Есть ли способ сканировать электронную почту POP3 на предмет определенных доменов / ключевых слов, если известны пользователи / пароли? Наша компания хотела бы иметь возможность знать, отправляются ли подозрительные электронные письма, например, электронные письма сотрудникам конкурентов или от них (особенно если они содержат вложения) или электронные письма, содержащие определенную внутреннюю терминологию, которую нельзя отправлять. по электронной почте.
Все учетные записи POP3 настроены на хранение электронной почты в течение как минимум нескольких дней, и мы знаем пароли и имена пользователей всех пользователей, поэтому это не обязательно должен быть прокси ... просто то, что можно загрузить и каким-то образом фильтровать /флаг.
Конечно, вы можете это сделать - войдите в каждый почтовый ящик и найдите имена ваших конкурентов в почтовом содержании. Вероятно, вам лучше написать сценарий для этого (вы не говорите нам, какую ОС или почтовое программное обеспечение вы используете, но есть несколько хороших модулей POP3 Perl, которые вы можете использовать практически на любой платформе. Честно говоря, вы хотите сделайте это на сервере, а не тратите впустую полосу пропускания).
Сказав это, зачем беспокоиться?
Если вы не собираетесь блокировать свою сеть до такой степени, что ее нельзя будет использовать для чего-либо, кроме фиксированного и ограниченного набора задач, вы действительно ничего не сможете сделать, чтобы помешать определенному кроту украсть данные. Вместо этого вам следует сосредоточиться на анализе деятельности конкретного подозреваемого сотрудника, чтобы собрать доказательства для использования в суде.
Длинная история немного короче: корпоративная безопасность - это сложно.
Если вы не можете доверять своим пользователям, по крайней мере, до той степени, когда вы проводите только целевые расследования, все потеряно.
(Вы можете в значительной степени не читать все между следующими двумя барами, это просто иллюстративная гипербола :)
Давайте рассмотрим некоторые способы, которыми вам придется воспользоваться, чтобы по-настоящему обезопасить свою среду и убедиться, что вы «уловили» все.
Во-первых, вы упомянули фильтры содержания на основе слов, которые ищут internal terminology that should never be sent via e-mail. Контент фильтрует практически повсеместно Сосать, поэтому, если ваша внутренняя терминология ТАК в частности, что никто никогда не будет использовать его в обычном разговоре, вы можете отказаться от этой идеи. Если вы сохраните его, см. Ниже о шифровании и стеганографии.
Итак, следующее: что произойдет, если ваши пользователи войдут в систему и удалят сообщения до того, как вы их увидите, ваша система обнаружения сломана.
Чтобы смягчить это, вы можете настроить теневую копию всей электронной почты, отправляемой вашей компанией, или вы можете сканировать журналы своего почтового сервера на предмет подозрительных To: домены. (В идеале лучше сканировать всю электронную почту, но для этого потребуется сервер сканирования почты где-то в середине пути или теневая копия, о которой я только что упомянул).
Конечно, все это рушится, если контакты ваших пользователей достаточно умны, чтобы использовать Gmail, или их домашний адрес, или что-то еще, что вы не будете ассоциировать со своими конкурентами.
Конечно, вы можете заблокировать эти домены, но черный список никогда не работает. Вам придется занести в белый список домены, на которые вашим пользователям разрешено отправлять сообщения, а затем в один прекрасный день они должны будут ответить генеральному директору Big Important Client, который в тот день использует свою домашнюю учетную запись электронной почты и не может, идея белого списка будет выброшена из окна.
Откуда мне знать? Я видел это случилось.
Теперь давайте рассмотрим обход обхода цензуры (и возможность того, что ваши пользователи не идиоты):
Во-первых, простой: шифрование. Если они украдут конфиденциальные данные в виде зашифрованного файла .zip, вы не узнаете, что в нем. Это легко исправить - запретить файлы .zip!
Та же проблема существует для зашифрованных PDF-файлов. Или PDF-файлы, которые содержат изображения отсканированных конфиденциальных документов (или снимки экрана, или что-то еще, что нелегко отсканировать алгоритмически), хотя (последнее, стеганография, скрывает информацию на виду. Ваше сканирование текста не будет знать, что находится на изображении после всего).
... Итак, чтобы полностью решить эту проблему, мы подошли к тому, что нам нужно запретить все вложения - это, очевидно, недопустимо, ваш босс бы устроил приступ.
Однако предположим, что вы нашли способ обойти все вышеперечисленное. Могут ли ваши пользователи открыть соединение с внешней системой через произвольный порт?
Ничто в мире не говорит, что SMTP должен работать на порту 25 - ваши пользователи могут подключаться к скрытому почтовому серверу за пределами компании через порт 80 и получать данные таким образом.
Если вы закроете этот путь, что, если они будут использовать {gmail, hotmail, FreeMail Тоби, веб-почту своего домашнего провайдера} для отправки сообщения через HTTP? Или HTTPS (где вы не можете сканировать тело запроса на предмет информации, которая должна быть конфиденциальной)?
Теперь мы подходим к тому моменту, когда вся внешняя сетевая активность должна быть ограничена, за исключением узко определенного списка разрешенных сервисов (сайты + порты). Насколько сильно это нанесет вред вашему бизнесу?
Но ладно, скажите, что босс действительно беспокоится о безопасности и говорит вам заблокировать его. Мы сократили вашу сеть до такой степени, что все, что вы можете делать, - это просматривать интрасеть компании. ЗДОРОВО! Пользователи несчастны, но данные в безопасности, верно? Мы выиграли!
НЕТ! Мы только что рассмотрели электронную почту (и немного HTTP). Скажите, это USB-накопитель на вашей связке ключей?
Есть продукты, которые делают это без большой бреши в безопасности. Одним из примеров является Symantec Mail Security, но есть и другие. Многие компании требуют этого для соблюдения различных правовых политик внутри страны или в соответствии с законодательством.
Из Веб-страница Symantec Mail Security «Расширенная фильтрация содержимого защищает конфиденциальную информацию с помощью предварительно определенных политик, регулярных выражений, критериев прикрепления, типа True File и т. Д.. Применение на основе Active Directory упрощает управление политиками»
Symantec также предлагает специальный продукт для предотвращения потери данных. Symantec DLP Быстрый поиск по предотвращению потери данных должен найти несколько для оценки.