여러 데이터 누출/손실 방지 제품군을 살펴봤지만 해당 문서에서 HTTPS를 처리하는 방법을 찾을 수 없습니다.
'누출 벡터' 중 하나는 HTTPS를 통해 웹앱에 정보를 보내는 것입니다. 이 경우 누출을 감지하는 유일한 방법은 이를 해독하는 것입니다.
하지만 그렇게 하려면 중간자 공격처럼 가짜 인증서를 사용하여 원격 서버를 가장해야 합니다. 사용자가 의심하거나 불평하는 것을 방지하려면 회사에서 회사 소유 장치의 브라우저에 유효한 CA로 인증서를 삽입해야 할 것 같습니다.
내 질문은 다음과 같습니다
- 이런 종류의 시나리오를 직접 경험한 사람이 있습니까? 어떻게 구현했는지 알려주실 수 있나요?
- 내 말이 맞습니까? 아니면 HTTPS를 관리하는 다른 방법이 있습니까(예: 에이전트를 사용하여 데스크톱 수준에서 사용 중인 데이터 감지)?
답변1
그것은 중간 공격에 있는 사람과 같은 것이 아니라 중간 공격에 있는 사람입니다.
원격 인증서를 자신의 인증서로 대체하는 프록시 서버를 사용하여 이를 구현합니다. 그 과정에서 인증서가 유효하지 않다는 오류가 브라우저에 표시됩니다. 이것이 바로 HTTPS와 인증의 핵심입니다. 따라서 능숙한 사용자라면 귀하가 정보를 가로채고 있다는 사실을 알게 될 것입니다.
개인의 활동만 기록하는 프록시를 사용하면 무슨 일이 일어나고 있는지, 어디를 탐색하는지 기록할 수 있습니다.가능성누군가가 귀하의 정보를 훔치고 있다는 사실을 알게 되면, 우선 직원에게 이러한 행위를 정당화하는 태도를 조성하는 직장을 만들고 있을 것입니다. 그리고 휴대전화(카메라로 녹음), USB 드라이브에 대한 HR 해고 정책도 마련해야 하며 어쩌면 그들이 기억하지 못하도록 해야 할 수도 있습니다.
어쨌든 방화벽 규칙이나 프록시 필터를 사용하여 해당 포트에 대한 나가는 액세스를 차단하지 않는 한 HTTPS 모니터링을 발견하지 않고 중단하는 "간단한" 방법은 없습니다. 그렇지 않으면 HTTPS의 전체 요점은 의미가 없습니다.
답변2
하지만 그렇게 하려면 가짜 인증서를 사용하여 원격 서버를 가장해야 합니다.
예. 클라이언트가 허용하는 기관에서 서명한 인증서가 필요할 뿐만 아니라 클라이언트의 DNS를 손상시키거나 IP 패킷 스트림을 리디렉션해야 합니다.
로컬 CA가 서명한 인증서를 즉시 생성하고 이를 사용하여 요청을 프록시하는 HTTPS 프록시를 구현하는 것이 기술적으로 가능할 수도 있지만 매우 어렵습니다.
HTTPS를 통한 데이터 유출이 우려된다면 사용자가 HTTPS에 액세스하는 것을 허용하지 마세요.
종이에 내용을 적는 문제는 해결되지 않습니다.
유일한 실용적인 해결책은 좋은 감사 추적을 유지하는 것입니다. 가급적 허니팟을 사용하는 것이 좋습니다.
답변3
https 문제는 실제로 MiM 유형의 솔루션으로 해결되었습니다. 일반적으로 이는 프록시가 나가는 https 세션을 포착하고 자체 SSL 인증서로 서명된 사용자에게 해당 세션을 제공하는 동시에 외부 세계를 향해 https 통신을 자체적으로 수행한다는 것을 의미합니다.
무료 myDLP 솔루션은 자체 오징어 구성을 사용하여 이를 수행할 수 있으며 Websense 및 Symantec, iirc와 같은 보다 복잡한 솔루션은 약간 더 강력하더라도 동일한 작업을 수행합니다(해당 프록시 간 로드 밸런싱, 세분화된 인증서 관리 등...). )