Cisco – мировой лидер в области сетевых технологий
120,41
рейтинг
21 июля 2014 в 11:38

Разработка → Как и зачем защищать доступ в Интернет на предприятии — часть 1

Сегодня мы с вами цинично поговорим о старой-доброй задаче – защите сотрудников и их рабочих станций при доступе к Интернет-ресурсам. В статье мы рассмотрим распространённые мифы, современные угрозы и типовые требования организаций по защите веб-трафика.

Если из всей статьи вы запомните всего один факт, то знайте – на сайтах для взрослых шанс подцепить зловреда в десятки раз меньше, чем на обычных Интернет-ресурсах.



На сегодняшний день большинство российских компаний уже предоставляют сотрудникам доступ в Интернет с рабочих компьютеров. Отстают в этом плане обычно государственные организации, силовые ведомства и компании, обрабатывающие большой объём персональных данных. Но даже в таких организациях всегда есть отдельные сетевые сегменты или рабочие станции, подключенные к Интернет.

Не предоставлять сотрудникам доступ в Интернет давно считается дурным тоном. Около трети кандидатов просто не придут к вам работать, узнав, что у вас отсутствует или сильно ограничен доступ в Интернет, так как считают его такой же необходимостью как чистая вода и вентиляция. Особенно это актуально для сегодняшнего поколения 20-25 летних, которые со школьной скамьи привыкли что любую информацию можно оперативно найти в поисковике, а обновления в социальных сетях следует проверять никак не реже чем в полчаса.

Довольно вступлений, переходим к мифам.

Миф #1 Если не ходить по сайтам для взрослых, то всё будет в порядке

Как бы не так. Согласно отчёту Symantec's Internet Security Threat Report всего 2.4% сайтов для взрослых распространяют зловредов, что в разы меньше по сравнению с блогами, новостными порталами и интернет-магазинами.



Достаточно вспомнить примеры со взломом сайтов New York Times, NBC, РЖД, портала «Ведомости», сайтов грузинского правительства, TechCrunch Europe и других, со страниц которых распространялись вирусы и осуществлялись фишинговые атаки.
С другой стороны — вы как ответственный сотрудник можете принять волевое решение не посещать сайты скользкой тематики, но смогут ли устоять ваши коллеги? Совладают ли они с соблазном кликнуть по ссылке в «нигерийском письме» или нажать на баннер с сообщением о выигрыше 100500 тысяч долларов?

Миф #2 Даже если я и попаду на заражённый сайт, то антивирус меня спасёт

Шанс есть, но он очень мал. Перед выходом в свет создатели зловредов проверяют, что их творения не обнаруживаются текущими версиями антивирусов. После обнаружения первых версий зловреда у антивирусных аналитиков уходит от 6 до 24 часов на его исследование и разработку сигнатуры. Скорость распространения сигнатур и патчей для уязвимого ПО зависит исключительно от вашей инфраструктуры, но счёт как правило идёт на дни и недели. Всё это время пользователи уязвимы.

Миф #3 Решение по защите хостов умеет фильтровать категории сайтов по рискам и этого достаточно

Обратите внимание что сами же антивирусные вендоры предлагают выделенные специализированные решения по защите веб-трафика. Хостовые решения возможно и обладают базовым функционалом по фильтрации веб-сайтов по категориям и рискам, но им не под силу хранить локально базу вредоносных сайтов и динамически обновлять её без ущерба производительности. Хостовый подход к решению задачи также не применим для компаний, в которых не все рабочие станции включены в домен и/или не управляются централизованно.

Миф #4 Если подцепить вирус, то ничего страшного не произойдёт

Современные зловреды действительно более гуманны по сравнению со своими собратьями из 90-х – чаще всего они стараются минимально влиять на жертву, планомерно получая команды от мастера, рассылая спам, атакуя веб-сайты и крадя ваши пароли от банк-клиентов. Кроме них есть и более агрессивные виды – криптолокеры, шифрующие всё содержимое жёсткого диска и требующие выкуп, «порнобаннеры», показывающие непотребства и требующие отправки очень дорогой СМС, сетевые черви, выводящие сеть из строя, не говоря уже про целенаправленные атаки.

Представьте, что всё это может произойти с любым компьютером или сервером вашей организации. Согласитесь, неприятно потерять или допустить утечку всех данных с компьютера юриста, главного бухгалтера или директора. Даже выход из строя отдельных узлов вашей инфраструктуры на время лечения или перезаливки рабочей станции может нанести ущерб бизнесу.

Надеюсь, что краски достаточно сгустились и самое время перейти к описанию типовых задач и требований к идеальному решению по защите веб-трафика. Пока я намеренно не употребляю названия продуктов или устройств так как задачу можно решить различными способами.

Требования к техническим решениям


Фильтрация Интернет-ресурсов по репутации

Решение должно предоставлять возможность блокировки доступа к заведомо вредоносным веб-сайтам или их отдельным разделам. При этом информация об уровне риска подтягивается из облачного центра аналитики и динамически обновляется раз в несколько минут. В случае если сайт недавно появился, то решение должно иметь возможность самостоятельно проанализировать контент и принять решение о степени опасности.

Администратору остаётся только определить допустимый уровень риска и, к примеру, блокировать все сайты с репутацией меньше шести по шкале от -10 до +10.

По категориям и репутации должны разбиваться не только сайты, но и их подразделы и отдельные элементы страниц. К примеру, на самом популярном сайте с прогнозами погоды есть ссылки на сомнительные ресурсы, предлагающие похудеть, перестав есть всего один продукт, или узнать, как Пугачёва родила двойню. В данном случае сотрудникам следует оставить доступ к основному сайту и блокировать отображение сомнительных частей веб-страницы.

Фильтрация Интернет-ресурсов по категориям (URL-фильтрация)

Должна быть возможность заблокировать доступ к отдельным категориям сайтов, к примеру, к файлообменникам, онлайн-казино и хакерским форумам. Информация о категориях также должна подтягиваться из облачного центра аналитики. Чем больше категорий понимает устройство и чем достоверней они определены, тем лучше.

Также стоит обратить внимание на скорость реагирования центра аналитики на ваши запросы по изменению категорий веб-сайтов. Сайты, которые в рабочих целях используют ваши сотрудники, могут быть неправильно отнесены в заблокированную категорию. Возможна и обратная ситуация, когда сайт не отнесён в заблокированную категорию. Данные трудности можно решать и вручную, добавляя отдельные ресурсы в white list или black list, но такой подход неприменим если придётся делать это каждый день, да ещё и на нескольких устройствах.

Отдельного внимания заслуживает тема поддержки кириллицы и правильности классификации русскоязычных сайтов. Как правило западные вендоры не уделяют им должного внимания. К счастью подразделения компании Ironport, разрабатывавшей решения по защите веб-трафика и приобретенной компанией Cisco располагаются в/на Украине, так что озвученные выше проблемы отсутствуют.

Сканирование загружаемых файлов

Должна быть возможность сканировать потенциально опасные файлы антивирусными движками перед тем как отдавать их конечным пользователям. В случае если таких движков несколько, то это несколько повышает шансы обнаружения зловредов. Также вы реализуете принцип эшелонированной обороны и снижаете шансы заражения в случае если на конечном хосте антивирус отключен, не обновлён или попросту отсутствует.

Верхом совершенства по анализу потенциальных зловредов является использование движка Advanced Malware Protection (AMP) или аналогов для защиты от целенаправленных атак. В таких атаках вредоносные файлы разработаны специально для нескольких организаций, не распространены в Интернете и как правило ещё не попали в ловушки антивирусных вендоров. Центры аналитики VRT Sourcefire и SIO Cisco проверяют встречался ли ранее именно этот файл в ходе атаки в другой организации, и если нет, то тестирует его в песочнице, анализируя выполняемые действия. Ранее мы писали про AMP на Хабре

Полезной также будет возможность фильтровать файлы по расширениям и заголовкам, запрещая исполняемые файлы, зашифрованные архивы, аудио и видеофайлы, файлы .torrent, magnet-ссылки и т.п.

Понимание приложений и их компонентов

Традиционные списки контроля доступа на межсетевых экранах уже практически не спасают. Десять и более лет можно было быть относительно уверенными что порты TCP 80 и 443 используются только для доступа в Интернет через веб-браузер, а TCP 25 для отправки электронной почты. Сегодня же по протоколу HTTP и 80 порту работают Skype, Dropbox, TeamViewer, torrent-клиенты и тысячи других приложений. Англоязычные коллеги называют эту ситуацию «HTTP is new TCP». Многие из этих приложений можно использовать для передачи конфиденциальных файлов, видеопотоков и даже удалённого управления рабочими станциями. Естественно это не те виды активности, которые мы рады видеть в корпоративной сети.

Здесь нам может помочь решение, ограничивающее использование приложений и их отдельных компонентов. К примеру, разрешить Skype и Facebook, но запретить пересылку файлов и видео-звонки. Также будет полезно запретить как класс все приложения для p2p обмена файлами, анонимайзеры и утилиты для удалённого управления.

Определение приложений осуществляется на основе «сигнатур приложений», которые автоматически обновляются с сайта производителя. Огромным плюсом является возможность создавать «сигнатуры приложений» самостоятельно или подгружать их в открытом виде с сайта community. Многие производители разрабатывают «сигнатуры приложений» только своими собственными силами и зачастую не успевают следить за обновлениями российских приложений или просто ими не занимаются. Само собой, они вряд ли возьмутся за разработку сигнатур для отраслевых приложений или приложений собственной разработки.

Обнаружение заражённых хостов на основе устанавливаемых соединений

Как показывает практика многие компьютеры могут являться членами ботнетов на протяжении нескольких лет. Гонка вооружений вышла на такой уровень, что зловреды не только подтягивают обновления своих версий с центра управления, но и латают дыры в ОС и приложениях, через которые они попали на компьютер, чтобы предотвратить появление конкурентов. Далеко не все антивирусные решения способны установить факт заражения, учитывая, что такие зловреды работают на очень низком уровне, скрывают свои процессы, соединения и существования в целом от антивируса.
Здесь нам на помощь приходят решения, которые анализируют трафик от рабочих станций к центрам управления ботнетами в Интернете. Основным способом обнаружения является мониторинг подключений к серверам в «чёрных списках» — уже известным центрам управления ботнетами, «тёмным» зонам Интернета и т.п.
Если же это таргетированная атака или пока неизвестный ботнет, то обнаружение осуществляется с помощью поведенческого анализа. К примеру сессии «phone home» между зомби и мастером можно отличить по шифрованию содержимого, малому объёму переданных данных и длительному времени соединения.

Гибкие политики разграничения доступа

Практически все современные средства защиты имеют возможность назначать политики не только на основании IP-адресов, но и на основе учётных записей пользователей в AD и их членства в группах AD. Рассмотрим пример простейшей политики:

  • Доступ в Интернет получают все доменные пользователи с компьютеров, включённых в домен и корпоративных планшетов
  • За исключением пользователей, входящих в доменные группы «Операторы колл-центра» и «Без доступа в Интернет»
  • Со скоростью не более 512 Кбит на сотрудника
  • Всем сотрудникам запрещён доступ к категориям «Онлайн-казино», «Поиск работы» и «Сайты для взрослых»
  • За исключением группы «Руководство»
  • Всем сотрудникам запрещён доступ к сайтам с репутацией менее шести
  • Использование социальных сетей и сервисов потокового видео запрещено всем сотрудникам, за исключением группы «отдел маркетинга и связей с общественностью»
  • Просмотр видео ограничен по скорости до 128Кбит/с
  • Запрещено использование всех игровых приложений, за исключением игры, созданной компанией
  • Запрещено использование torrent-клиентов, интернет-мессенджеров и утилит для удалённого администрирования
  • Сканировать загружаемые файлы двумя из трёх антивирусных движков, за исключением файлов .AVI
  • Запретить загрузку файлов .mp3 и зашифрованных архивов

Как показывает практика во многих компаниях возникают организационные трудности, не позволяющие сразу же начать ограничивать доступ к Интернет-ресурсам. Формализованная политика или отсутствует или на практике для неё слишком много исключений в виде привилегированных сотрудников и их друзей. В таких случаях стоит действовать по принципу 80/20 и начать с минимальных ограничений, к примеру, заблокировать сайты с самым высоким уровнем риска, отдельные категории и сайты, заведомо не относящиеся к рабочим обязанностям. Также помогает установка решения в режиме мониторинга и предоставление отчётов по использованию Интернет-ресурсов руководству компании.

Перехват и проверка SSL трафика

Уже сегодня многие почтовые сервисы и социальные сети шифруют свой трафик по умолчанию, что не позволяет проанализировать передаваемую информацию. По данным исследований зашифрованный SSL-трафик в 2013 году составлял 25-35% от общего объёма передаваемых данных, и доля его будет только увеличиваться.
К счастью, SSL-трафик от пользователя к Интернет-ресурсам можно расшифровывать. Для этого мы подменяем сертификат сервера на сертификат устройства и терминируем соединение на нём. После того как запросы пользователя проанализированы и признаны легитимными – устройство устанавливает новое зашифрованное соединение с веб-сервером от своего имени.
Расшифровка трафика может осуществляться как на том же узле, что производит анализ и фильтрацию, так и на выделенном специализированном устройстве. При выполнении всех задач на одном узле производительность само собой снижается, иногда в разы.

Дополнительные требования

Для того чтобы проект по защите веб-трафика состоялся крайне полезно показать руководству и преимущества, не относящиеся напрямую к безопасности:
  • Квотирование трафика по времени и пользователю, к примеру, не более 1Гб трафика в месяц или не более двух часов в Интернете в день
  • Ограничение полосы пропускания для отдельных сайтов, их частей или приложений, например, ограничение в 100Кбит/с при загрузке потокового видео или аудио
  • Кэширование веб-трафика – позволит как ускорить скорость загрузки популярных сайтов, так и сэкономить трафик при многократной загрузки одних и тех же файлов
  • Шейпинг канала – равномерное распределение полосы пропускания и приоритезация между всеми пользователями

Крайне важно также понять подходит ли рассматриваемое решение именно для вашей организации, здесь стоит обратить внимание на:
  • Single sign on – прозрачная авторизация пользователей без дополнительного ввода логина/пароля, в том числе для смартфонов и планшетов
  • Поддержку нескольких способов интеграции в вашу существующую инфраструктуру
  • Возможность установки решения как в виде специализированных аппаратных устройств, так и виртуальных машин
  • Централизованное управление как самими устройствами, так и их политиками
  • Централизованная отчётность по всем устройствам с возможностью создания пользовательских отчётов
  • Возможность делегировать администрирование отдельных регионов, функций или политик другим администраторам
  • Производительность решения
  • Наличие штатной функциональности по журналированию соединений и предотвращению утечек (DLP) или возможность интеграции с внешними DLP-решениями
  • Возможность интеграции с SIEM-системами
  • Модель лицензирования – по пользователям или устройствам или IP-адресам или пропускной способности
  • Стоимость продления годовых подписок

Естественно невозможно рассказать про всё в одной статье и вот некоторые темы которые не были затронуты:
  • Проверка членства в домене, наличия антивируса и обновлений ОС перед предоставлением доступа в Интернет
  • Как защищать сотрудников, которые чаще бывают в командировках, чем в офисе
  • Какие сложности возникают при защите веб-трафика рабочих станций со сменными сотрудниками, виртуальных рабочих станций (VDI), планшетов и смартфонов
  • В каких случаях дешевле и удобнее использовать облачный сервис для фильтрации веб-трафика
  • Стоит ли пытаться реализовать аналогичную функциональность на базе Squid и других open source решений

В следующей статье планируется рассказать с помощью каких решений Cisco и как можно решить вышеперечисленные задачи.

Надеюсь, что статья была для вас полезна, буду рад услышать дополнения и пожелания по поводу новых тем в комментариях.

Stay tuned ;)

Ссылка на продолжение статьи
Автор: @queraxle
Cisco
рейтинг 120,41
Cisco – мировой лидер в области сетевых технологий

Комментарии (61)

  • +1
    Вопросы «арбитража» споров не упомянули. Хранение логов опять же, дабы не быть голословным в случае возникновения проблем типа «я никуда не ходил, я сайты с ХХХ не посещал». Я уже по долгу службы сталкивался с такими ситуациями, приходилось доказывать. Поднимали логи (храним за 60 дней), делали выборки и начальству доказывали что все «санкции» были не на пустом месте.
    • 0
      Спасибо! Добавил к буллету про DLP
    • +1
      В середине-начале 2000-ых я делал проще — ограничения только по категориям для всех, кроме руководства. Для простых юзеров — запрет оного xxx + Top Downloaders List регулярно вывешивался на доску почета. «Я ничиго ни делал, и нигде ни хадил, и вирусы ни запускал» прошло за два месяца ( во втором месяце отвалились гении гуглежа по строчке «анонимайзер», один фиг, строчка вида «vova_s: xXx.hotgoatsecx-porn.avi ( 2121 Mb )» на доске почета очень классно влияла на весь коллектив и вову_с. ).
      • 0
        Это если коллектив небольшой :) А когда юзеров с выходом в инет сотни? Да подумаешь — кто то порно смотрел, делов то. Через пару дней все забудут.
        • +1
          В большом коллективе факт просмотра горячего порно с лошадьми не забудет начальник. Вторая задача этого листа — убрать необоснованные придирки от начальства к моей работе — т.е. если петя вечно качает порнуху, игрушки и прочее, а потом по три раза в день идет и жалуется, что этот сраный админ опять чето натворил и ничего не работает, то появляется документальная лужа, куда петю можно ткнуть носом. После пары тыканий в лужу начальство обычно дает указание — порезать весь кайф отделу, после чего отдел начинает внимательнее смотреть, а из-за кого это случилось -> теперь топ даунлоадера родной отдел не забудет, снова вернулись к варианту, когда юзеров мало.
          • 0
            Проходили, есть и тут подводные камни.
            Допустим есть отдел, 10 сотрудников, у каждого лимит 200 Мб/сутки. Всем интернет нужен по работе — пусть к примеру это менеджеры по качеству выпускаемой продукции. Мониторят сайты/форумы и прочие места обитания клиентов. Один качает жесткое порно про лошадей. Наказан — сидит без работы день. В след неделю опять качает — страдает весь отдел, сидит без интернета. Надо нерадивого сотрудника наказывать, а как — если например он с поставленной задачей справляется в полном объме? По ТК его наказать будет проблематично. И тогда видится один путь решения проблемы — частные политики.

            У нас сейчас дело идет к частным политикам, которые будут предусматривать как «что можно что нельзя», так и «а что за это будет». Ознакомление под роспись и прочие «радости» жизни. Да закручиваем гайки, но по другому просто не получается.
          • +1
            В большом коллективе факт просмотра горячего порно с лошадьми не забудет начальник.

            Он так взволнован, тем что нашел единомышленников? )
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      речь шла про интернет «доступ». как это связано с линуксом? если людям выход в инет нужен, и часто — именно по работе.
      • НЛО прилетело и опубликовало эту надпись здесь
        • +2
          Ещё раз — как связан линукс на рабочих станциях и доступ людей в интернет? Может я что то не по русски пишу. Я вот 3 год работаю на 7ке, из под учетки с ограниченными правами без антивирусов и файрволов, постоянно куча интернет-сайтов открыта и посещается — и НИФИГА. Больше вреда операционке принесло офф.обновление от Майкрософта.

          PS. А можно вообще сотрудников на тонкие клиенты посадить, проблем ещё меньше будет.
          • НЛО прилетело и опубликовало эту надпись здесь
            • +2
              И этого делать не нужно было, если бы на ПК стоял Linux.

              Вы серьёзно верите в то, что Linux — панацея от вредоносного ПО на компьютере?
    • +4
      1) Комиксы Dilbert неплохо отрезвляют на тему того, какие подходы приняты на западе.
      2) В большинстве достаточно крупных компаний так исторически повелось, что основные бизнес-процессы завязаны на наличие винды на рабочем месте. Отказаться от нее — очень дорого и сложно. Нужно найти замену сотням единиц ПО, из которых многие работают в группах (скажем, софтофон, CRM и сервис интеграции). Многое может быть и самописным.

      Кстати, под линукс нет експлоитов, руткитов и так далее? Ведь самые опасные угрозы — таргетированные. Придет главбуху письмо «новые способы обойти налоговое законодательство», в нем ссылка на банальный bash скрипт, который wget'ом загружает наружу все файлы до которых дотянется. С линуксом ведь и DLP не нужны, да? :)
      • НЛО прилетело и опубликовало эту надпись здесь
        • +1
          1) В таком случае — по моему личному опыту, российским компаниям важнее всего эффективность, а не отсиживание 8-часового рабочего дня. И я знаю людей из представительств западных компаний, жаловавшихся на то, что регламентировано всё вплоть до времени в курилке. Если по данным СКУДа вы больше чем на X минут в день покидали офис без уважительной причине, то это уже повод для выговора.
          2) А цель-то какая у миграции? «Чтобы было»?

          А еще я из того же самого личного опыта (это ведь очень важный аргумент, верно?) могу сказать, что под виндой невозможно подхватить заразу из интернета. Я с этим последний раз сталкивался лично, может, лет 10 назад. Под «подхватить» я понимаю банальное проникновение исполняемого файла на компьютер, даже если антивирус его сразу придушил. ISOшник можете найти на любом трекере, обычный образ семерки x64, никаких модификаций.
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              1) Мой опыт возражает против этого, и нет, я никогда не работал в IT компаниях :)
              2) Сабжевая защита позволяет сделать винду в достаточной мере пуленепробиваемой. Это дешевле миграции на линукс, который все равно не позволит избавиться от большинства механизмов защиты. И на вирусы под него трафик все равно надо проверять. Их мало, но они есть. Рисковать не стоит.

              Да и какое мне дело до антивирусных компаний? Есть же личный опыт (так это важно или нет?), а также понимание того, что на винде практически нереально найти именно експлоит, дыры заделываются довольно быстро, шансы напороться на 0-day, способный обойти песочницу браузера и следом повыситься до system, мизерные. Большинство заразы работает на компьютере либо под обычным пользователем (и против такой заразы линукс в той же мере бессилен), либо устанавливается методом двойного клика по исполняемому файлу с последующим подтверждением в UAC (а ведь есть очень, скажем так, странные люди, работающие под администратором и при этом отключающие UAC).
              • 0
                Забыли ещё про заражённые pdf, всякие макросы в офисных файлах и уязвимости во flash/java. Из своего опыта — я видел ооочень мало компаний где пользователь сидит не под локальным админом :(
                0-day нечасты, да
                • 0
                  О да… и борьба с «этим» — локальными админами, это целая трагедия для юзеров, и головная боль для ИБ
                • 0
                  я видел ооочень мало компаний где пользователь сидит не под локальным админом :(


                  Что проистекает чаще всего от лени и/или некомпетентности админов. К сожалению, для большинства админов проще выдать юзеру права локального админа, чем озаботиться вопросом грамотного выделения доступа (на практике, прав слегка подпиленного Power User'а в 99% случаев более чем достаточно).
                  Увы — приличные виндовые админы куда более редкие звери, чем приличные юниксовые.
                  • 0
                    Хотел бы я посмотреть на приличных виндовых админов, которые не дают разработчикам виндовых приложений права локального администратора…
                    • 0
                      Для этого делаются специальные девелоперские/тестовые окружения. Удобно ещё и тем, что в любой момент можно его грохнуть и поднять свежее-чистое. Соответственно, из этого окружения нет доступа в остальную локалку, так что если и словят заразу — никуда дальше она не выйдет.
                      • 0
                        Занятно и забавно… К сожалению, таких решений в девелоперских конторах пока не видел. Разрабатывая, например, драйвера для железок, необходим MSVC, MSDN, полноценный доступ в интернет, полноценный доступ к внутренним документам и базам данных. Чуть меняется задача — разработчик пишет программы для железки (службы): прав от этого меньше не выдаётся, а окружение меняется. Конечно, всех разработчиков можно ограничить от общей сети, но вот по опыту скажу — доступ ко внутренней документации вряд ли удастся урезать, а клепать под разрабов окружения — сомнительное удовольствие для супер-виндовых админов: их просто придётся делать очень много разнообразных и всё это поддерживать в актуальном состоянии… ну не то чтобы не реально, а на это нужны тогда админЫ (много).
                        • 0
                          Ну может и не сталкивались, у меня все знакомые разработчики, или уже в таком режиме работают по ИБ политикам (и это даже не включая сектор банковского п/о) компании, либо, кто умный и наталкивался на срач на рабочей машине — сами такие тестовые/девелоперские окружения выпрашивают/делают — поднять себе виртуалку в виртуалбокс/встроенным в win8 гипервизором дело несложное, в общем.

                          но работа с железом/драйверами обычно должна вестись на тестовой железке, это да. но на этой же железке держать рабочий почтовый клиент например — глупо. а документацию можно и с другого компа посмотреть.
                          • 0
                            да. у нас из-за «слабости» машин рабочих, но в случае обязательного админского доступа к операционке, поступаем по другому:
                            1. заводим машину в домен;
                            2. даем права локального администратора;
                            3. средствами сетевого оборудования ограничиваем доступ человеку в корпоративную сеть (почта, портал и тд) плюс свободное хождение внутри отдела.

                            ибо есть железяки — которые с правами админа могут работать только на «живой» машине. виртуалки не могут адекватно отрабатывать эти штукуи.
                          • 0
                            Если будет интересно — могу описать, как сидят 24 разработчика железячника с локальными админами и работают, а не игрушки терзают.
                            • 0
                              Опять же, если работа сделана хорошо, вовремя и без нареканий можно и в обед полчасика/после работы под пиво толпой развеяться в гоночки или побегать пострелять.
            • 0
              Вы путаете термины «российский» и «государственный». Для госконтор да, всё описанное справедливо. Но любая приличная, в том числе российская, коммерческая организация, ориентированная на зарабатывание денег, будет думать именно об эффективности сотрудников, а не о высиживании ими часов (а если и думает о высиживании часов — значит, так они понимают эффективность — что ж, на ошибках учатся).
          • 0
            При правильной настройке политик запуска п/о в разделах безопасности GPO на AD группы, куда админы не входят, у пользователя вобще ничего не получится запустить ни из временных каталогов ни из своих документов. только c:\windows, c:\program files(x86) и пару общих сетевых папок с разрешенных п/о, куда доступ на запись имеют полторы калеки из ИТ отдела.
            А если еще всё п/о подписано и список подписей тоже разьезжается через GPO в том же разделе — то даже если и получится скачать какуюнить игрушку, то запустить, переименовав %mycoolgame% во вполне допустимый ping.exe, всё равно не получится.

            со всякими плагинами вроде adobe, под броузеры, конечно будет сложнее, но тоже решаемо, насколько я знаю из опыта
  • 0
    [delete]
  • +1
    Любые запретительные меры в итоге чаще приводят к тому, что сотрудники тратят больше времени для их обхода. Повышение компьютерной грамотности и отказ от патологически дырявого, принципиально непроверяемого сотрудниками отдела информационной безопасности ПО — это единственный действенный метод на текущий момент. Он же самый трудоёмкий.
    • 0
      Не единственный, но наиболее верный, практически бесплатный и действительно трудоёмкий. Если говорить про ROI и TCO, то самый эффективный способ распространить слухи что внедрена система контроля всего и вся и все будут наказаны. Но естественно ничего не внедрять)
      • 0
        В долгосрочной перспективе слухи не сработают, нужно будет регулярно показательно кого-то пороть, при чём пороть только тех, кого нужно и не ошибаться. Грамотность и осмысленный выбор ПО — это одноразовые большие вложения и очень небольшие для поддержания в будущем. При чём вне зависимости от поворотов судьбы, общая компьютерная грамотность останется актуальной и с возможностью лёгкого апгрейда. Но формально ты прав, конечно, это не единственный выход. Можно просто вообще всё отключить от интернета. И от энергосети тоже на всякий случай. Вирусы для арифмометров и счёт не существуют.
  • 0
    Всем сотрудникам запрещён доступ к категориям «Онлайн-казино», «Поиск работы» и «Сайты для взрослых»
    Использование социальных сетей и сервисов потокового видео запрещено всем сотрудникам, за исключением группы «отдел маркетинга и связей с общественностьюм»
    Запрещено использование всех игровых приложений, за исключением игры, созданной компанией


    Достаточно квотирования, если вся квота выбрана на развлекухи, а потом нужно срочно «по работе» а лимит исчерпан, то по сотруднику делаются оргвыводы его руководством.
    • 0
      Только придётся очень гранулярно размеры квоты по отделам выбирать. Кто-то даташиты 30-меговые десятками качает, кто-то потоковое видео по работе смотрит, а кто-то просто окисляет углекислый газ и интернет ему не особо нужен
      • +1
        Вообще это конечно больше не тема ИБ, а больше тема HR и непосредственного руководителя отдела. Кто-как тратит время и деньги работодателя, это их вопрос.
        Я всегда косо смотрю на попытки озадачивать такими вопросами службу ИБ.
        С точки зрения ИБ конкретно по этому направлению возникает вопрос доступности, когда «качки» загружают канал до предела и другие важные бизнесс-процессы начинают тормозить.
        Для этого как раз достаточно шейпить траффик и ставить квоты. Квоты можно не плодить, а внедрить 2-3 стандартных. Например 0-5 Гб, 5-10, 10-20.
  • 0
    За исключением группы «Руководство»

    Вот это, кстати тоже одна из основных проблем. Как правило, как раз на компах руководства зачастую хранится наиболее ценная информация. А подход, «за исключением», сводит все усилия по защите на нет.
    Не фильтруй, не режь права, не ставь сложные пароли, правила не для меня, а для рядовых — если это так, то уровень зрелости ИБ в компании низкий.
  • +2
    Всегда вспоминаю одно из своих прошлых мест работы, ещё в начале 2000-х, те допотопные времена, когда ещё интернет помегабайтным был.

    Пришёл счёт не на 2-3 тысячи как обычно, а на 50 тысяч. Руководство сказало разобраться. Начали разбираться. Выяснилось, что один из новых менеджеров целыми рабочими днями качает порнуху. Да так что почти весь месяц только это и делал. Кроме того, он постоянно опаздывал на работу, приходил с похмура и так далее.

    Скажете, что ему было за это? Ничего. Потому что он 19 из 20 рабочих дней смотрел порнуху, параллельно лазя по всем развлекательным сайтам, которые тогда только существовали. А на 20-й рабочий день продал камазов на 20 миллионов рублей. Директор сказал, что за руку с ним больше не здоровается, но разрешить ему надо всё, «если он так продаёт, то пусть хоть обдрочится».

    С тех пор все ограничения были сняты, я продолжаю поддерживать дружеские отношения с той компанией: у них до сих пор официально можно опаздывать, никаких ограничений на интернет и никакого жёсткого рабочего графика.
  • 0
    К счастью, SSL-трафик от пользователя к Интернет-ресурсам можно расшифровывать.
    К счастью, место работы можно менять.
    • 0
      Хотелось бы согласится, но… наткнулся тут на результаты опроса

      Свыше трети студентов считают корпоративные политики информационной безопасности пустой формальностью и не готовы их соблюдать, при этом более 40% респондентов планируют выносить рабочие документы за пределы корпоративной сети, если им это будет удобно. Такие результаты получили специалисты компании Zecurion по итогам опроса среди 8466 студентов из 11 вузов 8 городов России. Примечательно, что почти половина респондентов имела опыт работы в офисе, а значит, осведомлена о порядке работы с корпоративной информацией, сообщили CNews в Zecurion.
      взято с cnews.ru.

      Как иначе бороться с инсайдом? Советы и решения есть?
      • +1
        Зарплату платить не пробовали?
        • 0
          :) Вот почему почти все говорят — сколько не платили бы мне, всегда мало будет. Я иду работать — и если я устраиваюсь, значит зп устраивает. Я иду работать а не воровать. Если Вы по другому думаете — то никакой зарплаты не хватит
          • 0
            Зарплата выше рынка действительно оч хорошо мотивирует. Серьёзно задумываешься стоит ли рисковать и чаще всего не совершаешь сомнительных действий
      • 0
        Как иначе бороться с инсайдом? Советы и решения есть?
        У NSA и то не очень получилось. Если захотят что-то вынести — вынесут, надо делать так чтобы не хотели.

        Флешки, телефоны тоже на входе отбираете? Личный досмотр? Без этого SSL расшифровывать с целью борьбы с инсайдом бесполезно. Также как это бесполезно при наличии хоть какого-то разумного доступа к интернету.
        • 0
          Ну раз НСА не смогло, может тогда вообще на ИБ забить? Статья сабжевая тоже не нужна, зачем всё это :)
          • 0
            Закручивают гайки обычно до разумного предела, предел определяется стоимостью информации и финансовыми возможностями, все остальное принимается как остаточный риск.
            • 0
              Угу, типичная проблема — нет средств. Ну вы чего нибудь сделайте, но денег мы вам не дадим…
          • 0
            ИБ это комплексная проблема. И гайки надо закручивать равномерно по всему периметру, иначе пользы ноль, а людям мешает. Проблема выбора адекватного уровня ИБ не затронута вообще.
            • 0
              Крутим равномерно, но делать это «по всей площади» сил не хватает. Опять же, есть определенное противодействие «на местах», боремся как можем. «Вымораживает» позиция работника — это «мой персональный компьютер, что хочу то ворочу». Пытаемся переломить ситуацию, медленно и со скрипом — но дело начинает двигаться.
        • 0
          NSA сколько лет весьма качественно скрывали от всех, чем они вообще занимаются и в каких масштабах?

          Вообще-то флешки принято блокировать программными средствами. Еще принято не позволять пользователю писать на локальный диск (тут огромное число факторов помимо ИБ — например, возможность залогиниться и продолжить работу с любого компьютера).

          А телефон разве что как фотоаппарат можно будет использовать, а это очень заметно…

          Что до «разумного доступа к интернету» — есть и относительно неглупые файрволы и DLP.
          • 0
            Я начальству предлагал решать проблему с сотовыми как в боевике «Солт». Вошли в кабинет — у входа сложили телефоны, надо поговорить — встал вышел позвонил. По моему достаточно логичное решение, и ограничения нету никакого, просто особые условия пользования. Начальство пока решило что «гром не грянул». Сижу жду, время от времени «кидая пробные шары» в сторону начальства.
            • 0
              А где вы работаете, позвольте узнать.

              Чтобы там не работать.

              ИБ в первую очередь — это обеспечение лояльности сотрудника к компании. И это не только денежная мотивация. Например, я просто по-человечески уважаю нашего собственника, чтобы что-то из данных воровать, хотя имею для этого возможностей больше всех.
              • 0
                Нету лояльности… народ приходит считая что им все обязаны, лишь за то — что они сидят на работе. Игры? Почему нет, 3ж модем на рабочей машине где коммерческая тайна? легко.

                Тогда да — работать где это всё запрещают и жесткая дисциплина — да пошло оно всё нафик, не поиграть же.
                • 0
                  в догонку. что самое показательное, ко всем ограничениям в свободе работы на АРМ положительно и с пониманием относятся так называемые представители старой гвардии. Привыкают к работе с DLP агентом, к тому что на работе нельзя смотреть фильмы, слушать музыку. То есть те, кто ещё радеют за дело, те кому не всё равно. А вот молодежь упирается со словами «печалько, весь день фильмы не посмотреть», приходит с настроем «да плевать я на всё хотел, буду играть».
                • 0
                  Игры? Почему нет


                  А почему нет?

                  3ж модем на рабочей машине где коммерческая тайна?


                  Во-первых, как можно установить модем без прав администратора? Неизвестно.

                  Во-вторых, ошибка называть коммерческой тайной всё подряд. Ознакомьтесь с понятием «коммерческая тайна», это по меньшей мере непрофессионально для вас.

                  В-третьих, ошибка считать, что данные, к которым имеют доступ, нельзя украсть.

                  И на коммент ниже отвечу здесь же.

                  Если «печалько, весь день фильмы не посмотреть» — это не задача информбезопасников вообще. Значит, людям не ставятся цели, не контролируется их достижение, те же KPI.

                  Так что за организация? Хотя бы профиль деятельности можете обозначить?
                  • 0
                    1. На самом деле — играть на работе за деньги работодателя в рабочее время — а подскажите мне где такие работодатели обитают? Я первый туда уйду
                    2. См выше про права админа — я уже писал, боремся, сил не хватает «закрыть все машины»
                    3. А можно цитату — где я «всё подряд» называл коммерческой тайной? У нас таки с «этим» всё в порядке. Всё по закону
                    4. К сожалению ИБ у нас — на все руки…
                    5. Как вы уже написали — контроль весь незаконен, так как всё таки выйти из ситуации? Начальству стоять за спиной? Так ведь вы сами озвучили право на личную тайну, а вдруг человек в этот момент личной тайной занят. Патовая ситуация?
                    • 0
                      1. Смотря, кем работаешь, и какие цели поставлены. Если все цели выполнены — почему нет. Если (см. выше я комментил) человек 19 дней из 20 играет, а на 20-й день выполняет годовой план всего отдела по продажам — то пусть хоть сутками играет.

                      Все ваши беды от ваших требований.

                      Вы требуете сидеть на работе с 8.00 до 17.00 (условно), не играть в игры, нажимать нужные кнопки. Вы фактически работаете за них.

                      А нужно требовать фактический конкретный результат и спрашивать его. А какими силами работник этого достигнет — неважно. Если он играет, дрочит, и так далее, но выполняет свою работу — такие работники вам и нужны. А если он не играет, четко выполняет все требования и стоит по стойке смирно, но при этом он не заинтересован в результате работы, то выводы очевидны же.

                      2. Я надеюсь, у вас Active Directory? Тогда непонятно это ваше «боремся», «сил не хватает». Увольте админа (-ов), отвечающих за AD.

                      3. Коммерческой тайной точно не могут быть данные на рабочей машине.

                      5. Лояльность, лояльность и только лояльность. Все остальные способы или неэффективны, или наоборот порождают антилояльность (если сильно закрутить гайки).
  • +1
    Еще советую обыскивать сотрудников на входе/выходе и бить по почкам наименее продуктивных каждую неделю, ага. Корпоративный буллщит такой буллщит.
    • 0
      Ну да да, обыскивать это ведь можно всем, а не только сотрудникам милиции и иже с ним. Остальным можно осматривать, ну это так… мелочи. Главное погромче заявить что нибудь, согласен
      • 0
        DLP тоже незаконен, уголовщина и антиконституционщина. Права человека на личную тайну и всё такое.
        Только не надо сейчас заливать, что тот, кто платит за оборудование — того и данные на этом оборудовании. Европейский суд по правам человека считает иначе.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка