Lassen Sie mich zunächst feststellen, dass dies nicht meine Idee ist und ich nicht diskutieren möchte, ob eine solche Maßnahme sinnvoll ist.
Gibt es jedoch für ein Unternehmen eine Möglichkeit, Mitarbeiter daran zu hindern, auf öffentliche Cloud-Dienste zuzugreifen? Insbesondere sollten sie keine Dateien an eine beliebige Stelle im Web hochladen können.
Das Blockieren von HTTPS könnte eine erste, einfache, aber sehr radikale Lösung sein. Die Verwendung einer schwarzen Liste von IP-Adressen würde ebenfalls nicht ausreichen. Wahrscheinlich wird eine Art Software benötigt, um den Datenverkehr auf Inhaltsebene zu filtern. Ein Proxy kann hilfreich sein, um HTTPS-Datenverkehr filtern zu können.
Das sind meine bisherigen Gedanken. Was denkst du? Irgendwelche Ideen?
Antworten:
Grundsätzlich haben Sie hier drei Möglichkeiten.
1. Trennen Sie Ihr Büro / Ihre Benutzer vom Internet
2. Erstellen Sie eine Blacklist mit bestimmten Diensten, auf die Benutzer zugreifen können.
3. Mach etwas Vernünftigeres / erkenne die Grenzen der Technologie.
Dies ist nicht Ihre Idee, aber wenn Sie dem Management die Fallstricke und die Kosten für die Implementierung einer solchen Lösung aufzeigen, sind sie offener für bessere Ansätze.
quelle
Es gibt natürlich keine Möglichkeit, es vollständig zu blockieren, es sei denn, das Unternehmensnetzwerk wurde vom Internet getrennt.
Wenn Sie wirklich etwas wollen, das die meiste Zeit funktionieren soll, während es größtenteils transparent ist, müssen Sie Pakete tief schnüffeln . Richten Sie einen Man-in-the-Middle-SSL / TLS-Proxy sowie einen für unverschlüsselte Kommunikation ein und blockieren Sie den gesamten Datenverkehr, der keinen dieser Daten durchläuft.
Wie Sie sehen, ist dies ein massives und schmerzhaftes Unterfangen. Es ist auch alles andere als unverwundbar : Ich denke an mehrere Problemumgehungen, während ich dies schreibe, von denen einige nicht behoben werden können, ohne die Webverbindungen Ihrer Benutzer grundlegend zu unterbrechen, und es wird wahrscheinlich Kommentare geben, die viel mehr zeigen, als ich es nicht getan habe Denk an. Es sollte jedoch den meisten Datenverkehr durchlassen und gleichzeitig die einfachsten Möglichkeiten herausfiltern, um das Hochladen von Dateien zu verhindern.
Das Fazit ist, dass dies mehr Ärger ist, als es wert ist.
Die beste Antwort wäre, eine Art Verhandlung mit Ihren Vorgesetzten aufzunehmen: Finden Sie heraus, was sie wirklich wollen (wahrscheinlich entweder Schutz von Geschäftsgeheimnissen oder Verhinderung von Haftung), und erklären Sie, warum diese nicht praktikablen technischen Maßnahmen sie nicht zu dem bringen, was sie wollen. Dann können Sie Lösungen für ihre Probleme erarbeiten, die keine nicht umsetzbaren technologischen Maßnahmen beinhalten.
Machen Sie sich in diesen Diskussionen keine Gedanken über die Ideologie. Sie müssen sich nur darauf konzentrieren, was funktionieren wird und was nicht . Sie werden dort alle Argumente finden, die Sie brauchen, und obwohl dies Sie und Ihre Chefs zweifellos frustrieren wird, vermeidet es, Werturteile gegen sie zu fällen (was vielleicht verdient ist, aber nur dazu führt, dass die Gespräche zusammenbrechen, und das ist schlecht ).
quelle
Was HopelessN00b gesagt hat. Ich wollte nur hinzufügen, dass:
Ich habe eine Freundin mit einem Job bei einer Regierungsbehörde, bei der sie kein Handy mit einer Kamera ins Büro bringen darf. Normalerweise sagt sie: "Ich darf kein Handy mit Kamera besitzen", weil, na ja. Wenn sie ihre Zelle nicht mitnehmen kann, warum sollte sie eine besitzen? Sie hat Probleme, Handys ohne Kamera zu finden.
Ich habe für andere hochsichere Orte gearbeitet, die dieses Problem über den administrativen Faschismus "lösen" würden :
Orte, die sich auf den Verwaltungsfaschismus stützen, versuchen meiner Erfahrung nach im Allgemeinen nur flüchtig, diese Regeln mit technischen Mitteln zu sichern. Zum Beispiel sagen sie, dass sie Sie feuern, wenn Sie ein USB-Stick anschließen, aber sie deaktivieren USB nicht. Sie blockieren Facebook über http, aber nicht über https. Und, wie HopelessN00b hervorhob, wissen und verspotten versierte Benutzer dies.
quelle
Eigentlich gibt es eine einfache Lösung, vorausgesetzt, Sie erwarten nicht, dass Ihr internes Netzwerk gleichzeitig mit dem Internet in Berührung kommt.
Ihre PCs müssen lediglich vollständig vom Zugriff auf das Internet ausgeschlossen sein. Alle USB-Anschlüsse blockiert usw.
Um ins Internet zu gelangen, müssen die Benutzer entweder einen anderen Computer verwenden - der mit einem anderen Netzwerk verbunden ist - oder sich über RDP mit einem Terminalserver verbinden, der über einen Internetzugang verfügt. Sie deaktivieren die Zwischenablage über RDP und keine Windows-Freigabe. Auf diese Weise können Benutzer keine Dateien auf die Internet-Terminalserver kopieren und somit keine Dateien senden.
Damit bleiben E-Mails ... das ist Ihre größte Lücke, wenn Sie E-Mails auf den internen PCs zulassen.
quelle
Sie kennen den alten Witz, dass Sie, wenn Sie und ein Halbling von einem wütenden Drachen verfolgt werden, nicht schneller laufen müssen als der Drache, sondern nur schneller sein müssen als der Halbling? Unter der Annahme, dass nicht böswillige Benutzer * den Zugriff auf die öffentliche Cloud nicht einschränken müssen, reicht es aus, die Benutzerfreundlichkeit der öffentlichen Cloud zu verringern, als die der Unternehmenslösung für den nicht schreibtischgebundenen Datenzugriff . Durch die ordnungsgemäße Implementierung wird das Risiko von nicht böswilligen Lecks erheblich reduziert und ist mit einem Bruchteil der Kosten realisierbar.
In den meisten Fällen sollte eine einfache schwarze Liste ausreichen. Legen Sie Google Drive, Dropbox und die Apple Cloud darauf. Blockieren Sie auch den Datenverkehr zu Amazon AWS - die meisten dieser Start-ups, die einen weiteren Cloud-Service erstellen, erstellen kein eigenes Rechenzentrum. Sie haben soeben die Anzahl der Mitarbeiter, die wissen, wie sie in die Public Cloud gelangen, von 90% auf 15% gesenkt (sehr grobe Zahlen, je nach Branche unterschiedlich). Erklären Sie anhand einer geeigneten Fehlermeldung, warum öffentliche Clouds verboten sind, was den Eindruck einer mutwilligen Zensur mindert (leider wird es immer Benutzer geben, die nicht bereit sind, dies zu verstehen).
Die restlichen 15% können Anbieter erreichen, die nicht auf der schwarzen Liste stehen, aber sie werden sich wahrscheinlich nicht darum kümmern. Google Drive und Co unterliegen stark positiven Netzwerkeffekten (der wirtschaftlichen Art, nicht der technischen Art). Jeder nutzt die gleichen 2-3 Dienste, so dass sie überall eingebaut werden. Benutzer erstellen bequeme, optimierte Workflows, die diese Dienste enthalten. Wenn der alternative Cloud-Anbieter nicht in einen solchen Workflow integriert werden kann, haben die Benutzer keinen Anreiz, ihn zu verwenden. Und ich hoffe, dass Sie eine Unternehmenslösung für die grundlegendste Verwendung einer Cloud haben, z. B. das Speichern von Dateien an einem zentralen Ort, der von einem physischen Standort außerhalb des Campus aus erreichbar ist (mit VPN, wenn Sicherheit erforderlich ist).
Fügen Sie dieser Lösung eine Menge Mess- und Analysefunktionen hinzu. (Dies wird immer benötigt, wenn Benutzer betroffen sind). Entnehmen Sie Datenverkehrsproben, insbesondere, wenn verdächtige Muster vorliegen (Upstream-Datenverkehr in Bursts, die groß genug sind, um Dokumente hochzuladen, die an dieselbe Domain gerichtet sind). Sehen Sie sich die identifizierten verdächtigen Domänen genau an. Wenn Sie feststellen, dass es sich um einen Cloud-Anbieter handelt, finden Sie heraus, warumBenutzer verwenden es, sprechen mit dem Management über die Bereitstellung einer Alternative mit gleicher Benutzerfreundlichkeit und informieren den anstößigen Benutzer über die Alternative. Es wäre großartig, wenn Ihre Unternehmenskultur es Ihnen ermöglicht, gefangene Benutzer sanft umzuerziehen, ohne dass Sie zum ersten Mal Disziplinarmaßnahmen ergreifen. Dann werden sie sich nicht besonders schwer vor Ihnen verstecken müssen, und Sie können leicht Abweichungen erkennen und mit der Situation umgehen auf eine Weise, die das Sicherheitsrisiko verringert, dem Benutzer jedoch ermöglicht, seine Arbeit effizient zu erledigen.
Ein vernünftiger Manager ** wird verstehen, dass diese schwarze Liste zu Produktivitätsverlusten führen wird. Die Benutzer hatten einen Grund, die öffentliche Cloud zu nutzen - sie sind motiviert, produktiv zu sein, und der bequeme Workflow steigerte ihre Produktivität (einschließlich der Menge an unbezahlten Überstunden, zu denen sie bereit sind). Es ist Aufgabe eines Managers, den Kompromiss zwischen Produktivitätsverlust und Sicherheitsrisiken zu bewerten und Ihnen mitzuteilen, ob er bereit ist, die Situation unverändert zu lassen, die schwarze Liste umzusetzen oder geheimdienstwürdige Maßnahmen zu ergreifen sehr unpraktisch und bieten immer noch keine 100% ige Sicherheit).
[*] Ich weiß, dass Menschen, deren Job die Sicherheit ist, zuerst an kriminelle Absichten denken. Tatsächlich ist ein entschlossener Krimineller viel schwerer aufzuhalten und kann viel schlimmer Schaden anrichten als ein nicht böswilliger Benutzer. In Wirklichkeit gibt es jedoch nur wenige Organisationen, die infiltriert werden. Die meisten Sicherheitsprobleme hängen mit der Dummheit wohlmeinender Benutzer zusammen, die die Konsequenzen ihrer Handlungen nicht erkennen. Und weil es so viele von ihnen gibt, sollte die Bedrohung, die sie darstellen, genauso ernst genommen werden wie der gefährlichere, aber viel seltenere Spion.
[**] Ich bin mir bewusst, dass, wenn Ihre Chefs diese Forderung bereits gestellt haben, die Wahrscheinlichkeit besteht, dass sie nicht der vernünftige Typ sind. Wenn sie vernünftig, aber falsch sind, ist das großartig. Wenn sie unvernünftig und hartnäckig sind, ist dies unglücklich, aber Sie müssen einen Weg finden, mit ihnen zu verhandeln. Solch eine Teillösung anzubieten, auch wenn man sie nicht dazu bringen kann, sie zu akzeptieren, kann ein guter strategischer Schachzug sein - richtig präsentiert, zeigt es ihnen, dass Sie "auf ihrer Seite" sind, ihre Bedenken ernst nehmen und bereit sind zu suchen nach Alternativen zu technisch nicht umsetzbaren Anforderungen.
quelle
Ihr Management bittet Sie, die Büchse der Pandora zu schließen.
Grundsätzlich können Sie das Hochladen von Dokumentation für alle bekannten möglichen Mechanismen verhindern, Sie können jedoch nicht verhindern, dass Zero-Day-Exploits (oder das Ihnen entsprechende) verwendet werden.
Allerdings kann eine authentifizierende Firewall zur Identifizierung des Benutzers und der Workstation implementiert werden, um den Zugriff mit der von Ihnen gewünschten ACL einzuschränken. Sie können einen Reputationsservice einbinden, wie in einigen anderen Antworten beschrieben, um die Verwaltung des Prozesses zu erleichtern.
Die eigentliche Frage ist, ob es um Sicherheit oder um Kontrolle geht . Wenn es das erste ist, müssen Sie die Kostenschwelle verstehen, die Ihre Manager zu zahlen bereit sind. Wenn es das zweite ist, wird wahrscheinlich ein großes sichtbares Theater ausreichen, um sie von Ihrer Leistung zu überzeugen, mit kleinen Ausnahmen.
quelle
Sie benötigen ein Inhaltsfiltergerät oder einen Dienst wie BlueCoat Secure Web Gateway oder eine Firewall mit Inhaltsfilterung wie eine Palo Alto-Firewall. Produkte wie dieses verfügen über umfassende Kategoriefilter, die Online-Speicher umfassen.
BlueCoat bietet sogar einen Cloud-basierten Dienst, bei dem Sie die Benutzer Ihres Laptops dazu zwingen können, eine Verbindung über einen Proxy-Dienst herzustellen, der lokal auf ihrem Computer ausgeführt wird, aber die Regeln für die Inhaltsfilterung von einer zentralen Quelle bezieht.
quelle
Erstellen Sie eine Liste von Sites, auf die die Benutzer nicht zugreifen können.
Pro: Bestimmten Dienst blockieren.
Nachteile: Eine große Liste, manchmal kann es die Leistung der Firewall des Systems beeinträchtigen (normalerweise!). Manchmal könnte es umgangen werden.
Anstatt sich auf eine große Liste von Websites mit schwarzer Liste zu stützen, verwenden einige Unternehmen eine Whitelist, auf die Benutzer nur auf Websites mit weißer Liste zugreifen können.
Pro: einfach zu handhaben.
Nachteile: Es schadet der Produktivität.
Einige Firewalls erlauben es, die Größe der gesendeten Informationen zu blockieren, was das Senden einiger Dateien unmöglich macht.
Pro: Einfach zu verwalten.
Nachteile: Einige Benutzer könnten dies umgehen, indem sie Dateien in kleinen Blöcken senden. Einige Websites könnten beschädigt werden, z. B. senden einige Winforms-Websites von Java und Visual Studio regelmäßig viele Informationen.
Pro: einfach zu konfigurieren.
Nachteile: Es könnte aktuelle Systeme beschädigen.
Nach meiner Erfahrung habe ich für eine Bank gearbeitet. Die Administratoren blockierten den Zugriff auf den USB-Treiber und einige eingeschränkte Sites (Blacklist). Ich habe jedoch eine PHP-Datei in einem kostenlosen Webhosting erstellt und kann meine Dateien problemlos hochladen (über eine reguläre Website). Dafür habe ich 5 Minuten gebraucht.
Ich stimme einigen Kommentaren zu, es ist einfach und effektiver, Regeln für die Personalabteilung anzuwenden.
quelle