 並apply


接著你就可以在Rule名單中發現你剛剛所新增的Rule. 這時候的Rule還不能發揮作用, 你還必需新增一個Compound,把所要用的Rule都加進來使用



然後, 到Compound頁面, 新增一個Compound, 將之前所設定好的Rule選進來

譬如, 如果你怕誤擋資料, 想要將條件設得很嚴謹, 所有的Rule都成立時,封包才會被擋下。
- 也就是當Agreement或Fee, 同時都出現在email body跟email附件的內文中, 才會被檔下來.
- 那麼就必須把之前設好的2條Rules: email-body 跟email attach text選起來, 再給這個 compound 一個命名, 勾選Activate並Apply就可以了.


但是, 如果你抱持的心態是”寧可誤殺, 不可錯放”, 就要將這2條rules分別新增成為2 條compounds, 記得Activate並Apply後.
這樣, 只要Agreement 跟Fee任何一個字出現在email body或email attachment text裡, 就全部都會被擋下來.



不過, 這樣的機密文件, 還是必須有條件的可以流出去外面. 譬如: 合約內容都需要經過法務審核通過才可以. 但是, 如果法務的工作是公司外包給律師事務所. 這時候, 也還是要有辦法可以將特定高層 (如CEO)設為白名單.

這邊的設定就可以把CEO的email address用does not match的方式設在email的sender裡, 這樣, 即使他想將合約寄給外包的法務review時, 也就不會被擋下來了.



除了可以自訂Rule, 這套DLP系統裡面也有一些預設的規則, 像是美國跟加拿大人的身分驗證, 美國運通跟Visa, Mastercard信用卡卡號, 所以如果你公司剛好有這樣的客戶資料, 你倒是可以直接套用.


今天這個DLP的功能就先介紹到此, 其他的HTTP, FTP跟IM再另外找時間寫囉~

如果有人有興趣裝來試試, 不妨可以去他們官網下載 http://utm.nuuo.com/?from=download
2010-11-04 18:26 #1



這套UTM我有玩過 功能很強大
之前他不支援UPnP
不知道現在有沒有了

bob771025s00567 wrote:
這套UTM我有玩過 ...(恕刪)


他現在還是沒有支援UPnP跟SIP.

不過我前二個月試用他的時候, 他也還沒有WAF. 不過10月下旬他們新版本裡面就把WAF新增進來了.

所以還蠻期待未來更新的版本是不是就會支援UPnP跟SIP了.
評分
複製連結