我是公司裡的唯一的小小資訊人員,工作內容包括公司內的資安工作,目前公司裡上網時資料都經由一臺基礎型的防火牆作監控。
日前公司內某同仁A經由P2P軟體於網路上搜尋到本公司某一業務部門的某一機密文件,而向老闆報告,所以老闆就找了我和該部門主管B了解情況。
因為當時A並未記下文件流出IP,而目前也無法再搜尋到該文件了,所以我也無法從防火牆的log檔去分析該文件是否從本公司流出,但B認為他們部門的人皆沒有使用P2P軟體,也不會把資料帶回家,應該是我並未設定好防火牆導致該文件被駭客竊取,而老闆也認為B的說法是對的。
我有試著和老闆解釋說防火牆只能阻擋不符本公司網路使用政策的流量,我也有持續在針對某些惡意IP進行封鎖,但若是該流量被判定為合法,那防火牆是不會去阻擋的,但老闆好像認為有防火牆資料就絕對不會外洩。
所以我想問問各位資訊人員,碰到這種情形該如何和老闆解釋,以求全身而退??
jacky1122提到:
出馬
基本上,你用太專業的方式回覆肯定沒人會理你,以我的經驗,很多時候就是唬爛,但唬爛時一定要加上專業術語,在解釋專業術語時,要加一點唬爛,這樣懂了嗎?
以你的狀況....我建議你回覆:雖然公司有防火牆,但只要內部人員有上網,資料就有可能外流,防火牆的確能過濾掉大部份外來的攻擊,但若由內部人員透過通訊軟體(例如Mail、聊天軟體)流出去,這部份恐怕不能完全管制,我的意思不是指是人員故意放上PSP,或許是他們只是某些原因有將資料放到自己mail中方便自己讀取,而因為mail server不是我們公司自己管控,資料是放別人家的主機中,既然是放在別人家主機就有外流的可能,故我建議將mail server架設在我司,這部份的預算我已在詢價,將mail server架設在我們公司,我就能在防火牆管制部份可用所謂"關鍵字"管制,但目前我司的防火牆沒這個功能,有此功能的防火牆亦在詢價中,由於目前沒有資料已流傳於PSP上,在這部份建議公司先行文請PSP公司將資料自他們的server上刪除,由於A所查出來的資料沒有留存,所以資訊組這邊無法去追查相關資料,也由於防火牆對於內部的管控較弱,故目前資訊組的動作會是限制所有人員上網功能,目前資訊組的建議是僅有業務跟採購人員可以上網,其他人員先關閉權限,但業務及採購的上網功能也有限制,我會開xx、xx、xx…等port,我每日針對這些port做稽核,由於資料量大,過濾要花很多時間,所以資訊組開的port不會開多,若有人員遇到要使用到這些port之外的連接方式,就提出申請,但資訊組這邊重申,開越多port,就越難控管,資料越有流出的可能,所以之後資訊組對於申請會嚴加控管,另外,感謝A及B的建議,這次事件資訊組也開始檢討資安上的問題,目前資訊組考量到USB的存取會造成中毒,病毒若是木馬就會有資安上的危機,故資訊組近日內會將所有人員的USB功能鎖定,日後要存取資料都透過資訊組來存取,這是資安上的考量,若造成不便也請大家多多見諒囉!
apol提到:
皆沒有使用P2P軟體,也不會把資料帶回家
既然人家對自己的人那麼有信心,那樓主也可說你的防火牆很乖很忠心的,絕不會造成機密資料外洩...
這時就要比誰是老闆跟前的紅人了
apol提到:
某同仁A經由P2P軟體於網路上搜尋到...B認為他們部門的人皆沒有使用P2P軟體
案情不單純....
apol提到:
A並未記下文件流出IP,而目前也無法再搜尋到該文件了
真的是網路上找到的嗎??...
檢查B部門主管的信件,搞不好是他偷偷寄出去的!!
由P2P軟體於網路上搜尋到本公司某一業務部門的某一機密文件? - 有下載回來證實?
A並未記下文件流出IP? - 不是P2P嗎?
從防火牆的log檔去分析該文件是否從本公司流出? - 我也想學這種技術.
文件被駭客竊取? - 駭客如入無人之境~神的化身?
感覺最近常有這種離譜與常識背離的題目來乎巄...
該文件有被下載印出來給老闆看,
A是在家中用ADSL下載的,他因不是IT出身的,所以也不知要記下來源和目的IP,所以我也辨法從log中去找來源和目的IP以求證是否相關連線記錄。
就算是IT出身的我,也不知道如何記下來源和目的IP,那你可以教我們方法;如果用P2P找到文件,應該是說,有人將文件帶出去,就算防火牆再強,我加密再改名,無法防的,樓下有個人提到"危機就是轉機",就看你的造化及個人歷練了(如果像我技術不行,口才不錯,老江湖才能是轉機),如果你是菜鳥就是危機,如果有靠山那還是轉機
netstat 指令可以查來源和目的IP
(A是在家中用ADSL下載的)下班時間嗎?
你可以查那段時間有沒有相關人士還留在公司(門禁或人資系統).
既然是p2p,只要不是從公司p2p出去的,就跟防火牆比較沒關係了.
不過缺乏相關控管機制也是事實
可以藉由廠商之力說明
並趁勢導入
控管得宜
就換別人該該叫
這東西沒產值又造成作業的麻煩
若非真有必要
個人也不希望導入
那可以趁機跟老闆提出目前公司防火牆僅只有規則防護而已
看看是否要更換成可以監控公司內部電腦網路行為的防火牆
不過要提出前,請先把功課做好再去呈報上級,讓上級自己判斷是否要把資安升級
像這種已經出事的建議你找專門人員來協助處理比較好
公司內部資料外洩,該部們長官卻一口咬定是資訊部門防火牆設定不周,導致其部門電腦被入侵而外流,我該如何和老闆說明?(
證明題
1.請該單位先證明你的防火牆設定有誤,請證明確實是被入侵的
2.該被入侵的電腦安裝多少軟體,不是由你安裝的,使用者該負多少責任
3.該部門電腦使用人要求上網,該負多少責任
4.該部門有沒有使用USB隨身碟或是記憶卡的習慣
5.老闆沒有給你預算買更好的防火牆,該分多少責任
6...
新政策
1.全部不能上網
2.全部禁用USB隨身碟
3...
我覺得樓上的說法非常好,如果是我,我也不知道怎麼辦
apol提到:
但B認為他們部門的人皆沒有使用P2P軟體,也不會把資料帶回家,
除Januslin大大所提及之外, 建議趁機全面盤點公司使用者電腦的軟體,
全面使用合法軟體, 移除本機可安裝軟體權限, 讓使用者不會只有沒使用P2P軟體,
而是除業務運作的軟體以外皆不能使用, 若貴公司以前沒簽合法軟體切結書...就順便簽一簽,
反正都被賴上了, 不能只是一味的自艾自憐, 所以除蒐集證明自己對此事件的無力控管外,
更要表現對此事件亡羊補牢的積極回應, 絕對不能讓使用者吃得死死的, 加油!!
比較有疑問的地方是
1.他是在公司內或公司外搜尋到的(在公司內就跟防火牆沒關係了,如果有開共用,在網芳也搜尋的到)
2.檔案有下載下來嗎?(只搜到檔名並不能代表什麼)
3.那些人有權利複製檔案
4.機密的檔案不一定有價值,駭客只會盜取個資信用卡資料帳號密碼等,他偷你公司的檔案作什麼,除非是商業間諜.商業間諜也不會把偷來的檔案在share出去.
3.全部斷電....
回hon2006:
A是在家中使用P2P軟體。檔案有被下載印出給老闆看。
文件中主要是一些業務上往來人的個資,內容倒不是很機密,
所以應該不是商業間諜。
而B一直怪罪於防火牆的問題,害他們資料外洩。
這也是有可能啦,但我認為B的部門中有人把文件帶回家中,不小心透過P2P方式流出的情況更有可能,但我不好意思明說,而且這樣好像在推責任,怕給老闆不良印象...
問題應該在文件控管而不是防火牆
既然是p2p,
http://en.wikipedia.org/wiki/Peer-to-peer
那你要問a的ip,然後用他的ip去查,(a連到公司的紀錄)
沒紀錄就代表不是從公司傳出去的,也不是你的錯(跟防火牆沒關係),
然後寫簽呈導入文管系統.
能管的先管好,
file server 內建防火牆的連線紀錄,
file server 的檔案存取紀錄.
你只能列出目前現有的設備能做到什麼程度.
俗語云:抓賊要抓贓;抓姦要抓雙。
打打嘴砲就說:ㄟ..我看到過公司機密文件在網路上流傳,不過現在找不到了...
那就要問問啦~~
「公司內某同仁A經由P2P軟體」...A在哪裡使用P2P軟體啊~~公司還是家裡?
在公司那不就是自己招供嗎?
在家裡...OK...那請問機密文件的保管權責人要負多少責任啊?
公司內部電腦全面清查,有裝P2P軟體重罰....
最後...就是同januslin大所說,全面禁止上網,然後把原由轉向A和B...
最後要問,貴公司是多大的衙門可以讓駭客感興趣呢?
用勢針對資安部分進行強化作業
一、全面封鎖USB埠(用軟體及群組原則擋)
二、公司電腦大清洗(本機ADMIN密碼變更、user權限回收、電腦系統重灌並記錄(然後定期各PC軟體資產清點(請引入相關軟體)
三、防火牆規則強化.........(除允許埠外,通通禁止出去)
..............(還有很多)
看你想玩到什麼程度就是,不過這三點最好進行...有問題也很好抓
感覺上..是B要陷害你的感覺..
資料外洩不全是資安的責任~也有可能有人要設計你,讓你難堪吧...以致自動離職?!
該部門有沒有人可以用USB,有沒有人可以寄外部信件,有沒有人可以用無線網路連上手機!!!資料外洩的管道很多,除非你有做到週全的使用記錄,不然很難說到底是從什麼地方洩露出去。
所以就應該要跟老闆說你要加強資安,買更好的設備,USB跟外寄郵件跟上外部網路通通都要管制。
有時後給user方便,他們又不懂的珍惜,那就如他們所願,嚴格規範吧!!!
危機就是轉機
利用這個事件, 反問老闆, 你很在意嗎?
是的話, 放權讓我做省錢又快速的解決方案吧!
->開始全面鎖OS的權限
->盤點已安裝軟體清單, 非公司購買, 必要的一律移除
->防火牆, 出去/進來全鎖, 再依需求特例開放.
特例愈少愈好, 不開放, 需老闆裁示愈多愈好
->再來考慮非公司資產的電腦/手機不能接公司網路, 讀取公司信箱
如果上述都做到了, 又有人說資料外洩
你再跟老闆說, 不花錢的方案都做到這樣了, 一定是人為故意洩漏.
如果你還認為不是有心人為, 是IT做不夠, 你打算花多錢做要錢的方案?
可以做再徹底一些
敢搞我~~~~
我就全部都鎖了...
還有.....
文件都有DRM
上網看非公務網站在開會就把你釘的滿頭包...
以洩心頭之恨
1.經由Web流出? 用Web的log查url
2.經由網路上芳鄰的分享資料夾流出? 沒log可查
3.經由P2P軟體流出? 沒log可查
也不會把資料帶回家
光是這句我就不相信了XDD
我覺得是能帶的早就帶回家了,剩下的沒興趣才不會帶回家吧
USB/內部網路分享/Email/外網連線/手機拍照
上面任可一項能使用就沒辦法擋住內部員工把東西帶回家