<div class="gmail_quote">On Tue, Jul 9, 2013 at 12:35 PM, Victor Julien <span dir="ltr"><<a href="mailto:lists@inliniac.net" target="_blank">lists@inliniac.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Currently you can write rules to identify files over HTTP. Where they<br>
are in your local network is irrelevant, as long as Suricata can see the<br>
HTTP traffic that is used to exfiltrate them.<br>
<div class="im"><br>
> To be specific, can I prevent bad guys stealing my files from my environment by writing specific suricata rules.<br>
<br>
</div>If you keep in mind the limitations, yes. Limitations include:<br>
- HTTP only, so it can be defeated using other protocols<br>
- Pkt loss can cause problems, especially if you rely on MD5 checksums<br>
- you'll have to be inline if you want to reliably prevent transfers<br>
<div class="im"><br>
> Can any one give a example of the rule.<br>
<br>
</div>Check:<br>
<br>
<a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/File_Extraction" target="_blank">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/File_Extraction</a><br>
<a href="http://blog.inliniac.net/2011/11/29/file-extraction-in-suricata/" target="_blank">http://blog.inliniac.net/2011/11/29/file-extraction-in-suricata/</a><br>
<a href="http://blog.inliniac.net/2012/06/09/suricata-md5-blacklisting/" target="_blank">http://blog.inliniac.net/2012/06/09/suricata-md5-blacklisting/</a><br></blockquote><div>And from a security and experience perspective, DLP only "catches stupid", meaning anyone determined to not be caught won't be. AAA (authentication, authorization and auditing) is often better at preventing/catching someone than DLP is. With DLP you're going to find people no doing what they are supposed to do more than you catch some "insider" or hacker transferring files. DropBox and Google Drive etc, all use HTTPS and no DLP can help you there, it's easy to also encrypt a file/folder in a password protected file and then transfer. No company I've helped roll DLP out to has used it for more than 2 years (because dlp helped them "clean up their act"), but some signatures in the DLP spectrum can be useful. Sig's to look for CC#'s or SSN#'s are a good idea, or sig's specific to important data you work with. DLP is a pet-peve of mine :) I didn't mean to hijack the discussion, I've used Fidelis, Symantec(Vontu previously), RSA and OpenDLP, I cannot recommend any of them, YMMV. You can build several good rules for detecting "stupid" however: <a href="http://www.sans.org/security-resources/idfaq/snort-detect-credit-card-numbers.php">http://www.sans.org/security-resources/idfaq/snort-detect-credit-card-numbers.php</a> There are FP's can and will happen.<br>
-rich<br></div></div><br>