Ho una rete di circa 10 computer e voglio prevenire i dati sensibili e le perdite di codice sorgente. Per riuscirci, vorrei bloccare tutti i file caricati / allegati.
Mi è stato chiesto più volte il tuo problema in diverse occasioni. Ciò che rende davvero difficile rispondere è che questo in realtà non è un problema tecnico. È molto più un problema sociale / umano.
Ci sono molti grandi sistemi firewall come SonicWall / FortiGate / etc. (anche soluzioni basate su VM) che ti costeranno forse solo 500 $. Sono tutti in grado di bloccare protocolli / porte / siti / etc per te ma ... secondo me dovresti bloccare ogni sito e ogni connessione tra la tua rete di controllo sorgente e Internet, perché lì è sempre un modo per utilizzare una connessione stabilita per ottenere il codice sorgente dalla tua azienda. Anche se si usa qualcosa di semplice come putty per stabilire una connessione ssh sulla porta 80 e le porte tunnel attraverso di essa per tutti i tipi di protocolli come FTP / SMTP / qualunque.
Il mio consiglio è di non tentare di raggiungere una soluzione tecnica costosa quando si tratta di un problema sociale e umano. Ci sarà sempre un modo per far uscire il codice sorgente dal tuo posto. (usb, cd, foto tramite cellulare? Se qualcuno vuole farlo, avrà successo ...)
Molte organizzazioni hanno questa sfida, non solo per il codice sorgente, ma per i dati personali, la proprietà intellettuale, ecc., quindi è stato fatto molto lavoro per lo sviluppo di soluzioni.
McAfee, Symantec e vari altri hanno prodotti molto efficaci sul mercato che possono essere personalizzati da molto semplici (cercando firme in modo simile a come funziona uno scanner antivirus e bloccando gli hit) fino alla piena gestione dei dati per classificazione e controllo degli accessi in ogni punto di uscita della rete, inclusi stampanti, dispositivi USB, e-mail, connettività web ecc.
A seconda del valore dei dati e del suo tipo, dovrai osservare il tuo approccio. Per i dati strutturati come numeri di previdenza sociale, numeri di carta di credito, ecc., Un approccio alla firma potrebbe funzionare bene, tuttavia il codice sorgente di solito non è così semplice.
Una soluzione completa ti consente di classificare ogni file, documento, applicazione o qualsiasi cosa sui tuoi sistemi, quindi di posizionare i controlli su database, sistema operativo, rete e livelli di archiviazione che permetteranno / impediranno / avviseranno quando viene fatto un tentativo di spostali.
Come è stato sottolineato, vorresti anche limitare i telefoni cellulari con le fotocamere (ma questo sarebbe un modo davvero ingombrante per rubare grandi quantità di codice sorgente) e tenere i tuoi dispositivi USB bloccati, ma quelli sono già standard in molte organizzazioni.
Una volta concesso a qualcuno l'accesso ai dati, è non sicuro.
Puoi fare molte cose per renderlo più sicuro, come più reti, bloccare Internet, ecc. Ma ci sarà sempre un modo per estrarre i dati. Poiché il codice sorgente è testo, esiste un numero incalcolabile di modi per ottenere il codice. Email, tagliando e incollandolo in siti Web, ecc.
Anche se dovessi interrompere la connessione a Internet, i dati possono ancora essere fotografati su un telefono e inviati.
Per aggiungere ad alcune delle risposte finora, suggerirei quanto sarebbe facile ottenere questo risultato dipende in larga misura dal livello di accesso che fornisci ai tuoi utenti.
Se fornisci la navigazione web senza restrizioni, allora sei nei guai perché c'è un numero enorme di siti che forniscono il trasferimento di informazioni, sia ovvi (e-mail) che meno ovvi (qualsiasi cosa che permetta l'input dell'utente come forum o siti in stile pastebin)
Oltre al fatto che ogni singola connessione in uscita che consente agli utenti di effettuare (compresi quelli non desiderati come DNS e ICMP) può essere utilizzata per estrarre i dati. Naturalmente dipende da quanto sono motivati e ben informati i tuoi "attaccanti" (in questo caso i membri dello staff).
Quindi dal punto di vista tecnico sarei propenso a concordare con @Riscie, è improbabile che le soluzioni tecniche siano in ghisa. Possono aiutare a prevenire perdite accidentali e aggressori non sofisticati, ma al di là di ciò non dipenderei da loro.
Tutto ciò che viene detto se si desidera riflettere su un'idea, fornire solo l'accesso a Internet tramite una sessione desktop remota e bloccare il trasferimento di tutte le informazioni oltre l'effettivo input da tastiera (ad esempio, non copia-incolla, nessuna unità mappata ecc.). Quindi è possibile inserire il software di registrazione delle chiavi sulla macchina RDP'd e rivedere regolarmente i registri. dovresti anche bloccare i PC completamente (logicamente e fisicamente) per assicurarti che non sia possibile nessun'altra uscita.
È una soluzione draconiana e inciderebbe seriamente sulla produttività dei lavoratori, ma potrebbe risolvere il problema:)
L'unica strada da percorrere è legale. Se qualcuno vuole perdere parte del tuo codice, prevenire l'allegato non lo farà. Sarà ancora possibile copiarlo incollandolo, o copiare i file su alcuni supporti rimovibili, aprendo una connessione remota attraverso la porta 80 ad un server privato o qualunque cosa troverà la codifica della gente. E se sono programmatori, troveranno un modo.
Leggi altre domande sui tag firewalls data-leakage dlp