Bloquee el acceso de los empleados a la nube pública

Antes que nada, permítanme decir que esta no es mi idea y no quiero discutir si tal acción es razonable.

Sin embargo, para una empresa, ¿hay alguna manera de evitar que los empleados accedan a los servicios de nube pública? En particular, no deberían poder subir archivos a ningún lugar de la web.

Bloquear HTTPS podría ser una primera solución simple pero muy radical. Usar una lista negra de direcciones IP tampoco sería suficiente. Probablemente, se necesita algún tipo de software para filtrar el tráfico en un nivel de contenido. Un proxy puede ser útil para poder filtrar el tráfico HTTPS.

Las tesis son mis pensamientos hasta ahora. ¿Qué piensas? ¿Algunas ideas?

Básicamente tienes tres opciones aquí.

1. Desconecte su oficina / usuarios de internet

• Si no pueden llegar a "la nube pública", no pueden cargar nada en ella.
  
  

2. Compile una lista negra de servicios específicos a los que le preocupa que los usuarios accedan.

• Esto será absolutamente masivo si pretende ser incluso remotamente efectivo.
  • Los usuarios expertos en tecnología siempre podrán encontrar una forma de evitarlo: puedo conectarme a mi computadora desde cualquier parte del mundo con una conexión a Internet, así que ... buena suerte bloqueándome, por ejemplo.
    
    

3. Hacer algo más razonable / reconocer los límites de la tecnología.

• Esta no es su idea, pero, en general, si proporciona a la administración las dificultades y los gastos de implementar una solución como esta, estarán más abiertos a mejores enfoques.

  • A veces esto es una cuestión de cumplimiento, o "solo por apariencias", y están contentos con solo bloquear los servicios más populares
  • A veces, realmente no entienden cuán loca es su solicitud, y necesitan que les diga en términos que puedan entender.
    • Tuve un cliente una vez, cuando trabajaba para un proveedor de seguridad informática, que quería que proporcionáramos una forma de evitar que los empleados filtren información confidencial con nuestro agente AV. Saqué mi teléfono inteligente, tomé una foto de mi pantalla y le pregunté cómo podría evitar eso, o incluso escribir la información en una hoja de papel.
    • Use las noticias y los eventos recientes en su explicación: si el Ejército no pudo detener a Manning y la NSA no pudo detener a Snowden, ¿qué le hace pensar que podemos hacerlo y cuánto dinero cree que incluso intentarlo costará?

No hay forma de bloquearlo por completo, por supuesto, a menos que la red corporativa se desconecte de Internet.

Si realmente desea algo que debería funcionar la mayor parte del tiempo y ser en su mayoría transparente, necesitará olfatear los paquetes . Configure un proxy SSL / TLS man-in-the-middle, así como uno para la comunicación sin cifrar, y bloquee todo el tráfico que no pase por uno de estos.

• Bloquear solicitudes HTTP PUT
• Bloquee todas las solicitudes HTTP POST donde el tipo de contenido no sea application / x-www-form-urlencoded o multipart / form-data
• Para solicitudes HTTP POST de tipo multipart / form-data, elimine los campos con una disposición de contenido de "archivo" (pero deje pasar otros campos).
• Bloquear tráfico FTP, BitTorrent y SMTP
• Bloquee todo el tráfico a los principales servicios de correo web y a los principales sitios públicos de almacenamiento de archivos.

Como puede ver, esta es una empresa masiva y dolorosa. También está lejos de ser invulnerable : estoy pensando en varias soluciones, incluso mientras escribo esto, algunas de las cuales no se pueden manejar sin romper fundamentalmente las conexiones web de sus usuarios, y probablemente habrá comentarios que muestren muchas más que no hice. pensar en. Pero debería dejar pasar la mayor parte del tráfico, mientras filtra las formas más fáciles de eliminar la carga de archivos.

La conclusión es que esto es más problema de lo que vale.

La mejor respuesta sería entablar una especie de negociación con sus jefes: averiguar lo que realmente quieren (probablemente protección de secretos comerciales o prevención de responsabilidad), y señalar por qué estas medidas tecnológicas inviables no les darán lo que quieren. Luego, puede encontrar soluciones a sus problemas que no impliquen medidas tecnológicas inviables.

No se preocupe por la ideología en estas discusiones: todo lo que tiene que hacer es centrarse en lo que funcionará y lo que no . Encontrará todos los argumentos que necesita allí, y si bien esto sin duda los frustrará a usted y a sus jefes, evita emitir juicios de valor en contra de ellos (lo cual podría ser merecido, pero solo provocará que las conversaciones se rompan, y eso es malo )

Lo que dijo HopelessN00b. Solo quería agregar eso:

Tengo una amiga con un trabajo en una agencia gubernamental donde no se le permite traer un teléfono celular con una cámara a la oficina. Suele decir que "no se me permite tener un teléfono celular con cámara" porque, bueno. Si no puede llevarse su celular con ella, ¿por qué tener uno? Tiene problemas para encontrar teléfonos celulares que no tengan cámaras.

He trabajado para otros lugares de alta seguridad que "resolverían" este problema a través del fascismo administrativo :

• Una política oficial de que acceder a su correo electrónico personal desde su estación de trabajo es un delito de despido.
• Una política oficial de que acceder a un servicio en la nube desde su estación de trabajo es un delito de despido.
• Una política oficial de que enchufar una memoria USB, un iPod o un teléfono celular en una estación de trabajo es un delito.
• Una política oficial de que acceder a las redes sociales desde su estación de trabajo es un delito de despido.
• Una política oficial de que la instalación de software no autorizado en su estación de trabajo es un delito de despido.
• Una política oficial de que acceder a su banca personal en línea desde su estación de trabajo es un delito de despido.
• Un firewall / proxy corporativo épico que tiene muchos / la mayoría de esos sitios bloqueados. Cualquier intento de acceder a facebook.com, por ejemplo, genera una pantalla de "Este sitio bloqueado por ETRM". Ocasionalmente bloquearon cosas como Stack Overflow como "pirateo" también.
• Algunas "ofensas" merecen un correo electrónico enviado a todo su equipo indicando que accedió a un sitio no autorizado (en lugar de disparar ... esta vez). ("¡Katherine Villyard accedió a http://icanhas.cheezburger.com/ a las 3:21 pm!")
• Obligar a todos los nuevos empleados a tomar una clase de "política de seguridad" que explique estas reglas, y obligar a las personas a tomar cursos de actualización regulares sobre estas reglas. Y luego tomar y pasar un cuestionario sobre ellos.

Los lugares que dependen del fascismo administrativo generalmente solo hacen intentos superficiales de respaldar estas reglas a través de medios técnicos, en mi experiencia. Por ejemplo, dicen que te despedirán si conectas una memoria USB, pero no desactivan el USB. Bloquean Facebook a través de http pero no a través de https. Y, como señaló HopelessN00b, los usuarios inteligentes lo saben y se burlan de esto.

En realidad, existe una solución simple siempre que no espere que su red interna esté expuesta a Internet al mismo tiempo.

Sus PC simplemente necesitan estar completamente bloqueadas para acceder a Internet. Todos los puertos USB bloqueados, etc.

Para conectarse a Internet, las personas deben usar una computadora diferente, conectada a una red diferente, o conectarse a través de RDP a un Terminal Server que tenga acceso a Internet. Deshabilita el portapapeles sobre RDP y no comparte Windows. De esa manera, los usuarios no pueden copiar archivos en los servidores de terminales de Internet y, por lo tanto, no pueden enviar archivos.

Eso deja el correo electrónico ... esa es su mayor laguna en esto si permite el correo electrónico en las PC internas.

¿Sabes ese viejo chiste de que, si tú y un halfling son perseguidos por un dragón enojado, no tienes que correr más rápido que el dragón, solo tienes que ser más rápido que el halfling? Suponiendo que los usuarios no maliciosos *, no tiene que restringir su acceso a la nube pública, es suficiente para que la usabilidad de la nube pública sea menor que la usabilidad de cualquier solución empresarial que tenga para el acceso a datos sin escritorio . Implementado adecuadamente, esto reducirá el riesgo de fugas no maliciosas y se puede hacer con una fracción del costo.

En la mayoría de los casos, una simple lista negra debería ser suficiente. Ponga Google Drive, Dropbox y la nube de Apple en él. También bloquee el tráfico a Amazon AWS: la mayoría de estas startups calientes que crean otro servicio en la nube no construyen su propio centro de datos. Acaba de reducir el número de empleados que saben cómo ingresar a la nube pública del 90% al 15% (los números muy aproximados variarán según la industria). Utilice un mensaje de error adecuado para explicar por qué las nubes públicas están prohibidas, lo que reducirá su impresión de censura sin sentido (lamentablemente, siempre habrá usuarios que no estén dispuestos a entender).

El 15% restante aún puede llegar a proveedores que no están en la lista negra, pero probablemente no se molestarán en hacerlo. Google Drive y compañía están sujetos a fuertes efectos de red positivos (del tipo económico, no del tipo técnico) Todos usan los mismos servicios 2-3, por lo que están integrados en todas partes. Los usuarios crean flujos de trabajo convenientes y optimizados que incluyen estos servicios. Si el proveedor alternativo de la nube no puede integrarse en dicho flujo de trabajo, los usuarios no tienen ningún incentivo para usarlo. Y espero que tenga una solución corporativa para el uso más básico de una nube, como el almacenamiento de archivos en un lugar central, accesible desde una ubicación física fuera del campus (con VPN si se necesita seguridad).

Agregue a esta solución una buena cantidad de mediciones y análisis. (Esto siempre es necesario cuando se trata de usuarios). Tome muestras de tráfico, especialmente si exhibe patrones sospechosos (tráfico ascendente en ráfagas lo suficientemente grandes como para cargar documentos, dirigido al mismo dominio). Eche un vistazo humano a los dominios sospechosos identificados, y si descubre que es un proveedor de la nube, descubra por quélos usuarios lo usan, hablan con la gerencia sobre proporcionar una alternativa con igual usabilidad, educan al usuario infractor sobre la alternativa. Sería genial si su cultura corporativa le permite reeducar suavemente a los usuarios capturados sin implementar medidas disciplinarias las primeras veces, entonces no tratarán de esconderse de usted especialmente, y podrá detectar fácilmente las desviaciones y lidiar con la situación de una manera que reduce el riesgo de seguridad pero aún permite al usuario hacer su trabajo de manera eficiente.

Un gerente razonable ** comprenderá que esta lista negra conducirá a pérdidas de productividad. Los usuarios tenían una razón para usar la nube pública: se les incentivaba a ser productivos y el flujo de trabajo conveniente aumentaba su productividad (incluida la cantidad de horas extra no pagadas que estaban dispuestos a hacer). Es el trabajo de un gerente evaluar la compensación entre la pérdida de productividad y los riesgos de seguridad y decirle si están dispuestos a dejar la situación tal como está, implementar la lista negra o tomar medidas dignas de servicio secreto (que son gravemente inconveniente y aún no proporcionan el 100% de seguridad).

[*] Sé que las personas cuyo trabajo es la seguridad piensan primero en la intención criminal. Y, de hecho, un criminal determinado es mucho más difícil de detener y puede infligir daños mucho peores que un usuario no malicioso. Pero en realidad, hay pocas organizaciones que se infiltran. La mayoría de los problemas de seguridad están relacionados con la tontería de los usuarios bien intencionados que no se dan cuenta de las consecuencias de sus acciones. Y debido a que hay tantos de ellos, la amenaza que representan debe tomarse tan en serio como el espía más peligroso, pero mucho más raro.

[**] Soy consciente de que, si sus jefes ya hicieron esa demanda, es probable que no sean del tipo razonable. Si son razonables pero están equivocados, es genial. Si no son razonables y tercos, esto es lamentable, pero debe encontrar una manera de negociar con ellos. Ofrecer una solución tan parcial, incluso si no puede lograr que lo acepten, puede ser un buen movimiento estratégico: presentado correctamente, les muestra que está "de su lado", toma sus preocupaciones en serio y está preparado para buscar para alternativas a requisitos técnicamente inviables.

Su gerencia le está pidiendo que cierre la caja de Pandora.

Si bien, en principio, puede evitar la carga de cualquier documentación para todos los mecanismos posibles conocidos, no podrá evitar que se utilicen exploits de día cero (o el equivalente para usted).

Dicho esto, se puede implementar un firewall de autenticación para identificar tanto al usuario como a la estación de trabajo, para restringir el acceso con ACL que desee. Puede incorporar un servicio de reputación como se describe en algunas de las otras respuestas para ayudarlo a administrar el proceso.

La verdadera pregunta es preguntar si se trata de seguridad o de control . Si es el primero, debe comprender el umbral de costo que sus gerentes están dispuestos a pagar. Si es el segundo, entonces probablemente un gran teatro visible será suficiente para convencerlos de que ha entregado, con pequeñas excepciones.

Necesita un dispositivo o servicio de filtrado de contenido, como BlueCoat Secure Web Gateway, o un firewall con filtrado de contenido, como un firewall de Palo Alto. Productos como este tienen filtros de categoría amplia que incluyen almacenamiento en línea.

BlueCoat incluso ofrece un servicio basado en la nube donde puede obligar a los usuarios de su computadora portátil a conectarse a través de un servicio proxy que se ejecuta localmente en su computadora, pero toma las reglas de filtrado de contenido de una fuente central.

• Lista negra

Cree una lista de sitios a los que los usuarios no puedan acceder.

Pro: servicio específico de bloque.

Contras: una gran lista, a veces podría dañar el rendimiento del firewall del sistema (¡generalmente lo hace!). A veces puede pasarse por alto.

• WhiteList

En lugar de depender de una gran lista de sitios en la lista negra, algunas compañías usan una lista blanca donde los usuarios solo pueden acceder a los sitios incluidos en la lista blanca.

Pro: fácil de administrar.

Contras: perjudica la productividad.

• Bloquee el tamaño del envío de información (POST / GET).

Algunos cortafuegos permiten bloquear el tamaño del envío de información, lo que hace imposible enviar algunos archivos.

Pro: fácil de administrar.

Contras: algunos usuarios pueden evitarlo enviando archivos en pequeños fragmentos. Podría romper algunos sitios web, por ejemplo, algunos sitios winforms de Java y Visual Studio envían mucha información regularmente.

• Bloquear conexiones no HTTP.

Pro: fácil de configurar.

Contras: podría romper los sistemas actuales.

En mi experiencia, trabajé para un banco. Los administradores bloquearon el acceso a la unidad usb y a algunos sitios restringidos (lista negra). Sin embargo, creé un archivo php en un alojamiento web gratuito y puedo cargar mis archivos sin ningún problema (usando un sitio web normal). Me tomó 5 minutos hacer eso.

Estoy de acuerdo con algunos comentarios, es fácil y más efectivo usar reglas de recursos humanos.