iT邦幫忙

1

AD可以查看員工使用隨身碟copy什麼檔案嗎?

  • 分享至 

  • xImage

不好意思想請問一下各位大大

目前小弟公司並沒有AD,都是個人電腦
有鑒於此次健保署有盜賣個資嫌疑,所以主管問我如何有效控管隨身碟copy檔案的問題

以往經驗用AD可以透過GPO封USB,如果不封的話,可以透過AD看到員工copy什麼檔案到隨身碟嗎?另外郵件系統沒有稽核功能,能看的到員工寄了什麼樣的內容到外部嗎?感謝各位

阿摔 iT邦新手 3 級 ‧ 2023-01-19 09:52:36 檢舉
AD本身沒有這功能,通常企業會找DLP軟體進行阻擋
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
1
Kailis
iT邦研究生 1 級 ‧ 2023-01-19 10:04:11

AD 部份可以參考這篇 ,但能不能稽核到存取USB 就要再研究了,

安控軟體像是x-fort , ip guard 都可以記錄員工存取了什麼檔案,但一般只能看到檔名, 想看到內容,還是要跟廠商確認能不能看到檔案內容 但可以記錄檔案存取過程

郵件稽核部份 exchange 可以設定留存所有郵件至日誌中
或透過第三方設備或軟體,可以設定偵測到關鍵字或所有對外郵件包含內容通知管理者審核放行
提供服務的廠商很多,自己找就行了

但連AD都沒有,公司應該不太願意花錢投資在IT上 故除了AD 以外, 以上應該都是看看就好了

前人打算導入AD & exchange時,總total要花費近百萬就被老闆打槍了,所以應該不可能導入AD,但是最近政府對於資安議題又針對上市櫃公司有特別要求,看來還是要解決,目前先從安控軟體著手好了,感謝大大。

froce iT邦大師 1 級 ‧ 2023-01-19 10:24:07 檢舉

導AD你自己搞應該不會用到百萬,導AD對資安、帳號管理好處太多了,基本上是不可避的。
而且各種安控軟體應該都會考慮到AD這塊做整合。

建議跟exchange分開導入,或是現況已經不需要exchange就不要管這部份了。

@froce
是的,當初評估人數等等廠商報價是90多萬被否決,現在因為裁員縮編後只能30不到應該可以便宜一點

2
小處成就大事
iT邦研究生 1 級 ‧ 2023-01-19 10:14:06

就「控管USB存取」來說,即使不使用AD,也能透過防毒軟體來封鎖USB。
比如趨勢科技的防毒軟體就可以控制USB的存取。

另外你也要思考,就算不能夠用USB,那還是可以利用OneDrive、Google Drive、Dropbox把檔案上傳到網路上,這也是有洩漏公司資料的風險存在的喔。

想要透過軟體、硬體等,做到非常嚴謹的資料存取控管,是可以辦到,但「百密一疏」。
真的想幹壞事的人,總是會讓他有方法把資料帶走。
不能用USB,他還是可以上傳到網路;不能用網路,也可以用手機拍照;
不能用手機,也能用手抄;就算你上班只能到公司換工作服、下班再換回自己的衣服,不能代任何東西進公司、也不能帶任何東西離開公司,他也還有眼睛跟記憶。
所以,真的有心幹壞事的人,你基本上很難防。
你只能曉以大義,並且配合法令宣導。
比較擔心的是,員工無意間中了社交工程...這種的你就...。
我會建議你可以先從人員的資安宣導開始做起,再依公司員工的狀況,來評估資料控管要做到什麼程度。
記得「百密總有一疏」這句話。

看更多先前的回應...收起先前的回應...

您好,資安宣導已經有在執行了,現在怕的就是員工的個人行為這的確是很難防,所以也在思索中,謝謝。

robinsonxd
我有看到你回覆樓上,因為AD費用高所以被主管否決了。
其實我會建議「人治」,這個最不用花錢。
把公司規章訂好,並且定期宣導,讓員工知道如有犯法情事將移送法辦。
會犯錯的是人、會幹壞事的也是人,所以從人的觀念下手,會是最根本的作法。

小處成就大事
就我的能力而言我目前能做到的就是定期宣導,其他的礙於長官及預算就真的很難執行,但要求我做評估我也只能摸摸鼻子做了

阿摔 iT邦新手 3 級 ‧ 2023-01-19 10:29:53 檢舉

但坦白說這種就是防君子不防小人,然後這是我目前已退休的主管在我入行時送給我的一句話「你永遠想不到使用者會做出哪些事情,我們能做的就是把他們能做的事情限縮在一定範圍內,避免意外發生」

robinsonxd
感同身受,也辛苦你了。
因為有時候,主管想要的是他不願付出的。
我們能做的就是盡可能在主管給出的限制內做到最好。

阿摔
感謝您,我把這句話也記起來。

阿摔
很認同你的說法。
可是疫情後,工作模式改變了不少。
很多人都遠距上班、或是開始大量使用郵件來溝通、大量使用雲端硬碟來傳送大檔案給客戶或廠商。
我野蠻想限縮的,但一限,就會有人叫了。
哎,兩難啊。

阿摔 iT邦新手 3 級 ‧ 2023-01-19 10:44:51 檢舉

可以試著透過提供FTP這類管道 有申請才能使用。
至少你知道有哪些人有權限,再來空間也是在企業內管理。
啟用稽核功能也能確認員工傳了那些檔案
但空間問題就是錢的問題了...

阿摔
我基本上是在「規劃階段」就有人叫了,哈哈哈...。

阿摔 iT邦新手 3 級 ‧ 2023-01-19 11:37:13 檢舉

所以囉 規劃的時候先把老闆拉下水 老闆先同意之後要推比較方便 但通常扯到錢老闆都..

阿摔
所以就會陷入一個奇怪的死循環...
要不User該該叫、要不老闆該該叫...

1
hsiang11
iT邦好手 1 級 ‧ 2023-01-19 10:27:01

基本上連AD都沒有的公司 根本就沒打算控管什麼了
公司裡面一堆天兵就根本管理不了什麼
大多只會說USB鎖起來就好了
資料外洩的管道一大堆 就連雲端硬碟,遠端軟體,即時通訊,mail
主管有想過要去管嗎?
去鎖一下遠端和即時通訊,mail
很快就有人來罵你該死了

這問題的根本就是把問題在丟給賣DLP軟體的廠商
用錢去解決人類很亂搞的問題
錢讓別人賺 一切很和平

看更多先前的回應...收起先前的回應...

hsiang11
主管沒有專業能力就是掛名的,但我也不是資安出身的所以很多東西我也不敢說死,基本上上面所有東西我嘗試著用防火牆關port就被罵了,老闆跟老闆娘大於一切

froce iT邦大師 1 級 ‧ 2023-01-19 10:38:32 檢舉

這種狀況就出一次包被罰一次,就會乖乖拿錢出來了。科科
上市櫃公司之後一定會被要求的,備案先調查好吧。

AD是真的建議一定要導。

froce
感謝大大了^^

阿摔 iT邦新手 3 級 ‧ 2023-01-19 10:46:59 檢舉

幾乎都是這樣 痛過才知道要補
阿如果痛得不誇張或者及時止血 可能連補都不想補

1
pichuchen
iT邦見習生 ‧ 2023-01-20 07:50:31

建議組織確認主要防線要畫在那邊,畫在禁止攜帶或是使用隨身碟的成本會比較高,可能實體上需要有警衛檢查是否有攜帶可攜式媒介進入辦公區域。

如果資料一開始是從員工輸入進系統內的,這種只能靠抽檢稽核懲處來處理。

比較好防範的是員工要申請資料的狀況,原則上申請個資應該都要有合理理由,像是目的、時間、範圍、是否會給第三方,給了那些第三方,對方監銷程序如何等等。

建議從這邊下手做紀錄,然後紀錄保存一定年限,這樣未來發生在外面撿到自家資料的時候也才有線索或是證據。

當然目前會講求縱深防禦,所以源頭做稽核或是根據外部議題防止可攜式媒體使用都可以做,但是需考慮組織目前資源,換句話說,老闆沒有可能會增加成本的想法的話那就是回頭檢討是不是原本組織的資安政策存在類似漏洞就是了。

另外是資安政策上人員聘用也是很重要的一環,正常員工沒事不會想要盜賣公司資料,但是沒有動機的員工也有可能只是出於不注意導致損失,例如勒索病毒,因此像是每年三小時資安教育這個還是一定要做。

0
ak02
iT邦研究生 1 級 ‧ 2023-01-20 12:47:48

有個最簡單的方式
直接在員工電腦上方架個監視攝影機
我承認我來亂的

1
aaron3399
iT邦好手 1 級 ‧ 2023-01-21 13:55:55

另外郵件系統沒有稽核功能,能看的到員工寄了什麼樣的內容到外部嗎?感謝各位

可以啊.....只要架設一台有稽核功能的server負責外送信件就搞定了!
這樣原本的寄送路徑是: 郵件server -> internet寄信
就變成: 郵件server -> 郵件稽核 -> internet寄信
這樣員工寄送外部信時就會先被攔截,並依照公司的稽核政策後歸檔與放行internet。

至於產品,google一下郵件稽核真的很多
老牌子的openfind、中華數位.....等等

以前的舊文章也可參考
https://www.ithome.com.tw/tech/89517

我要發表回答

立即登入回答