iT邦幫忙

1

檔案異動監控 防資料外洩方法

既上次 問題後 也衍伸這次的問題
後來公司買了Q牌的NAS 251+
https://ithelp.ithome.com.tw/questions/10193322#answer-355322

心裡也大概知道這個問題近乎無解 畢竟只防君子不防小人 但還是希望將危險性降到最低
USB 郵件 拍照 資料都可能外洩

先說說公司目前使用的方式吧~
NAS使用內部網路做共享資料夾 部門對部門資料夾可以做讀取寫入的動作
電腦也有分筆記型跟桌上型

以下就是自己想到的方式 但不知道能不能確實進行

https://ithelp.ithome.com.tw/questions/10192279
NAS上有一個連線紀錄 可以看到USER的使用動作 但無法確實知道這個使用者是複製或是其他動作 有看到這個文章 但試了很久 還是無法 希望有方式可以確實看到USER是複製檔案 又或是說大量異動時 能及時通知或是看到

還有一個是直接對USER的電腦直接做監控 (但這個方式感覺是很差 我也不太想這樣做)

或者在NAS可以正常開啟某個檔案 但是只要拉出NAS的資料夾以外 可能就是要密碼之類的
(當然缺點就是USER 可以直接複製內容到另一邊啦 備份時也有可能出問題 也相對像脫褲子放屁 )

NAS應該可以對某資料夾的特定檔案做唯讀?

USB在USER電腦禁止讀、存取? (但可能也會禁止到鍵盤或滑鼠)

1

其實,我公司曾經也想叫我做這樣的規劃。
我說這真的很難辦到。

就我朋友曾經待過的一間大公司,他就是因為將資料帶出而被開除。
其原因是他們公司有明文規定不得用usb讀取。伺服器上會有記錄。
要用usb需要經由主管同意。

也順便鎖上了line、skype等一些可以對外連絡的方式。還有些區域是連外網也不行。
這就是他們保護資料的做法

但就我公司而言並不能這樣做。再加上這樣做其實也沒意義的。因為當時我朋友為了要找我幫忙。它特地用他的手機給他的電腦上網後。再將程式碼傳送給我。(只有一小部份他不懂的地方)
所以還是防不勝防。

一般我還是會建議你做讀取記錄就好了。
雖然,讀取記錄的方式我也是有招解決掉就是了,所以只有我不受這限制
但也相對的我就是得負責資安的人員之一。(唉~~~)

看更多先前的回應...收起先前的回應...
3CBrian iT邦新手 1 級 ‧ 2019-05-03 12:32:33 檢舉

怎麼防?
手機拍個照就馬上LINE出去了
我們公司連電腦最不會用的人都會用手機拍照傳出去

所以才會說防不勝防。只能求人心而已了。跟做一些規定。
但規定是死的,規定太多又會變麻煩。

叫他不要來上班就好了

舜~ iT邦高手 1 級 ‧ 2019-05-03 14:19:33 檢舉

手機、手錶等3C產品統一保管 ?牆壁內放鋁片擋電磁波 ?

kmdodo8 iT邦新手 5 級 ‧ 2019-05-06 09:32:08 檢舉

是的 我單純想看到紀錄就好(USER對文件的複製 或是USB插入能通知那種即可) 因為完全監控也不是一個好辦法
但由於我功力不足 所以也不知道怎麼去做

其實手機控管也算是一種方式,但不太符合人權。
一般來說做這樣的規定也確實是太過了。
但,確實這也是一個資安漏洞。

我還真的有曾經碰過手機管理的公司。(但並不是開發性質的)

1
hsiang11
iT邦好手 1 級 ‧ 2019-05-03 13:41:05

我倒覺得從網路監控層面下手比較快吧
以前有個女同事離職禮拜五撈公司所有NAS的專案資料放到他自己的雲端
一開始我以為他不會那麼天 自己弄事情出來
我只覺得畢竟每個人工作可能有需要的資料 備份一些是允許的
後來我禮拜一上班 看到網路有異常流量出現
我就先中斷了這條連線,然後去查IP到底是誰的電腦
後來找到那同事的電腦 登入後發現上傳卡住了XD
偏偏公司的網路就是慢 傳了好幾天傳不完

NAS的紀錄產生了10萬筆檔案讀取紀錄 都是他的帳號
我後來LINE他 跟他說系統抓到了這麼大筆的紀錄
叫他低調用 不要流出
其實暗示到這也不會出什麼事啦 應該也不會那麼笨的
離職後撈公司資料有些太敏感

不過正常來說,離職了不就得將帳號給移除或是改密碼。
離職了還碰公司資料....不是很好喔。

hsiang11 iT邦好手 1 級 ‧ 2019-05-06 14:19:48 檢舉

我也是覺得離職前在怎麼撈資料 都還算公司員工 但是離職後就問題大了
會發生這樣的事
使用者也沒有準備好隨身硬碟拷好(使用者做傻事)
IT有時都是最後一個知道有人離職的(橫向不溝通 大家各玩各的)
沒有人確實檢核帳號關閉了沒

0
gn0912211119
iT邦新手 3 級 ‧ 2019-05-04 08:51:51

我已經回覆你的私訊了
看一下唄

kmdodo8 iT邦新手 5 級 ‧ 2019-05-06 16:14:46 檢舉

我有做回覆了 再麻煩您

kmdodo8請收信唄

0
ak02
iT邦研究生 2 級 ‧ 2019-05-06 09:25:18

那你要的是應該是文件管理系統,而不是NAS吧。
但是就沒辦法防拍照就是了。

kmdodo8 iT邦新手 5 級 ‧ 2019-05-06 09:29:13 檢舉

應該是說分開進行的 因為也不會用太強硬的方式去實施
主要是能看到紀錄為主 主要是大量異動時 能及時發現就好 畢竟這種防不勝防

0
suasem
iT邦新手 5 級 ‧ 2019-05-06 09:51:54

防拍照比較難解決,我是有看到有資安在做定位拍照管控的,看介紹在那個範圍區塊內可以管控拍照與網路,看起來好像很厲害但沒用過

其他你可以找加密廠商處理,這樣檔案帶出去也開不起來,只是他是算User的,也不便宜

0
zero
iT邦研究生 5 級 ‧ 2019-05-06 15:31:10

第一個 花錢找資安軟體公司買軟體控管,這個是老問題了早有廠商做,只是價格就...

第二個 用內部規劃加監控

我還沒有嘗試過,每個地方要求不一樣,但是我可以給方向,而且技術上做得到

1
NAS端那邊共用的資料,沒有需要的人直接禁止讀取,不能給唯讀,把連線紀錄拉出來
做稽核紀錄使用,注意一點你要自己轉換成方便查詢的LOG形式,別想在NAS機器上
查詢哪個時間點哪個使用者存取什麼資料夾,NAS的效能慢到爆炸就別想了。

2
GPO群組原則已經針對這塊做了不少更新,USB的鍵盤滑鼠跟USB抽取裝置分開使用了
所以不會有封鎖USB隨身碟造成USB鍵盤滑鼠無法使用的問題,但是要封就是封全部
你要特例只能用硬體ID(白名單)的方式,或者利用OU去規劃那些電腦可以不被套用

3
規劃USER端的電腦,能寫入的權限限縮在某幾個資料夾,例如:桌面、下載區 這類
把其他位置的資料夾寫入權限封鎖,當可寫入的範圍縮小,使用者能從NAS複製或者
從網路下載存到電腦的位置就會縮小,這樣就能利用Powershell去做文件系統的
監控,只要被監控的資料夾有任何異動,你都能設定要怎麼通知就怎麼通知

很麻煩我知道,資安本來就是這樣,所以不是什麼幾千人的大公司或者銀行金控這類的

乖乖的簡單資安防護做到就好,不然就是花錢解決吧。

kmdodo8 iT邦新手 5 級 ‧ 2019-05-06 16:16:28 檢舉

自己也知道花錢就能解決~
也大概想做個簡單的防護就好 因為一定防不完 還是感謝您的回答

0
WQ
iT邦新手 2 級 ‧ 2019-05-08 12:07:52

寫一下自已的經驗,再請各位先進指教,以下簡略說明(有漏寫的後續補上)。

當初也是被老闆壓著做這項規劃,也分了二次實施,但本質上還是員工的素質及配合度,硬是要把資料背起來再手抄起來資料,還是可以得到想要的資料,所以就見仁見智囉。

首先把實施資安這個議題區分為三個方向
1.環境
監視器、進出入口(門禁)
監視器 - 主要通道(原本是抓小偷的也可以用到),請自行想像使用層面。
進出入口 - 門禁是很基本的資安管理,所以它是必需的。
研發室 - 除研究筆記本可進出,其它一律不可以。
2.管理
手機管理、儲存設備(族繁....)、筆電、相機...
手機 - 禁止入廠,是否統一管理呢?自行決定吧!
儲存設備 - 剛好購置的防毒軟體可以鎖USB使用,就用它吧
筆電 - 下班一律交回固定放置處,出差,行,在出差申請單上填寫申請。
相機 - 貼上廠內認證貼紙(SD卡要貼貼紙),SD卡等也等同USB一樣要管理(同儲存設備)。
3.系統
LDAP、MAIL、NAS(FTP)、防毒、資安軟體
LDAP - 帳號管理,廠內系統使用認證...
MAIL - 外送管理(累死主管),沒事直接禁外寄
NAS - 將研發實體切割,並與一般部門區分。
chrome - 直接禁用...它太強大了~
資安軟體 - 直接做檔案加密,並區分研發及一般部門流通。

以上,其實多少還是有漏洞,但都是防君子的。

0
kobecho
iT邦新手 4 級 ‧ 2019-05-09 14:51:35

以前公司舉例採用防範是websence+dlp+人員手機須裝XXX軟體名稱我忘記了,手機才能連公司網路及手機收發信,電腦端上就是我提到那兩套軟體user只要觸發設定條件後,會立即發信通知一級主管及資訊人員並有user端當時的動作及路徑,可以查證

我要發表回答

立即登入回答