我一直在研究幾個資料外洩/遺失防護套件,但在他們的文件中,我無法找到他們如何處理 HTTPS。
「洩漏媒介」之一是透過 HTTPS 向 Web 應用程式發送訊息。在這種情況下,檢測洩漏的唯一方法就是解密。
但是,要做到這一點,它必須使用假憑證來模擬遠端伺服器,就像中間人攻擊一樣。為了避免用戶產生懷疑或投訴,我想公司需要將其憑證作為有效 CA 插入公司擁有的裝置的瀏覽器上。
我的問題是:
- 有沒有人對這種情況有親身經歷?您能告訴我們您是如何實施的嗎?
- 我是對的還是有另一種管理 HTTPS 的方法(例如,使用代理檢測桌面層級使用的資料)?
答案1
這不是「像」中間人攻擊,而是中間人攻擊。
您可以使用代理伺服器來實現它,該伺服器將用您自己的憑證替換遠端憑證。在此過程中,他們的瀏覽器會拋出有關憑證無效的錯誤。這就是 HTTPS 和認證背後的要點。因此,如果您有一個精明的用戶,他們就會知道您正在攔截訊息。
您可以使用只記錄一個人的活動的代理,這樣您就可以記錄正在發生的事情以及他們正在瀏覽的位置,但實際上,如果您正在實施嚴厲的措施來防止可能性如果有人竊取了您的訊息,那麼您可能正在打造一個工作場所,以培養一種態度,讓員工先證明這樣做是合理的。而且你還必須制定針對手機(用相機記錄)、USB 驅動器的人力資源解僱政策,也許還要確保他們不會死記硬背。
無論如何,沒有「簡單」的方法可以在不被發現的情況下破壞 HTTPS 監控,除非您只是使用防火牆規則或代理過濾器阻止對該連接埠的傳出存取。否則 HTTPS 的全部意義就毫無意義。
答案2
但是,要做到這一點,它必須使用假憑證來模擬遠端伺服器
是的 - 您不僅需要由用戶端可接受的機構簽署的證書,還需要毒害用戶端的 DNS 或重定向 IP 封包流。
我懷疑在技術上可能可以實現一個 HTTPS 代理,它會動態生成由本地 CA 簽署的憑證並使用該憑證代理請求,但非常困難。
如果您擔心資料透過 HTTPS 洩露,請不要允許您的用戶存取 HTTPS。
它並不能解決他們把東西寫在紙上的問題。
唯一實用的解決方案是保持良好的審計追蹤 - 最好使用蜜罐。
答案3
https 問題確實是透過 MiM 類型的解決方案解決的。通常這意味著代理正在捕獲傳出的 https 會話,並將這些會話提供給由其自己的 ssl 憑證簽署的用戶,同時自行向外界進行 https 通訊。
免費的myDLP 解決方案可以使用它自己的魷魚配置來做到這一點,而更複雜的解決方案,如Websense 和symantec,iirc 也可以做同樣的事情,如果稍微強大一些(這些代理之間的負載平衡,細粒度的證書管理等...... )