Bloquear o acesso dos funcionários à nuvem pública

Antes de tudo, deixe-me afirmar que essa não é minha idéia e não quero discutir se tal ação é razoável.

No entanto, para uma empresa, existe uma maneira de impedir que os funcionários acessem serviços de nuvem pública? Em particular, eles não devem poder fazer upload de arquivos para qualquer lugar da Web.

O bloqueio do HTTPS pode ser a primeira solução simples, mas muito radical. Usar uma lista negra de endereços IP também não seria suficiente. Provavelmente, é necessário algum tipo de software para filtrar o tráfego em um nível de conteúdo. Um proxy pode ser útil para poder filtrar o tráfego HTTPS.

Teses são meus pensamentos até agora. O que você acha? Alguma ideia?

Você basicamente tem três opções aqui.

1. Desconecte seu escritório / usuários da Internet

• Se eles não conseguem acessar a "nuvem pública", não podem fazer upload de nada para ela.
  
  

2. Compile uma lista negra de serviços específicos que você está preocupado com o acesso dos usuários.

• Isso será absolutamente enorme se for para ser remotamente eficaz.
  • Usuários experientes em tecnologia sempre poderão encontrar uma maneira de contornar isso - eu posso conectar ao meu computador de qualquer lugar do mundo com uma conexão à Internet, então ... boa sorte me bloqueando, por exemplo.
    
    

3. Faça algo mais razoável / reconheça os limites da tecnologia.

• Essa não é sua idéia, mas geralmente, se você fornecer à gerência as armadilhas e as despesas da implementação de uma solução como essa, elas estarão mais abertas a abordagens melhores.

  • Às vezes, isso é uma questão de conformidade, ou "apenas para aparências", e eles ficam felizes em bloquear os serviços mais populares
  • Às vezes, eles realmente não entendem o quão insano o pedido deles é e precisam que você diga a eles em termos que eles possam entender.
    • Teve um cliente uma vez, quando eu trabalhava para um fornecedor de segurança de computadores, que queria que nós fornecêssemos uma maneira de impedir que os funcionários vazassem informações confidenciais com nosso agente de antivírus. Peguei meu smartphone, tirei uma foto da minha tela e perguntei como ele poderia impedir isso, ou mesmo anotando as informações em um pedaço de papel.
    • Use as notícias e os eventos recentes em sua explicação - se o Exército não conseguiu parar de Manning e a NSA não conseguiu impedir Snowden, o que faz você pensar que podemos fazê-lo e quanto dinheiro você acha que vai tentar custar?

Obviamente, não há como bloqueá-lo completamente, a menos que a rede corporativa seja desconectada da Internet.

Se você realmente quer algo que deve funcionar a maior parte do tempo, enquanto sendo principalmente transparente, você vai precisar para pacotes deep-farejar . Configure um proxy SSL / TLS man-in-the-middle, bem como um para comunicação não criptografada, e bloqueie todo o tráfego que não passa por um deles.

• Bloquear solicitações HTTP PUT
• Bloqueie todas as solicitações HTTP POST em que o tipo de conteúdo não é application / x-www-form-urlencoded ou multipart / form-data
• Para solicitações HTTP POST do tipo multipart / form-data, retire os campos com uma disposição de conteúdo de "arquivo" (mas deixe outros campos passarem).
• Bloquear tráfego FTP, BitTorrent e SMTP
• Bloqueie todo o tráfego para os principais serviços de Webmail e para os principais sites de armazenamento de arquivos públicos.

Como você pode ver, este é um empreendimento massivo e doloroso. Também está longe de ser invulnerável : estou pensando em várias soluções alternativas enquanto escrevo isso, algumas das quais não podem ser tratadas sem interromper fundamentalmente as conexões da Web de seus usuários, e provavelmente haverá comentários mostrando muito mais que eu não fiz Imagine. Mas deve permitir a maior parte do tráfego, enquanto filtra as maneiras mais fáceis de eliminar o upload de arquivos.

A linha inferior é que isso é mais problema do que vale a pena.

A melhor resposta seria entrar em uma espécie de negociação com seus chefes: descobrir o que eles realmente querem (provavelmente proteção de segredos comerciais ou prevenção de responsabilidade) e apontar por que essas medidas tecnológicas impraticáveis ​​não lhes darão o que querem. Depois, você pode encontrar soluções para seus problemas que não envolvam medidas tecnológicas impraticáveis.

Não se preocupe com a ideologia nessas discussões: tudo o que você precisa fazer é se concentrar no que vai funcionar e no que não vai . Você encontrará todos os argumentos de que precisa e, embora isso sem dúvida frustre você e seus chefes, evita passar julgamentos de valor contra eles (o que pode ser merecido, mas só fará com que as conversas sejam interrompidas e isso é ruim) )

O que o HopelessN00b disse. Eu só queria acrescentar que:

Eu tenho uma amiga que trabalha em uma agência do governo onde ela não pode levar um telefone celular com uma câmera para o escritório. Ela costuma dizer isso como: "Não tenho permissão para possuir um celular com uma câmera", porque, bem. Se ela não pode levar seu celular com ela, por que possuir um? Ela tem dificuldade em encontrar telefones celulares que não têm câmeras.

Eu trabalhei para outros lugares do tipo de alta segurança que "resolveriam" esse problema via fascismo administrativo :

• Uma política oficial de que acessar seu e-mail pessoal a partir da estação de trabalho é uma ofensa.
• Uma política oficial de que acessar um serviço de nuvem da sua estação de trabalho é uma ofensa.
• Uma política oficial de que conectar um pen drive, ipod ou telefone celular em uma estação de trabalho é uma ofensa.
• Uma política oficial de que acessar as mídias sociais a partir da estação de trabalho é uma ofensa.
• Uma política oficial de que a instalação de software não autorizado em sua estação de trabalho é uma ofensa.
• Uma política oficial de que acessar o banco on-line pessoal a partir da estação de trabalho é uma ofensa.
• Um firewall / proxy corporativo épico que tem muitos / a maioria desses sites bloqueados. Qualquer tentativa de acessar o facebook.com, por exemplo, exibe uma tela cheia de "Este site bloqueado pelo ETRM". Ocasionalmente, eles bloquearam coisas como o Stack Overflow como "hacking" também.
• Algumas "ofensas" merecem um email enviado para toda a equipe, informando que você acessou um site não autorizado (em vez de disparar ... desta vez). ("Katherine Villyard acessou http://icanhas.cheezburger.com/ às 15:21!")
• Forçar todas as novas contratações a fazerem a aula de "política de segurança" explicando essas regras e forçar as pessoas a fazer cursos regulares de atualização sobre essas regras. E então faça e faça um teste neles.

Locais que dependem do fascismo administrativo geralmente fazem apenas tentativas superficiais de fazer backup dessas regras por meios técnicos, na minha experiência. Por exemplo, eles dizem que o demitirão se você conectar um pen drive, mas eles não desativam o USB. Eles bloqueiam o Facebook via http, mas não via https. E, como HopelessN00b apontou, os usuários mais experientes sabem e zombam disso.

Na verdade, existe uma solução simples, desde que você também não espere que sua rede interna seja exposta à Internet ao mesmo tempo.

Seus PCs simplesmente precisam ser completamente impedidos de acessar a Internet. Todas as portas USB estão bloqueadas, etc.

Para acessar a Internet, as pessoas precisam usar um computador diferente - conectado a uma rede diferente - ou conectar-se via RDP a um Terminal Server que tenha acesso à Internet. Você desativa a área de transferência pelo RDP e nenhum compartilhamento de janelas. Dessa forma, os usuários não podem copiar arquivos para os Internet Terminal Servers e, portanto, não podem enviar arquivos.

Isso deixa o e-mail ... essa é a sua maior brecha, se você permitir o e-mail nos PCs internos.

Você conhece aquela velha piada de que, se você e um halfling são perseguidos por um dragão raivoso, não precisam correr mais rápido que o dragão, só precisam ser mais rápidos que o halfling? Supondo que usuários não maliciosos *, você não precise restringir o acesso deles à nuvem pública, é suficiente para tornar a usabilidade da nuvem pública menor que a usabilidade de qualquer solução corporativa que você possua para acesso a dados não vinculados à mesa . Implementado adequadamente, isso reduzirá o risco de vazamentos não maliciosos bruscamente e é possível com uma fração do custo.

Na maioria dos casos, uma lista negra simples deve ser suficiente. Coloque o Google drive, o Dropbox e a nuvem da Apple nele. Também bloqueia o tráfego para o Amazon AWS - a maioria dessas empresas iniciantes que constroem outro serviço em nuvem não constroem seu próprio data center. Você acabou de reduzir o número de funcionários que sabem como entrar na nuvem pública de 90% para 15% (números muito aproximados, diferem por setor). Use uma mensagem de erro adequada para explicar por que as nuvens públicas são proibidas, o que reduzirá a impressão de censura arbitrária (infelizmente, sempre haverá usuários que não estão dispostos a entender).

Os 15% restantes ainda podem alcançar fornecedores que não estão na lista negra, mas provavelmente não se incomodarão em fazê-lo. O Google drive e co estão sujeitos a fortes efeitos positivos na rede (do tipo econômico, não do tipo técnico). Todo mundo usa os mesmos 2 a 3 serviços, para que eles sejam incorporados em qualquer lugar. Os usuários criam fluxos de trabalho convenientes e simplificados, que incluem esses serviços. Se o provedor de nuvem alternativo não puder ser integrado a esse fluxo de trabalho, os usuários não terão incentivo para usá-lo. E espero que você tenha uma solução corporativa para o uso mais básico de uma nuvem, como armazenamento de arquivos em um local central, acessível a partir de um local físico fora do campus (com VPN, se a segurança for necessária).

Adicione a esta solução uma grande quantidade de medidas e análises. (Isso sempre é necessário no que diz respeito aos usuários). Colete amostras de tráfego, especialmente se exibir padrões suspeitos (tráfego upstream em rajadas grandes o suficiente para fazer upload de documentos, direcionados para o mesmo domínio). Dê uma olhada humana nos domínios suspeitos identificados e, se você achar que é um provedor de nuvem, descubra por queos usuários estão usando, converse com a gerência sobre como fornecer uma alternativa com usabilidade igual, instrua o usuário ofensor sobre a alternativa. Seria ótimo se sua cultura corporativa permitir que você reeducue gentilmente os usuários capturados sem implementar medidas disciplinares pela primeira vez - eles não tentarão se esconder de você com muita força e poderá captar facilmente desvios e lidar com a situação. de uma maneira que reduz o risco à segurança, mas ainda permite que o usuário faça seu trabalho com eficiência.

Um gerente razoável ** entenderá que essa lista negra levará a perdas de produtividade. Os usuários tinham um motivo para usar a nuvem pública - eles são incentivados a serem produtivos e o fluxo de trabalho conveniente aumentou sua produtividade (incluindo a quantidade de horas extras não remuneradas que estão dispostas a fazer). É tarefa de um gerente avaliar a troca entre perda de produtividade e riscos à segurança e informar se eles estão dispostos a deixar a situação como está, a implementar a lista negra ou a adotar medidas dignas de serviços secretos (que são severamente inconveniente e ainda não fornece 100% de segurança).

[*] Eu sei que as pessoas cujo trabalho é segurança pensam primeiro em intenção criminosa. E, de fato, um criminoso determinado é muito mais difícil de parar e pode causar danos muito piores do que um usuário não malicioso. Mas, na realidade, existem poucas organizações que se infiltram. A maioria dos problemas de segurança está relacionada à bobagem de usuários bem-intencionados que não percebem as consequências de suas ações. E como existem muitos deles, a ameaça que eles representam deve ser levada tão a sério quanto o espião mais perigoso, mas muito mais raro.

[**] Estou ciente de que, se seus chefes já fizeram essa demanda, é provável que eles não sejam do tipo razoável. Se eles são razoáveis, mas apenas mal orientados, isso é ótimo. Se eles são irracionais e teimosos, isso é lamentável, mas você deve encontrar uma maneira de negociar com eles. Oferecer uma solução parcial, mesmo que você não consiga aceitá-la, pode ser uma boa jogada estratégica - apresentada corretamente, mostra que você está "do lado deles", leva as preocupações a sério e está preparado para pesquisar para alternativas a requisitos tecnicamente inviáveis.

Sua gerência está pedindo que você feche a caixa de Pandora.

Embora você possa, em princípio, impedir o upload de qualquer documentação para todos os mecanismos possíveis conhecidos, não será possível impedir que explorações de dia zero (ou o equivalente a você) sejam usadas.

Dito isto, um firewall de autenticação para identificar o usuário e a estação de trabalho pode ser implementado para restringir o acesso à ACL que você deseja. Você pode incorporar um serviço de reputação conforme descrito em algumas das outras respostas para ajudar no gerenciamento do processo.

A verdadeira questão é perguntar se isso é sobre segurança ou se é sobre controle ? Se for o primeiro, você precisará entender o limite de custo que seus gerentes estão preparados para pagar. Se for o segundo, provavelmente um grande teatro visível será suficiente para convencê-lo de que você entregou, com pequenas exceções.

Você precisa de um dispositivo ou serviço de filtragem de conteúdo, como o BlueCoat Secure Web Gateway, ou um firewall com filtragem de conteúdo, como um firewall Palo Alto. Produtos como esse têm filtros de categoria amplos que incluem armazenamento online.

A BlueCoat oferece até serviço baseado em nuvem, onde você pode forçar os usuários do laptop a se conectarem por meio de um serviço proxy que é executado localmente no computador, mas utiliza regras de filtragem de conteúdo de uma fonte central.

• Lista negra

Crie uma lista de sites que os usuários não podem acessar.

Pro: Bloqueie serviço específico.

Contras: Uma grande lista, às vezes pode prejudicar o desempenho do firewall do sistema (geralmente o faz!). Às vezes, isso pode ser ignorado.

• WhiteList

Em vez de depender de uma grande lista de sites na lista negra, algumas empresas usam uma lista de permissões, na qual os usuários podem acessar apenas sites da lista de permissões.

Pro: fácil de gerenciar.

Contras: isso prejudica a produtividade.

• Bloqueie o tamanho do envio de informações (POST / GET).

Alguns firewalls permitem bloquear o tamanho das informações enviadas, impossibilitando o envio de alguns arquivos.

Pro: Fácil de gerenciar.

Contras: alguns usuários podem ignorá-lo enviando arquivos em pequenos pedaços. Isso pode quebrar alguns sites, por exemplo, alguns sites de formas de win do Java e do Visual Studio enviam muitas informações regularmente.

• Bloquear conexões não HTTP.

Pro: fácil de configurar.

Contras: poderia quebrar os sistemas atuais.

Na minha experiência, eu trabalhei para um banco. Os administradores bloquearam o acesso ao driver usb e acessaram alguns sites restritos (lista negra). No entanto, eu criei um arquivo php em um webhosting gratuito e posso carregar meus arquivos sem nenhum problema (usando um site comum). Levei 5 minutos para fazer isso.

Concordo com alguns comentários, é fácil e mais eficaz usar regras de recursos humanos.