Блокуйте доступ працівника до публічної хмари

Перш за все, дозвольте констатувати, що це не моя ідея, і я не хочу обговорювати, чи є така дія розумною.

Однак чи існує для компанії спосіб заборонити працівникам отримати доступ до публічних хмарних сервісів? Зокрема, вони не повинні мати можливість завантажувати файли в будь-яке місце в Інтернеті.

Блокування HTTPS може бути першим, простим, але дуже радикальним рішенням. Використання чорного списку IP-адрес також не буде достатньо. Можливо, потрібне якесь програмне забезпечення для фільтрації трафіку на рівні вмісту. Проксі-сервер може бути корисним для фільтрації трафіку HTTPS.

Тези досі є моїми думками. Як ти гадаєш? Якісь ідеї?

У вас тут три варіанти.

1. Відключіть свій офіс / користувачів від Інтернету

• Якщо вони не можуть дістатися до "публічної хмари", вони нічого не можуть завантажити на неї.
  
  

2. Складіть чорний список конкретних служб, яких ви переживаєте за доступ користувачів.

• Це буде абсолютно масовим, якщо це буде навіть віддалено ефективно.
  • Користувачі, які користуються технічними критеріями, завжди зможуть знайти спосіб її подолання - я можу підключитися до свого комп’ютера з будь-якої точки світу за допомогою підключення до Інтернету, так що ... удача блокує мене, наприклад.
    
    

3. Зробіть щось більш розумне / визнайте межі технології.

• Це не ваша ідея, але, як правило, якщо ви забезпечите управління підводними камінням та витратами на реалізацію такого рішення, вони будуть більш відкритими для кращих підходів.

  • Іноді це відповідність, або "лише для виступів", і вони задоволені тим, що просто блокують найпопулярніші сервіси
  • Іноді вони по-справжньому не розуміють, наскільки їх божевільний запит, і вам потрібно сказати їм терміни, які вони можуть зрозуміти.
    • Колись працював клієнт, коли я працював у постачальника комп'ютерної безпеки, який хотів, щоб ми могли запобігти витіканню конфіденційної інформації з нашим агентом AV. Я витягнув смартфон, сфотографував екран і запитав його, як він може це запобігти, або навіть записуючи інформацію на аркуш паперу.
    • Скористайтеся новинами та останніми подіями у своєму поясненні - якщо армія не змогла зупинити Меннінг, а АНБ не зможе зупинити Сноудена, то, що ви думаєте, ми можемо це зробити, і скільки грошей, на вашу думку, обійдеться навіть спроба?

Зрозуміло, немає можливості її повністю заблокувати, якщо тільки корпоративну мережу не слід було б відключити від Інтернету.

Якщо ви дійсно хочете чогось, що має працювати більшу частину часу, будучи переважно прозорим, вам потрібно буде глибоко обнюхати пакети . Налаштуйте проксі-сервер SSL / TLS-проксі, а також один для незашифрованого зв'язку та заблокуйте увесь трафік, який не проходить через один із них.

• Блокувати запити HTTP PUT
• Блокувати всі HTTP запити POST, коли тип вмісту не є застосунком / x-www-form-urlencoded або multipart / form-data
• Для запитів HTTP POST типу multipart / form-data відкресліть поля із вмістом "файл" (але пропустіть інші поля).
• Блокуйте FTP, BitTorrent і SMTP трафік
• Блокуйте весь трафік до основних сервісів Webmail та до основних публічних сайтів зберігання файлів.

Як бачите, це масове і болісне починання. Це також далеко не вразливе : я думаю про кілька обхідних шляхів, навіть коли я це пишу, деякі з яких неможливо обробити без принципового розриву веб-зв’язків користувачів, і, ймовірно, будуть коментарі, що показують багато іншого, що я не подумай. Але він повинен пропускати більшість трафіку, фільтруючи найпростіші способи усунення завантаження файлів.

Суть полягає в тому, що це більше клопоту, ніж варто.

Найкращою відповіддю було б вступити в своєрідні переговори з вашими начальниками: дізнайтеся, чого вони насправді хочуть (швидше за все, або захист комерційної таємниці, або запобігання відповідальності), і вкажіть, чому ці непрацездатні технологічні заходи не дадуть їм того, чого вони хочуть. Тоді можна відпрацювати рішення їх проблем, які не передбачають непрацездатних технологічних заходів.

Не турбуйтеся про ідеологію в цих дискусіях: все, що вам потрібно зробити, - це зосередитись на тому, що буде працювати, а що ні . Ви знайдете всі необхідні вам аргументи, і хоча це, безсумнівно, засмутить і вас, і ваших начальників, це уникне винесення проти них цінних суджень (що може бути заслуженим, але викличе лише розмови, і це погано ).

Що сказав HopelessN00b. Я просто хотів додати це:

У мене є друг з роботою в урядовій установі, де їй не дозволяють приносити мобільний телефон з камерою в офіс. Зазвичай вона фразує так: "Мені не дозволяється володіти мобільним телефоном з камерою", бо, ну. Якщо вона не може взяти свою камеру з собою, навіщо їй власні? У неї проблеми з пошуку мобільних телефонів, у яких немає камер.

Я працював в інших місцях високого рівня безпеки, які могли б "вирішити" цю проблему через адміністративний фашизм :

• Офіційна політика щодо доступу до вашої особистої електронної пошти зі своєї робочої станції є злочинним злочином.
• Офіційна політика щодо доступу до хмарного сервісу зі своєї робочої станції є вогневим правопорушенням.
• Офіційна політика, що підключення приводу великого пальця, ipod або мобільного телефону до робочої станції є кримінальним злочином.
• Офіційна політика щодо доступу до соціальних медіа з вашої робочої станції - це кримінальне злочинство.
• Офіційна політика щодо встановлення несанкціонованого програмного забезпечення на вашій робочій станції є кримінальним злочином.
• Офіційна політика щодо доступу до вашого персонального онлайнового банкінгу зі своєї робочої станції є кримінальним злочином.
• Епічний корпоративний брандмауер / проксі, у якого багато / більшість цих сайтів заблоковані. Наприклад, будь-яка спроба доступу до facebook.com викликає скріншот "Цей сайт заблокований ETRM". Вони періодично блокували такі речі, як Stack Overflow, як "хакерські".
• Деякі "правопорушення" заслуговують на електронний лист, надісланий всій вашій команді, в якому йдеться про те, що ви отримали доступ до несанкціонованого веб-сайту (на відміну від звільнення ... цього разу). ("Кетрін Вільярд отримала доступ до http://icanhas.cheezburger.com/ о 15:21!")
• Примушуючи всіх нових наймань приймати клас "Політика безпеки", що пояснює ці правила, і змушує людей проходити регулярні курси підвищення кваліфікації за цими правилами. А потім візьміть і пройдіть на них вікторину.

Мій досвід, який покладається на адміністративний фашизм, зазвичай робить лише побічні спроби створити резервні копії цих правил технічними засобами, на мій досвід. Наприклад, вони кажуть, що звільнять вас, якщо ви підключите накопичувач, але вони не відключать USB. Вони блокують Facebook через http, але не через https. І, як зазначив HopelessN00b, кмітливі користувачі це знають і висміюють.

Насправді є просте рішення, за умови, що ви також не очікуєте, що ваша внутрішня мережа буде одночасно піддаватися впливу Інтернету.

Ваші ПК просто повинні бути повністю заблоковані для доступу до Інтернету. Усі порти USB заблоковані тощо.

Щоб потрапити в Інтернет, то людям потрібно або використовувати інший комп'ютер - підключений до іншої мережі - або підключитися через RDP до сервера терміналів, який має доступ до Інтернету. Ви вимикаєте буфер обміну через RDP, і немає спільного доступу до Windows. Таким чином, користувачі не можуть копіювати файли на сервери Інтернет-терміналів і, отже, не можуть надсилати файли назовні.

Це залишає електронну пошту ... це найбільша лазівка ​​в цьому, якщо ви дозволите електронну пошту на внутрішніх ПК.

Ви знаєте той старий анекдот, що якщо вас і хауллінга переслідує розлючений дракон, вам не доведеться бігати швидше за дракона, ви тільки повинні бути швидшими за софтлінга? Якщо припустити нешкідливих користувачів *, вам не доведеться обмежувати їх доступ до загальнодоступної хмари, достатньо зробити зручність використання публічної хмари нижчою, ніж зручність використання будь-якого корпоративного рішення для доступу до даних, не пов'язаних з настільною роботою. . Правильно виконане це дозволить різко знизити ризик нешкідливих витоків, і це можливо з часткою витрат.

У більшості випадків простого чорного списку повинно вистачити. Покладіть на нього диск Google, Dropbox та хмару Apple. Також блокуйте трафік на Amazon AWS - більшість цих гарячих стартапів, які будують ще одну хмарну службу, не створюють власний центр обробки даних. Ви просто скоротили кількість працівників, які знають, як потрапити в громадську хмару з 90% до 15% (дуже приблизна кількість, буде відрізнятися від галузей). Використовуйте відповідне повідомлення про помилку, щоб пояснити, чому публічні хмари заборонені, що зменшить їхнє враження від безпідставної цензури (на жаль, завжди знайдуться користувачі, не бажаючі зрозуміти).

Решта 15% все ще можуть дістатися до постачальників, які не знаходяться у чорному списку, але вони, ймовірно, не будуть робити це. Диск Google і co піддаються сильним позитивним ефектам мережі (економічний, а не технічний). Усі користуються однаковими 2-3 послугами, тому вони вбудовуються скрізь. Користувачі створюють зручні, спрощені робочі процеси, які включають ці послуги. Якщо альтернативний постачальник хмарних технологій не може бути інтегрований у такий робочий процес, користувачі не стимулюють його використовувати. І я сподіваюся, що у вас є корпоративне рішення для найпростішого використання хмари, наприклад, зберігання файлів у центральному місці, доступних у фізичному місці за межами кампусу (з VPN, якщо необхідна безпека).

Додайте до цього рішення велику кількість вимірювань та аналітики. (Це завжди потрібно, коли це стосується користувачів). Візьміть зразки трафіку, особливо якщо виявляють підозрілі патерни (трафік у потоці в ході ряду, достатньо великий для завантаження документів, спрямованих на той самий домен). По-людськи погляньте на виявлені підозрілі домени, і якщо ви виявите, що це постачальник хмар, з’ясуйте, чомукористувачі користуються нею, розмовляють з керівництвом про надання альтернативи з однаковою юзабіліті, навчають порушника про альтернативу. Було б чудово, якби ваша корпоративна культура дозволила вам обережно перевтілювати спійманих користувачів, не вперше застосовуючи дисциплінарні заходи - тоді вони не будуть намагатися сховатися від вас особливо важко, і ви зможете легко зловити відхилення і впоратися з ситуацією таким чином, що зменшує ризик безпеки, але все ж дозволяє користувачеві ефективно виконувати свою роботу.

Розумний менеджер ** зрозуміє, що цей чорний список призведе до втрати продуктивності. Користувачі мали привід використовувати публічну хмару - вони стимулюються до продуктивності, а зручний робочий процес підвищив їх продуктивність (включаючи суму неоплаченої понаднормової роботи, яку вони готові зробити). Завдання менеджера - оцінити компроміс між втратою продуктивності та ризиками для безпеки та сказати, чи готові вони дозволити ситуацію такою, якою є, впровадити чорний список чи вжити заходів, гідних секретних служб (які є сильно незручно і все ще не забезпечують 100% безпеку).

[*] Я знаю, що люди, чиєю роботою є безпека, спочатку думають про злочинні наміри. І справді, суворого злочинця куди важче зупинити і може завдати набагато гіршого збитку, ніж нешкідливому користувачеві. Але насправді мало організацій, які проникли в неї. Більшість проблем із безпекою пов'язані з підступністю добронамерених користувачів, які не усвідомлюють наслідків своїх дій. А оскільки їх так багато, до загрози, яку вони становлять, слід сприймати так само серйозно, як і більш небезпечного, але набагато рідшого шпигуна.

[**] Я усвідомлюю, що, якщо ваші начальники вже зробили такий попит, велика ймовірність, що вони не є розумним типом. Якщо вони розумні, але просто помилкові, це чудово. Якщо вони нерозумні і вперті, це прикро, але ви повинні знайти спосіб домовитися з ними. Запропонувати таке часткове рішення, навіть якщо ви не можете змусити його прийняти, може бути хорошим стратегічним кроком - правильно представлене, це показує їм, що ви "на їх стороні", серйозно ставитесь до їхніх проблем і готові до пошуку. за альтернативи технічно нездійсненним вимогам.

Ваше керівництво просить закрити скриньку Пандори.

Хоча ви, в принципі, можете запобігти завантаженню будь-якої документації для всіх відомих можливих механізмів, ви не зможете запобігти використанню подвигів нульового дня (або еквіваленту вам).

Втім, автентичний брандмауер для ідентифікації і користувача, і робочої станції може бути реалізований для обмеження доступу з потрібним ACL. Ви можете включити службу репутації, як описано в деяких інших відповідях, щоб допомогти вам керувати процесом.

Справжнє питання - запитати, чи це стосується безпеки , чи це стосується контролю ? Якщо це перше, то вам потрібно зрозуміти поріг витрат, який ваші менеджери готові платити. Якщо це другий, то, ймовірно, великого видимого театру буде достатньо, щоб переконати їх у поставленні, за незначними винятками.

Вам потрібен пристрій або послуга фільтрації вмісту, наприклад BlueCoat Secure Web Gateway, або брандмауер з фільтруванням вмісту, наприклад, брандмауер Palo Alto. Такі продукти мають фільтри широкої категорії, які включають в себе онлайн-сховища.

BlueCoat навіть пропонує хмарний сервіс, де ви можете змусити користувачів ноутбуків підключатися через проксі-сервіс, який працює локально на їхньому комп’ютері, але приймає правила фільтрації вмісту з центрального джерела.

• Чорний список

Створіть список сайтів, до яких користувачі не можуть отримати доступ.

Pro: Блокувати конкретну послугу.

Мінуси: великий список, іноді це може зашкодити продуктивності брандмауера системи (як правило, так і є!). Іноді це можна було обійти.

• Білий список

Замість того, щоб покладатися на великий список сайтів, які перебувають у чорному списку, деякі компанії використовують білий список, де користувачі можуть отримати доступ лише до білих сайтів.

Pro: просте управління.

Мінуси: це шкодить продуктивності.

• Блокувати розмір інформації, що надсилається (POST / GET).

Деякий брандмауер дозволяє блокувати розмір надсилання інформації, що робить неможливим надіслати деякі файли.

Pro: просте управління.

Мінуси: деякі користувачі могли обійти його, надсилаючи файли невеликими шматками. Це може зламати деякі веб-сайти, наприклад, деякі сайти winforms Java та Visual Studio регулярно надсилають багато інформації.

• Блокувати не HTTP-з'єднання.

Pro: просте налаштування.

Мінуси: це може зламати діючі системи.

На моєму досвіді я працював у банку. Адміністратори заблокували доступ до USB-накопичувача та доступ до деяких сайтів з обмеженим доступом (чорний список). Однак я створив файл php у вільному веб-хостингу, і я можу завантажувати свої файли без проблем (використовуючи звичайний веб-сайт). На це мені знадобилося 5 хвилин.

Я погоджуюся з деякими коментарями, легко та ефективніше використовувати правила людських ресурсів.