Como se proteger contra vazamento de dados?

1

Temos algumas estações de trabalho com acesso a um compartilhamento de rede com todos os nossos arquivos da empresa. Isso está correto, porque os usuários podem precisar usá-los.
No entanto, nosso chefe está preocupado que alguém (por demissão talvez) possa conectar uma unidade USB e levar esses arquivos para casa ou coisas assim. Como não podemos proibir drives USB (podemos precisar deles para o trabalho regular), há algo que poderíamos fazer para melhorar a segurança, tornando o roubo de dados mais difícil?
Eu sou o administrador dessas estações de trabalho e os usuários não têm poderes de root (obviamente). Talvez o SELinux / AppArmor possa proibir a cópia de um diretório específico para outro?

    
por Joril 18.03.2015 / 11:38

2 respostas

3

Não, você não pode. Se eles podem ler os arquivos, eles podem copiá-los.

EDITAR:

Eu estive pensando sobre isso e talvez você possa fazer alguma coisa. Se esses arquivos só puderem ser acessados por alguns programas (Você disse algo sobre arquivos CAD) talvez você possa configurar o proprietário do programa para um novo usuário (digamos CADuser) e alterar as permissões de todos esses arquivos para que somente o CADuser possa ler eles. Definir o bit sticky no programa CAD permitirá que aqueles que executam o programa sejam esse usuário enquanto o programa é executado, podendo assim acessar e trabalhar com os arquivos. Mas se eles pararem de executar o programa, eles não terão acesso a esses arquivos. Eu não testei, mas tenho certeza que se o arquivo for salvo em qualquer outro local, as permissões serão as do usuário do programa, para que não fiquem acessíveis fora do programa, complicando assim o ato de copiá-las para um USB.

    
por 18.03.2015 / 15:06
5

É muito difícil e mais uma decisão política do que uma IMO técnica. Há muitas soluções para "coletar dados de um lugar para outro". Você pode proibir a cópia, mas como você evitaria cat $file > /usb/$file ?

Simplesmente não é possível fazer de forma exaustiva.

Sugiro sugerir , portanto, você não permite o acesso à estação de trabalho aos arquivos e exige login remoto em um servidor - para o qual o usuário não tem acesso físico direto e limita o que pode fazer via sudo - por exemplo não sudo su , mas sim um conjunto de comandos que são considerados "seguros o suficiente".

Ou isso e / ou ser mais rigoroso sobre dispositivos de armazenamento removíveis - torne-se uma ofensa disciplinar para trazer um no prédio (que não tenha trilha de auditoria apropriada e verificação de entrada / saída).

Mas em um nível bem fundamental, isso é uma questão de segurança pessoal, não técnica. Um bom ponto de partida são pessoas de saco que você não confia!

    
por 18.03.2015 / 11:58