20种绕过DLP的技术

本文阅读大约需要3分钟；

1、加密：使用端到端加密技术对敏感文档进行加密，然后扫描加密后的文档以避免文本检测。

范例: 使用 VeraCrypt 对包含客户信息的整个硬盘进行加密，然后通过邮件发送加密后的文件。DLP 系统只能检测到加密文件，无法识别其中的敏感信息。

2、隐写术： 将数据隐藏在图像或视频文件中以逃避检测。

范例: 使用 Steghide 工具将机密文档嵌入到看似无害的度假照片中。照片可以通过邮件或社交媒体分享，而隐藏的文档不会被 DLP 系统发现。

Steghide是一个用于隐写术（Steganography）的工具，它能够让用户将文件（如文本、图片或音频）隐藏在另一个文件中，通常是图片或音频文件。这个工具主要用于JPEG图像和音频文件（如WAV格式）中隐藏秘密信息。

3、数据拆分： 将敏感数据分成多个较小的部分进行传输或存储，以便单独处理。

范例: 将信用卡号码分成四个部分，分别存储在不同的数据库字段中。每个部分单独来看都不构成完整的信用卡信息，从而绕过 DLP 系统的检测规则。

4、隐蔽通道： 利用非常规或很少使用的网络传输协议，例如不常用的网络协议。

范例: 使用 DNS 隧道将敏感数据隐藏在 DNS 查询和响应中。DLP 系统通常不会监控 DNS 流量，因此数据可以被秘密传输。

5、VPN/SSH 隧道： 将数据封装在 VPN 或 SSH 连接中，以隐藏 VPN 或 SSH 连接内的流量，使其免受 DLP 检测。

范例:使用 SSH 隧道连接到远程服务器，并将敏感数据通过隧道传输。DLP 系统只能看到加密的 SSH 流量，无法识别其中的数据。

6、数据编码： 修改数据的表示形式（例如，base64 编码），以避免通过已知的签名或模式进行检测。

范例: 将公司财务数据进行 base64 编码后，再通过邮件发送。DLP 系统可能无法识别编码后的数据，因为它不再符合预定义的敏感数据模式。

7、文件格式更改：更改文件的格式（例如，从 PDF 转换为图像），以绕过文件类型过滤器，从而混淆 DLP 系统。

范例: 将包含敏感信息的 Word 文档转换为 PNG 图片，然后通过聊天软件发送。DLP 系统可能不会对图片进行文本内容检测，从而导致数据泄露。

8、社交媒体和通信平台：使用私信或在社交媒体上发布隐藏的帖子来传输数据。

范例: 将公司数据库的登录凭证隐藏在微博帖子的图片描述中。DLP 系统可能不会扫描图片描述中的文本，从而导致数据泄露。

9、协议切换：使用非预期的网络协议传输敏感数据，例如 DNS 或 ICMP。

范例: 使用 ICMP 隧道将敏感数据隐藏在 ICMP 数据包中。DLP 系统通常不会监控 ICMP 流量，因此数据可以被秘密传输。

10、公共云存储：使用无法追踪的帐户将敏感数据上传到公共云存储。

范例: 使用匿名邮箱注册一个阿里云或百度网盘的账号，并将敏感数据上传到该账号。DLP 系统无法将该账号与公司关联起来，从而难以追踪数据泄露的源头。

11、二维码：将数据转换成二维码，并通过视觉方式共享它们。

范例: 将公司服务器的 root 密码转换成二维码，并打印在纸上。然后通过拍照或扫描二维码的方式将密码分享给其他人。DLP 系统无法识别二维码中的数据。

12、物理打印和扫描：打印敏感数据，然后扫描并以数字方式共享它们。

范例: 打印包含客户信息的纸质文件，然后扫描成 PDF 文件，并通过邮件发送。DLP 系统可能无法识别扫描文档中的敏感信息，因为它不再是原始的电子文档。

13、使用深奥的编程语言：用 DLP 难以理解或检测的深奥语言编写脚本。

范例: 使用 Brainfuck 语言编写一个脚本，将敏感数据隐藏在代码中。DLP 系统可能无法理解 Brainfuck 代码，从而无法检测到隐藏的数据。

14、交换物理存储设备：使用物理存储设备，如 U 盘，手动传输数据。

范例: 将公司数据库的备份文件复制到 U 盘，然后将 U 盘交给外部人员。DLP 系统无法监控物理存储设备上的数据传输。

15、在视频或音频中嵌入信息：在视频或音频文件中插入隐藏信息。

范例: 将公司战略计划的文本信息隐藏在公司宣传视频的音频轨道中。DLP 系统可能不会对音频轨道进行文本内容检测，从而导致数据泄露。

16、P2P 通信工具：使用点对点软件在机器之间直接共享文件。

范例: 使用 BitTorrent 软件将包含客户信息的数据库文件分享给其他人。DLP 系统难以监控 P2P 网络中的数据传输。

17、数据包头部修改：修改网络数据包头部以混淆 DLP 系统。

范例: 修改数据包头部中的端口号，将敏感数据伪装成其他类型的流量。DLP 系统可能不会检查修改后的端口号，从而导致数据泄露。

18、无线 Mesh 网络：创建一个无线 Mesh 网络，在公司网络之外传输数据。

范例: 使用多个无线路由器创建一个无线 Mesh 网络，并将敏感数据通过 Mesh 网络传输到公司网络之外。DLP 系统无法监控公司网络之外的流量。

19、Tor 和匿名网络：使用匿名网络（如 Tor）隐藏数据流量。

范例: 使用 Tor 浏览器访问暗网，并将敏感数据上传到暗网服务器。DLP 系统无法追踪 Tor 网络中的流量，从而无法检测到数据泄露。

20、自毁脚本：利用在读取、修改或销毁数据后自动运行的脚本，使检测更加困难。

范例: 创建一个脚本，在用户打开包含敏感信息的文档后，自动删除该文档。DLP 系统可能无法及时检测到数据泄露，因为文档已经被删除。

注意：以上范例仅用于说明 DLP 规避技术的原理，请勿用于非法用途。

总而言之，这份列表揭示了各种各样的方法，可以用来绕过数据丢失防护系统，强调了政企行业需要采取更全面、更强大的安全措施来保护敏感数据，包括技术手段和安全意识的培养。

如果您觉得文章对您有所帮助，还请您关注我！

原文始发于微信公众号（再说安全）：20种绕过DLP的技术