Bloquear o acesso do funcionário à nuvem pública

Você basicamente tem três opções aqui.

1. Desconectar seu escritório / usuários da internet

• Se eles não conseguirem acessar a "nuvem pública", não poderão fazer upload de nada para ela.
  
  

2. Compile uma lista negra de serviços específicos com os quais você está preocupado com o acesso dos usuários.

• Isso será absolutamente massivo se for concebido para ser remotamente eficaz.
  • Os usuários experientes em tecnologia sempre conseguirão encontrar uma maneira de contorná-la - posso me conectar ao meu computador em qualquer lugar do mundo com uma conexão à Internet, por isso ... boa sorte me bloqueando, por exemplo.
    
    

3. Faça algo mais razoável / reconheça os limites da tecnologia.

• Esta não é uma ideia sua, mas, em geral, se você fornecer aos gerentes as armadilhas e os custos de implementar uma solução como essa, eles estarão mais abertos a melhores abordagens.

  • Às vezes, isso é uma coisa de conformidade, ou "apenas por aparências", e eles estão felizes em apenas bloquear os serviços mais populares
  • Às vezes, eles realmente não entendem o quão insano é o pedido deles e precisam que você os conte em termos que possam entender.
    • Tive um cliente uma vez, quando eu estava trabalhando para um fornecedor de segurança de computador, que queria que nós fornecessem uma maneira de impedir que os funcionários vazassem informações confidenciais com nosso agente de antivírus. Eu peguei meu smartphone, tirei uma foto da minha tela e perguntei como ele poderia evitar isso, ou até mesmo escrever as informações em um pedaço de papel.
    • Use as notícias e eventos recentes em sua explicação - se o Exército não pudesse parar Manning, e a NSA não pudesse parar Snowden, o que faz você pensar que podemos fazer isso, e quanto dinheiro você acha que mesmo tentando custo?

Não há como bloqueá-lo completamente, é claro, a menos que a rede corporativa seja desconectada da Internet.

Se você realmente quiser algo que deve funcionar a maior parte do tempo, sendo principalmente transparente, precisará aprofundar pacotes -niff . Configure um proxy SSL / TLS man-in-the-middle, bem como um para comunicação não criptografada, e bloqueie todo o tráfego que não passar por um deles.

• Bloquear solicitações HTTP PUT
• Bloqueie todas as solicitações HTTP POST nas quais o tipo de conteúdo não é aplicativo / x-www-form-urlencoded ou multipart / form-data
• Para solicitações HTTP POST do tipo multipart / form-data, remova os campos com uma disposição de conteúdo de "arquivo" (mas permita que outros campos passem).
• Bloquear tráfego de FTP, BitTorrent e SMTP
• Bloqueie todo o tráfego para os principais serviços de Webmail e para os principais sites de armazenamento de arquivos públicos.

Como você pode ver, esta é uma tarefa enorme e dolorosa. Também está longe de ser invulnerável : estou pensando em várias soluções enquanto escrevo isso, algumas das quais não podem ser manipuladas sem quebrar fundamentalmente as conexões da Web de seus usuários, e provavelmente haverá comentários mostrando muitos mais que eu não pensei. Mas deve deixar passar o tráfego mais , enquanto filtra as formas mais fáceis de eliminar o envio de ficheiros.

O resultado é que isso é mais problemático do que vale a pena.

A melhor resposta seria entrar em um tipo de negociação com seus chefes: descobrir o que eles realmente querem (provavelmente proteção de segredos comerciais ou prevenção de responsabilidade), e apontar porque estes impraticáveis medidas tecnológicas não lhes darão o que querem. Então você pode encontrar soluções para seus problemas que não envolvam medidas tecnológicas impraticáveis.

Não se preocupe com a ideologia nessas discussões: tudo o que você precisa fazer é se concentrar no que vai funcionar e no que não vai . Você encontrará todos os argumentos de que precisa, e enquanto isso sem dúvida frustrará você e seus chefes, evita julgamentos de valor contra eles (o que pode ser merecido, mas só fará com que as negociações sejam interrompidas, e isso é Ruim). ).

O que o HopelessN00b disse. Eu só queria acrescentar isso:

Eu tenho uma amiga com um emprego em uma agência do governo onde ela não tem permissão para trazer um celular com uma câmera para o escritório. Ela costuma dizer isso como "não posso ter um celular com uma câmera", porque, bem. Se ela não pode levar seu celular com ela, por que possuir um? Ela tem dificuldade em encontrar celulares que não têm câmeras.

Eu trabalhei em outros lugares de alta segurança que poderiam "resolver" esse problema através de fascismo administrativo :

• Uma política oficial de que acessar seu e-mail pessoal de sua estação de trabalho é uma ofensa de recusa.
• Uma política oficial que o acesso a um serviço de nuvem de sua estação de trabalho é uma ofensa de disparo.
• Uma política oficial que conecte um pen drive, ipod ou telefone celular a uma estação de trabalho é uma ofensa de disparo.
• Uma política oficial de que acessar mídias sociais de sua estação de trabalho é uma ofensa de disparo.
• Uma política oficial de que instalar software não autorizado em sua estação de trabalho é uma ofensa de disparo.
• Uma política oficial de que acessar seu banco pessoal on-line a partir de sua estação de trabalho é uma ofensa de disparo.
• Um firewall / proxy corporativo épico que tem muitos / a maioria desses sites bloqueados. Qualquer tentativa de acessar o facebook.com, por exemplo, solicita uma tela cheia de "Este site bloqueado pelo ETRM". Eles ocasionalmente bloquearam coisas como o Stack Overflow como "hacking" também.
• Algumas "ofensas" merecem um email enviado a toda a sua equipe informando que você acessou um site não autorizado (em vez de disparar ... desta vez). ("Katherine Villyard acessou link às 3:21 pm!")
• Forçando todos os novos contratados a fazerem uma aula de "política de segurança" explicando essas regras e forçando as pessoas a fazer cursos regulares de atualização sobre essas regras. E depois faça um teste sobre eles.

Lugares que dependem do fascismo administrativo geralmente só fazem tentativas superficiais de fazer backup dessas regras por meios técnicos, na minha experiência. Por exemplo, eles dizem que vão demitir você se você conectar um pen drive, mas eles não desativam o USB. Eles bloqueiam o Facebook via http, mas não via https. E, como HopelessN00b apontou, usuários experientes sabem e zombam disso.

Na verdade, existe uma solução simples, desde que você também não espere que sua rede interna seja exposta à Internet ao mesmo tempo.

Seus PCs simplesmente precisam ser completamente bloqueados para acessar a Internet. Todas as portas USB estão bloqueadas, etc.

Para entrar na Internet, as pessoas precisam usar um computador diferente - conectado a uma rede diferente - ou conectar via RDP a um Terminal Server que tenha acesso à Internet. Você desativa a área de transferência por meio do RDP e não compartilha o Windows. Dessa forma, os usuários não podem copiar arquivos para os servidores de terminal da Internet e, portanto, não podem enviar arquivos.

Isso deixa o e-mail ... essa é a sua maior brecha nisso se você permitir o e-mail nos PCs internos.

Na maioria dos casos, uma lista negra simples deve ser suficiente. Coloque o Google Drive, o Dropbox e a nuvem da Apple nele. Também bloqueie o tráfego para o Amazon AWS - a maioria dessas startups que criam outro serviço de nuvem não constroem seu próprio data center. Você acabou de reduzir o número de funcionários que sabem como entrar na nuvem pública de 90% para 15% (números muito aproximados, diferem por setor). Use uma mensagem de erro adequada para explicar por que as nuvens públicas são proibidas, o que reduzirá sua impressão de censura arbitrária (infelizmente, sempre haverá usuários que não estão dispostos a entender).

Os 15% restantes ainda podem alcançar provedores que não estão na lista negra, mas provavelmente não se incomodarão em fazê-lo. O Google Drive e o co estão sujeitos a strongs efeitos de rede positivos (o tipo econômico, não o técnico). Todo mundo usa os mesmos 2-3 serviços, então eles são construídos em todos os lugares. Os usuários criam fluxos de trabalho convenientes e simplificados que incluem esses serviços. Se o provedor de nuvem alternativa não puder ser integrado a esse fluxo de trabalho, os usuários não terão incentivo para usá-lo. E espero que você tenha uma solução corporativa para o uso mais básico de uma nuvem, como o armazenamento de arquivos em um local central, acessível a partir de um local físico fora do campus (com VPN, se a segurança for necessária).

Adicione a essa solução uma boa quantidade de medidas e análises. (Isso sempre é necessário quando os usuários estão preocupados). Obtenha amostras de tráfego, especialmente se exibir padrões suspeitos (tráfego upstream em rajadas grandes o suficiente para fazer upload de documentos direcionados ao mesmo domínio). Dê uma olhada humana nos domínios suspeitos identificados, e se você achar que é um provedor de nuvem, descubra por que os usuários estão usando, fale com a gerência sobre fornecer uma alternativa com usabilidade igual, eduque o ofensor usuário sobre a alternativa. Seria ótimo se a sua cultura corporativa permitisse que você reeducasse com cuidado os usuários presos sem implementar medidas disciplinares nas primeiras vezes - então eles não estarão tentando se esconder de você especialmente, e você será capaz de pegar facilmente os desvios e lidar com a situação. de uma forma que reduz o risco de segurança, mas ainda permite que o usuário faça seu trabalho com eficiência.

Um gerente razoável ** entenderá que essa lista negra levará a perdas de produtividade. Os usuários tinham uma razão para usar a nuvem pública - eles são incentivados a serem produtivos e o fluxo de trabalho conveniente aumenta sua produtividade (incluindo a quantidade de horas extras não remuneradas que eles estão dispostos a fazer). É tarefa do gerente avaliar o trade-off entre perda de produtividade e riscos de segurança e dizer se estão dispostos a deixar a situação como está, implementar a lista negra ou optar por medidas dignas de serviço secreto (que são extremamente inconveniente e ainda não fornecem 100% de segurança).

[*] Eu sei que as pessoas cujo trabalho é segurança pensam em intenção criminosa primeiro. E, de fato, um criminoso determinado é muito mais difícil de parar e pode causar danos muito maiores do que um usuário não mal-intencionado. Mas, na realidade, existem poucas organizações que se infiltram. A maioria dos problemas de segurança está relacionada com o mau humor dos usuários bem-intencionados que não percebem as conseqüências de suas ações. E porque há muitos deles, a ameaça que representam deve ser levada tão a sério quanto o mais perigoso, mas muito mais raro, espião.

[**] Estou ciente de que, se seus chefes já fizeram essa demanda, é provável que eles não sejam do tipo razoável. Se eles são razoáveis, mas apenas equivocados, isso é ótimo. Se eles são irracionais e teimosos, isso é lamentável, mas você deve encontrar uma maneira de negociar com eles. Oferecer uma solução parcial, mesmo que você não consiga aceitá-la, pode ser um bom passo estratégico - apresentado corretamente, mostra que você está "do lado deles", leva as preocupações a sério e está preparado para pesquisar para alternativas a requisitos tecnicamente inviáveis.

Seu gerenciamento está pedindo para você fechar a caixa de Pandora.

Embora você possa, em princípio, impedir o upload de qualquer documentação para todos os possíveis mecanismos conhecidos, você não poderá evitar que explorações de dia zero (ou o equivalente a você) sejam usadas.

Dito isso, um firewall de autenticação para identificar o usuário e a estação de trabalho pode ser implementado para restringir o acesso com a ACL desejada. Você pode incorporar um serviço de reputação conforme descrito em algumas das outras respostas para ajudar no gerenciamento do processo.

A verdadeira questão é perguntar se é sobre segurança ou se trata de controle ? Se for o primeiro, você precisa entender o limite de custo que seus gerentes estão dispostos a pagar. Se for o segundo, então provavelmente um grande teatro visível será suficiente para convencê-los de que você o entregou, com pequenas exceções.

Você precisa de um dispositivo ou serviço de filtragem de conteúdo, como o BlueCoat Secure Web Gateway ou um firewall com filtragem de conteúdo, como um firewall Palo Alto. Produtos como este têm filtros de categoria abrangentes que incluem armazenamento on-line.

O BlueCoat até oferece serviço baseado em nuvem, no qual você pode forçar os usuários de laptop a se conectarem por meio de um serviço de proxy que é executado localmente em seu computador, mas usa regras de filtragem de conteúdo de uma fonte central.

• Lista negra

Crie uma lista de sites que os usuários não podem acessar.

Pro: bloqueia o serviço específico.

Contras: Uma lista grande, às vezes, pode prejudicar o desempenho do firewall do sistema (geralmente isso acontece!). Às vezes, pode ser ignorado.

• WhiteList

Em vez de depender de uma lista grande de sites na lista negra, algumas empresas usam uma lista de permissões em que os usuários só podem acessar os sites permitidos.

Pro: fácil de gerenciar.

Contras: prejudica a produtividade.

• Bloqueia o tamanho do envio de informações (POST / GET).

Alguns firewalls permitem bloquear o tamanho das informações enviadas, impossibilitando o envio de alguns arquivos.

Pro: fácil de gerenciar.

Contras: alguns usuários podem ignorá-lo enviando arquivos em pequenos blocos. Pode quebrar alguns sites, por exemplo, alguns sites de Java e Visual Studio enviam muitas informações regularmente.

• Bloqueie conexões não HTTP.

Pro: fácil de configurar.

Contras: pode quebrar sistemas atuais.

Na minha experiência, trabalhei para um banco. Os administradores bloquearam o acesso ao driver USB e acessaram alguns sites restritos (lista negra). No entanto, eu criei um arquivo php em um webhosting livre e eu posso fazer upload de meus arquivos sem qualquer problema (usando um site regular). Demorei 5 minutos para fazer isso.

Concordo com alguns comentários, é fácil e mais eficaz usar regras de recursos humanos.