Pertama-tama, izinkan saya menyatakan bahwa ini bukan ide saya dan saya tidak ingin membahas apakah tindakan seperti itu masuk akal.
Namun, bagi perusahaan, adakah cara untuk mencegah karyawan mengakses layanan cloud publik? Secara khusus, mereka seharusnya tidak dapat mengunggah file ke sembarang tempat di web.
Memblokir HTTPS mungkin merupakan solusi pertama, sederhana, tetapi sangat radikal. Menggunakan daftar hitam alamat IP juga tidak cukup. Mungkin, beberapa jenis perangkat lunak diperlukan untuk menyaring lalu lintas pada tingkat konten. Proxy mungkin membantu, untuk dapat menyaring lalu lintas HTTPS.
Tesis adalah pemikiran saya sejauh ini. Apa yang kamu pikirkan? Ada ide?
Jawaban:
Anda pada dasarnya memiliki tiga opsi di sini.
1. Putuskan koneksi kantor / pengguna Anda dari internet
2. Kompilasi daftar hitam layanan khusus yang Anda khawatirkan diakses pengguna.
3. Melakukan sesuatu yang lebih masuk akal / mengenali batasan teknologi.
Ini bukan ide Anda, tetapi secara umum, jika Anda memberikan manajemen jebakan dan biaya untuk mengimplementasikan solusi seperti ini, mereka akan lebih terbuka terhadap pendekatan yang lebih baik.
sumber
Tidak ada cara untuk memblokirnya sepenuhnya, tentu saja, kecuali jika jaringan perusahaan terputus dari Internet.
Jika Anda benar - benar menginginkan sesuatu yang seharusnya bekerja sebagian besar sementara sebagian besar transparan, Anda perlu mengendus paket . Siapkan proxy SSL / TLS man-in-the-middle, serta satu untuk komunikasi yang tidak dienkripsi, dan blok semua lalu lintas yang tidak melalui salah satu dari ini.
Seperti yang Anda lihat, ini adalah pekerjaan besar dan menyakitkan. Ini juga jauh dari kebal : Saya memikirkan beberapa solusi bahkan ketika saya menulis ini, beberapa di antaranya tidak dapat ditangani tanpa secara mendasar memutus koneksi Web pengguna Anda, dan mungkin akan ada komentar yang menunjukkan lebih banyak lagi yang tidak saya lakukan. pikirkan. Tapi itu harus membiarkan sebagian besar lalu lintas lewat, sambil menyaring cara termudah untuk menghilangkan unggahan file.
Intinya adalah bahwa ini lebih banyak masalah daripada nilainya.
Jawaban terbaik adalah dengan mengadakan negosiasi dengan bos Anda: cari tahu apa yang sebenarnya mereka inginkan (kemungkinan perlindungan rahasia dagang atau pencegahan kewajiban), dan tunjukkan mengapa langkah-langkah teknologi yang tidak bisa dijalankan ini tidak akan memberi mereka apa yang mereka inginkan. Kemudian Anda bisa mencari solusi untuk masalah mereka yang tidak melibatkan langkah-langkah teknologi yang tidak bisa diterapkan.
Jangan khawatir tentang ideologi dalam diskusi ini: yang harus Anda lakukan adalah fokus pada apa yang akan berhasil dan apa yang tidak . Anda akan menemukan semua argumen yang Anda butuhkan di sana, dan sementara ini tidak diragukan lagi akan membuat Anda dan bos Anda frustrasi, itu akan menghindari memberikan penilaian nilai terhadap mereka (yang mungkin layak, tetapi hanya akan menyebabkan pembicaraan gagal, dan itu buruk. ).
sumber
Apa yang dikatakan HopelessN00b. Saya hanya ingin menambahkan itu:
Saya punya teman dengan pekerjaan di kantor pemerintah di mana dia tidak diperbolehkan membawa ponsel dengan kamera ke kantor. Dia biasanya mengatakan bahwa, "Saya tidak diizinkan memiliki ponsel dengan kamera," karena, yah. Jika dia tidak bisa membawa selnya, kenapa punya sendiri? Dia kesulitan menemukan ponsel yang tidak memiliki kamera.
Saya telah bekerja untuk tempat-tempat tipe keamanan tinggi yang akan "memecahkan" masalah ini melalui fasisme administratif :
Tempat-tempat yang mengandalkan Fasisme Administratif umumnya hanya membuat upaya sepintas untuk membuat cadangan aturan ini melalui cara teknis, dalam pengalaman saya. Misalnya, kata mereka akan memecat Anda jika Anda mencolokkan thumb drive, tetapi mereka tidak menonaktifkan USB. Mereka memblokir Facebook melalui http tetapi tidak melalui https. Dan, seperti yang ditunjukkan HopelessN00b, pengguna yang mengerti tahu dan mengejek ini.
sumber
Sebenarnya, ada solusi sederhana asalkan Anda juga tidak mengharapkan jaringan internal Anda terpapar ke Internet pada saat yang sama.
PC Anda hanya perlu diblokir sepenuhnya untuk mengakses Internet. Semua port USB diblokir, dll.
Untuk masuk ke Internet, orang perlu menggunakan komputer lain - yang terhubung ke jaringan lain - atau terhubung melalui RDP ke Terminal Server yang memiliki akses Internet. Anda menonaktifkan clipboard melalui RDP dan tidak ada jendela yang dibagikan. Dengan begitu, pengguna tidak dapat menyalin file ke Server Terminal Internet dan karenanya tidak dapat mengirim file.
Itu meninggalkan email ... itu adalah celah terbesar Anda dalam hal ini jika Anda mengizinkan email pada PC internal.
sumber
Anda tahu lelucon lama itu, jika Anda dan setengahnya dikejar-kejar oleh naga yang marah, Anda tidak harus berlari lebih cepat dari naga itu, Anda hanya harus lebih cepat daripada setengahnya? Dengan asumsi pengguna yang tidak berbahaya *, Anda tidak harus membatasi akses mereka ke cloud publik, itu sudah cukup untuk membuat kegunaan cloud publik lebih rendah daripada kegunaan solusi enterprise apa pun yang Anda miliki untuk akses data non-desk-bound . Diimplementasikan dengan benar, ini akan mengurangi risiko kebocoran tidak berbahaya secara tajam, dan dapat dilakukan dengan sebagian kecil dari biaya.
Dalam kebanyakan kasus, daftar hitam sederhana sudah cukup. Letakkan Google drive, Dropbox dan Apple cloud di atasnya. Juga memblokir lalu lintas ke Amazon AWS - sebagian besar startup baru yang membangun layanan cloud lain tidak membangun pusat data mereka sendiri. Anda baru saja mengurangi jumlah karyawan yang tahu cara masuk ke cloud publik dari 90% menjadi 15% (angka yang sangat kasar, akan berbeda di setiap industri). Gunakan pesan kesalahan yang sesuai untuk menjelaskan mengapa cloud publik dilarang, yang akan mengurangi kesan mereka terhadap sensor sewenang-wenang (sayangnya, selalu ada pengguna yang tidak mau mengerti).
15% sisanya masih dapat menjangkau penyedia yang tidak ada dalam daftar hitam, tetapi mereka mungkin tidak akan repot melakukannya. Google drive and co tunduk pada efek jaringan positif yang kuat (jenis ekonomi, bukan jenis teknis). Semua orang menggunakan layanan 2-3 yang sama, sehingga mereka dibangun di mana-mana. Pengguna membangun alur kerja yang nyaman dan efisien yang mencakup layanan ini. Jika penyedia cloud alternatif tidak dapat diintegrasikan ke dalam alur kerja seperti itu, pengguna tidak memiliki insentif untuk menggunakannya. Dan saya harap Anda memiliki solusi korporat untuk penggunaan cloud yang paling mendasar seperti menyimpan file di tempat sentral, dapat dijangkau dari lokasi fisik di luar kampus (dengan VPN jika keamanan diperlukan).
Tambahkan ke solusi ini banyak pengukuran dan analitik. (Ini selalu diperlukan jika pengguna khawatir). Ambil sampel lalu lintas, terutama jika memperlihatkan pola yang mencurigakan (lalu lintas upstream dalam semburan yang cukup besar untuk diunggah dokumen, diarahkan pada domain yang sama). Coba lihat manusia di domain mencurigakan yang diidentifikasi, dan jika Anda menemukan bahwa itu adalah penyedia cloud, cari tahu sebabnyapengguna menggunakannya, berbicara dengan manajemen tentang memberikan alternatif dengan kegunaan yang sama, mendidik pengguna yang menyinggung tentang alternatif. Akan lebih bagus jika budaya perusahaan Anda memungkinkan Anda untuk dengan lembut mendidik kembali pengguna yang tertangkap tanpa menerapkan langkah-langkah disipliner pertama kali - maka mereka tidak akan berusaha untuk bersembunyi dari Anda terutama keras, dan Anda akan dapat dengan mudah menangkap penyimpangan dan menangani situasi. dengan cara yang mengurangi risiko keamanan tetapi masih memungkinkan pengguna untuk melakukan pekerjaannya secara efisien.
Manajer yang masuk akal ** akan memahami bahwa daftar hitam ini akan menyebabkan kerugian produktivitas. Para pengguna memiliki alasan untuk menggunakan cloud publik - mereka diberi insentif untuk menjadi produktif, dan alur kerja yang nyaman meningkatkan produktivitas mereka (termasuk jumlah lembur yang tidak dibayar yang bersedia mereka lakukan). Adalah tugas seorang manajer untuk mengevaluasi pertukaran antara hilangnya produktivitas dan risiko keamanan dan memberi tahu Anda apakah mereka bersedia membiarkan situasi apa adanya, untuk mengimplementasikan daftar hitam, atau untuk mengambil langkah-langkah yang layak untuk dinas rahasia-layanan (yang merupakan sangat tidak nyaman dan masih tidak memberikan keamanan 100%).
[*] Saya tahu bahwa orang-orang yang pekerjaannya adalah keamanan memikirkan niat kriminal terlebih dahulu. Dan memang, penjahat yang gigih jauh lebih sulit untuk dihentikan dan dapat menimbulkan kerusakan yang jauh lebih buruk daripada pengguna yang tidak jahat. Namun dalam kenyataannya, ada beberapa organisasi yang disusupi. Sebagian besar masalah keamanan terkait dengan kecerobohan pengguna yang bermaksud baik yang tidak menyadari konsekuensi dari tindakan mereka. Dan karena ada begitu banyak dari mereka, ancaman yang mereka ajukan harus ditanggapi seserius mata-mata yang lebih berbahaya, tetapi jauh lebih jarang.
[**] Saya sadar bahwa, jika bos Anda sudah mengajukan permintaan itu, kemungkinan mereka bukan tipe yang masuk akal. Jika mereka masuk akal tetapi hanya sesat, itu bagus. Jika mereka tidak masuk akal dan keras kepala, ini sangat disayangkan, tetapi Anda harus menemukan cara untuk bernegosiasi dengan mereka. Menawarkan solusi parsial seperti itu, bahkan jika Anda tidak dapat membuat mereka menerimanya, bisa menjadi langkah strategis yang baik - disajikan dengan benar, itu menunjukkan kepada mereka bahwa Anda "di pihak mereka", menanggapi masalah mereka dengan serius, dan siap untuk mencari untuk alternatif untuk persyaratan yang secara teknis tidak layak.
sumber
Manajemen Anda meminta Anda untuk menutup kotak Pandora.
Meskipun Anda dapat, pada prinsipnya, mencegah pengunggahan dokumentasi apa pun untuk semua mekanisme yang mungkin diketahui, Anda tidak akan dapat mencegah eksploitasi nol hari (atau yang setara dengan Anda) agar tidak digunakan.
Yang mengatakan, firewall otentikasi untuk mengidentifikasi pengguna dan workstation, dapat diimplementasikan untuk membatasi akses dengan ACL yang Anda inginkan. Anda dapat memasukkan layanan reputasi seperti yang dijelaskan dalam beberapa jawaban lain untuk membantu Anda mengelola proses.
Pertanyaan sebenarnya adalah untuk menanyakan apakah ini tentang keamanan , atau ini tentang kontrol ? Jika ini yang pertama, maka Anda perlu memahami ambang biaya yang harus dibayar oleh manajer Anda. Jika ini yang kedua, maka mungkin teater besar yang terlihat akan cukup untuk meyakinkan mereka bahwa Anda telah mengirimkannya, dengan pengecualian kecil.
sumber
Anda memerlukan perangkat atau layanan pemfilteran konten, seperti BlueCoat Secure Web Gateway, atau firewall dengan pemfilteran konten, seperti firewall Palo Alto. Produk seperti ini memiliki filter kategori luas yang mencakup penyimpanan online.
BlueCoat bahkan menawarkan layanan berbasis cloud di mana Anda dapat memaksa pengguna laptop Anda untuk terhubung melalui layanan proxy yang berjalan secara lokal di komputer mereka, tetapi mengambil aturan penyaringan konten dari sumber pusat.
sumber
Buat daftar situs yang tidak dapat diakses pengguna.
Pro: Memblokir layanan spesifik.
Cons: Daftar besar, kadang-kadang bisa merusak kinerja sistem firewall (biasanya itu!). Terkadang bisa dilewati.
Alih-alih mengandalkan daftar besar situs yang masuk daftar hitam, beberapa perusahaan menggunakan daftar putih di mana pengguna hanya dapat mengakses ke situs yang masuk daftar putih.
Pro: mudah dikelola.
Cons: itu merusak produktivitas.
Beberapa firewall memungkinkan untuk memblokir ukuran pengiriman informasi, membuat mustahil untuk mengirim beberapa file.
Pro: Mudah dikelola.
Cons: beberapa pengguna dapat memotongnya dengan mengirimkan file dalam potongan kecil. Ini dapat merusak beberapa situs web, misalnya, beberapa situs winforms Java dan Visual Studio mengirim banyak informasi secara teratur.
Pro: mudah dikonfigurasi.
Cons: bisa merusak sistem saat ini.
Dalam pengalaman saya, saya bekerja di bank. Administrator memblokir akses ke driver usb dan mengakses beberapa situs terbatas (daftar hitam). Namun, saya membuat file php di webhosting gratis dan saya dapat mengunggah file saya tanpa masalah (menggunakan situs web biasa). Butuh 5 menit untuk melakukan itu.
Saya setuju dengan beberapa komentar, mudah dan lebih efektif menggunakan aturan sumber daya manusia.
sumber