假设用户/密码已知,是否有办法扫描某些域名/关键字的POP3电子邮件? 我们公司希望能够知道是否正在发送可疑电子邮件,例如发往/来自竞争对手雇员的电子邮件(特别是如果包含附件),或者包含某些永远不应发送的内部术语的电子邮件通过电子邮件。
所有的POP3帐户设置为保留电子邮件至less几天,我们知道所有用户的密码和用户名,所以这不需要是一个代理…只是可以下载,并以某种方式过滤/旗。
当然,你可以做到这一点 – login到每个邮箱,并扫描邮件内容中的竞争对手的名字。 你可能最好是写一个脚本来做到这一点(你不要告诉我们你使用的是什么操作系统或邮件软件,但是你可以在几乎任何平台上使用一些很好的POP3 Perl模块。老实说,你想要在服务器上这样做,而不是浪费带宽)。
话虽如此,何必呢?
除非你将networkinglocking在无法用于固定和有限的任务之外的任何地方,否则实际上没有什么办法可以阻止对泄露数据的判断。 你应该集中精力分析被怀疑的特定雇员的活动,收集在法庭上使用的证据。
长话短说:企业安全很难。
如果你不能相信你的用户,至less在你只进行有针对性的调查的时候,一切都会丢失。
(你几乎可以跳过阅读下面两栏之间的所有内容,这只是说明性的夸张:)
让我们看看你必须解决的一些途径,以真正保护你的环境,并确保你“抓住”一切。
首先,您提到了基于字的内容filter,寻找internal terminology that should never be sent via e-mail. 内容filter几乎普遍SUCK ,所以除非你的内部术语是特定的,没有人会在正常的谈话中使用它,你可能想要抓住这个想法。 如果你把它放在一边,看下面有关encryption和隐写术。
所以接下来的事情是:如果你的用户在你看到他们的检测系统被破坏之前login并删除这些消息,会发生什么?
为了减轻这一点,您可以设置公司发送的所有电子邮件的卷影副本,或者您可以扫描邮件服务器日志以查找可疑To:域。 (理想情况下,扫描整个电子邮件会更好,但这需要在某个地方的path中间使用邮件扫描服务器,或者我刚才提到的影子复制)。
当然,如果你的用户的联系人足够聪明,可以使用gmail,或者他们的家庭地址,或者其他你不会和你的竞争对手联系起来的东西,
当然你可以阻止这些域名,但是黑名单从来就不行。 您必须将您的用户允许发送到的域名列入白名单,然后有一天他们必须回应Big重要客户的首席执行官,他恰好在当天使用他的家庭电子邮件帐户,并且不会引发白名单窗外。
我怎么知道? 我见过它发生 。
接下来我们来考虑规避(以及你的用户不是白痴)的可能性:
首先是简单的:encryption。 如果他们将敏感数据作为encryption的.zip文件泄露出来,您将无法知道其中的内容。 很容易修复 – 禁止.zip文件!
encryption的PDF存在同样的问题。 或者包含扫描过的敏感文档(或者屏幕截图,或其他任何不易于通过algorithm扫描的图像)的PDF文件(后者是隐写术,将信息隐藏在明显的位置),您的文本扫描将不知道图像中的内容毕竟)。
因此,为了完全解决这个问题,我们已经到了必须禁止所有附件的地步 – 这显然是一个禁忌,你的老板会适应。
不过我们假设你find了一个解决上述所有问题的方法。 您的用户是否可以在任意端口上打开与外部系统的连接?
世界上没有什么说SMTP必须在端口25上运行 – 用户可以通过端口80连接到公司外部的隐形邮件服务器,并以这种方式获取数据。
如果你覆盖那条街道,如果他们使用{gmail,hotmail,Toby的FreeMail,他们的家庭ISP的networking邮件}通过HTTP发送消息呢? 或HTTPS(你不能扫描请求机构的东西,应该保密)?
现在我们已经到了现在,除了一个允许的服务(站点+端口)的狭义定义列表之外,所有的外部networking活动都必须被缩减 – 这会对您的业务造成多大的影响?
但是,好的,老板真的很担心安全问题,并且告诉你要把它locking。 现在,我们已经将您的networking缩减到所能做的就是浏览公司的内部网。 大! 用户是悲惨的,但数据是安全的,对不对? 我们赢了!
不! 我们只是看了电子邮件(和一点点的HTTP)。 说,你的钥匙链上有一个USB驱动器吗?
有没有安全的大洞这样做的产品。 一个例子是赛门铁克邮件安全,但也有其他的。 许多公司要求这样做符合立法内部的各种法律政策。
从赛门铁克邮件安全网页 “高级内容过滤使用预定义的策略,正则expression式,附件标准,真实文件打字等保护敏感信息基于Active Directory的实施简化了策略pipe理”
赛门铁克还提供专用的数据丢失防护产品Symantec DLP快速search数据丢失防护应找几个评估对象。