Impedire alle informazioni di uscire dalla rete aziendale

Naviga le tue risposte
5

Come impedisci alle informazioni riservate di uscire dalla rete?

Oggigiorno le strutture di archiviazione online sono in abbondanza. per esempio. Google Drive, One Drive, ecc. Qualsiasi dipendente può semplicemente caricare informazioni sensibili su questi siti per l'archiviazione. Questo è solo un esempio. Altri esempi forse per memorizzare tali informazioni su USB e portare fuori ufficio.

Sto pensando di implementare la DLP per tali scopi. Quanto è facile fare questo e quali sono alcune considerazioni? È una soluzione costosa? Esistono altre alternative più economiche se le soluzioni DLP sono costose?

    
posta Pang Ser Lark 22.08.2015 - 09:01
fonte

2 risposte

11

Il punto chiave qui è che ogni sicurezza è strong quanto il suo link più debole.

Sii chiaro fin dall'inizio se ti stai proteggendo contro:

  • perdite involontarie da parte di utenti clueless o smemorati o
  • contro perdite intenzionali da parte di avversari motivati

I primi sono più facili da proteggere contro. Ma per progettare un efficace & una soluzione pratica contro quest'ultima è un lavoro molto impegnativo. Non lasciatevi ingannare dai colorati white paper dei venditori del venditore.

Illustrerò con esempi: ho visto che le organizzazioni spendono molto in soluzioni di filtraggio e segnalazione basate su reti solo per trovare dopo un incidente che la parte colpevole ha usato la crittografia (rendendo anche il controllo approfondito dei pacchetti). In un altro caso, la crittografia è stata ostacolata utilizzando la protezione degli endpoint in esecuzione sul PC client solo per scoprire come ciò impedisca la crittografia dei dati che avrebbe dovuto essere crittografata in modo legittimo dagli utenti.

Una società ha deciso di incorporare una complessa gerarchia di sicurezza basata sui ruoli in cui l'accesso a molti documenti sensibili doveva essere autorizzato da una seconda persona che era più in alto nella gerarchia. In pratica, questo ha causato così tante difficoltà operative che un sacco di documenti sensibili ha finito per dare spazio libero a dozzine di ragazzi, ovviando così a qualsiasi utilità del sistema.

In un caso tutte le soluzioni di rete e endpoint sono sembrate disponibili, ma i dispositivi mobili non sono stati controllati molto da vicino, quindi qualsiasi avversario motivato potrebbe semplicemente utilizzare quelli per divulgare dati sensibili. Anche se imposti solo dispositivi mobili emessi dall'azienda, hai disattivato le porte USB e il Bluetooth e persino le telecamere?

In alcune perdite del terzo mondo ho visto resoconti in cui il modus operendi era piuttosto scadente e comprendeva la stampa di elenchi di clienti e altri dati sensibili e l'evasione delle stampe effettive per un periodo prolungato. Ironia della sorte, il sito ha effettivamente avuto un attacco di sicurezza ma purtroppo stavano guardando le chiavi USB, i cellulari, i dischi rigidi e così via. Le stampe di carta non sono mai state controllate dagli addetti alla sicurezza.

Il punto è che molte di queste falle possono essere bloccate con qualche sforzo, ma bisogna rendersi conto che la maggior parte delle efficaci strategie di protezione comporterà l'inconveniente di rendere l'uso legittimo più scomodo.

C'è questa convenienza rispetto al compromesso della sicurezza e ogni organizzazione deve decidere a quale punto della curva di trade-off vuole vivere. Ancora meglio, la soluzione prescelta dovrebbe avere la granularità per impostare il giusto trade-off al sito o persino al dipartimento o al livello di persona e non una politica generale di copertura generale. Questi ultimi raramente funzionano bene nella pratica.

PS. Ogni fornitore mostrerà il caso la magia del proprio prodotto, ma è importante avere una visione olistica e la domanda giusta è spesso: Può proprio questo costoso software di sicurezza? è dedicato alla protezione essere interamente scavalcato da un avversario? ad es La protezione basata su rete è di pochissimo uso se sono permesse le chiavette USB

    
risposta data 22.08.2015 - 09:21
fonte
2

Come curioso_cat ha detto che devi prendere una visione olistica di questo, hai molti problemi separati ma connessi in gioco qui. Di seguito è riportato un riepilogo generale su come svolgere questo compito.

Prima di tutto, dovresti guardare all'architettura dei dati, al come, dove e perché i tuoi dati sono archiviati dov'è, idealmente i dati sensibili dovrebbero essere segmentati e avere strettamente controllati gli ACL su di essi.

Il filtro Web, IDS / IPS e firewall ti consentiranno di controllare in modo granulare il traffico generato dagli utenti (e dalla macchina) in entrata e in uscita dalla rete.

Snort può essere configurato con regole specifiche per le tue esigenze, inclusa la prevenzione e lo spotting di dati exfiltrarion da una posizione specifica, sebbene ciò possa risultare limitato.

Allo stesso modo una soluzione DLP può fungere da servizio dedicato per questo. MyDLP è open source, puoi ottenere un livello gratuito o un livello a pagamento.

Inoltre, è possibile utilizzare una soluzione SIEM con regole appositamente predisposte per individuare eventuali attività anomale o non consentite. Ad esempio, è possibile sviluppare un caso d'uso per catturare utenti o macchine che inseriscono supporti rimovibili e copiandoli.

Il modo migliore per farlo è guardare a cosa vuoi fare e cosa (se mai) devi essere conforme. Poi abbattilo in obiettivi discreti e affrontali uno alla volta.

    
risposta data 22.08.2015 - 10:17
fonte

Leggi altre domande sui tag

Indirizza diversi domini HTTPS allo stesso server web Lettura della banda magnetica su una carta di credito / debito con un chip EMV