Как ограничить копирование данных из сетевых папок, локального ПК, на флешки и внешние ресурсы?

Question

[vtkt]

Руководство боится утечки данных. Просит сделать так, чтобы никто ничего не мог скопировать из сетевых папок, с локального компа, на флешки и т.д. Иногда давать доступ, по согласованию. Пока идея поднять домен и максимально политикой всё урезать. Так же есть доступ по рдп, там тоже сделать ограничения.
На конференции КОТ ИБ, был разговор о софте. Который устанавливался на все компы, шифровал файлы из нужных папок. При копировании файлов, вне корпоративной сети (или думаю без второго ключа) они просто не откроются. Буду очень признателен за название софта и помощь коллег (:

Comments

[12rbah]

Возможно вам стоит уточнить информацию какого характера нужно защищать, т.к. возможно это может помочь узнать реальные решения.

На конференции КОТ ИБ, был разговор о софте. Который устанавливался на все компы, шифровал файлы из нужных папок.

Если этот софт умеет только это делать, то в винде есть бит локер или можно использовать vera crypt.

[mayton2019]

Еще мысль такая. Добавлю в комментариях. Обычно ИБ создает искусственные ограничения для работы бизнеса. Надо быть готовым к тому что после внедрения комплекса мер, сотрудники станут работать медленнее. Какие-то рутинные действия станут сложными. Что-то упадет. Моя практика показывает что плановые джобы и задания которые обычно работали вдруг оказывается что останавливаются и требуют MFA среди ночи в 12 часов. Легаси софт который раньше 10 лет качал и заливал на внешний FTP теперь уже нельзя использовать. Надо потратить деньги на переписываение софта или какой-то умный devops этого процесса.

Еще сложное - переобучить сотрудников работать по новому. Многие из них станут в позу. Скажут да ну вас нафик я увольняюсь. Гайки закручиваете. (А он просто по вечерам порнушку в офисе смотрел. Мало-ли).

Когда я работал в гос-конторе, некоторые сотрудницы в возрасте просто писали пароли на стикерах и клеили их на монитор. Это всё части огромного процесса внедрения мер по ИБ. И эти меры - не только технические. Это очень много орг-работы.

Answer 1

[TheBigBear]

Много лет пользовали Стахановца
В нем можно запретить запись на внешние носители, отслеживает все копирования-удаления - даже к себе их копирует перед удалением. Можно запретить прикрепление файлов в вэб почте. Отлична развита система отслеживания подозрительных действий, слова "ловушки".
Правда (не знаю как в новых версиях) в нашей плохо работал "клавиатурный почерк" и распознавание речи
Два раза ловили инсайдеров конкурентов, раз сотрудницу, сливающую данные в налоговую.
Раз помог найти украденный ноутбук
Сколько раз наказывали за безделье на работе - не счесть (соцсети, ютуб)
4 года назад в компании сменился владелец.
Приказал убрать стахановца, поменял мелкое руководство, изменил отношения в коллективе.
Запретил штрафы - если сотрудник сделал текущую на сегодня работу - пусть делает что хочет.
Мы вспомнили что такое "премия" за хорошую работу.
Раз собрал сотрудников и сообщил кто конкретно в коллективе на нас "стучит" и предложил вне конфликты разбирать публично
Вот не поверите, но на работу ходим с удовольствием

Comments

[CityCat4]

Когда начальство делает вещи, с моей точки зрения неоптимальные, я обычно Владимира нашего Семеныча вспоминаю "жираф большой - ему видней". На работу люди ходят - внезапно - работать. Если человек вместо работы начинает шариться по вконтактику или видосики смотреть - это ненормально (imho, разумеется). Поэтому те, кому некомфортно оттого, что кто-то видит статистику того, куда он пошел в тырнете - imho опять же - просто бездельники.
Стахановец стоит седьмой год. Некоторые вещи в нем появились с моей подсказки :) С разрабами я общался довольно плотно.
Несколько раз ловили людей, сливающих данные. Два раза - людей, работающих в рабочее время на сторону. Один раз - чела, который подделал документы, чтобы взять у конторы денег типа на лечение друга.
Неоднократно - когда чел собирался сменить работу.
Возможно, у нас просто коллектив такой. У нас выживают далеко не все. У нас остаются только настоящие энтузиасты своего дела, те, кто на работу ходит с удовольствием не зависимо от того, есть там мониторинг или нет.
Нормальных людей контролировать нет никакой необходимости. Но есть те самые 20%, ради которых приходится его держать.

Answer 2

[CityCat4]

Стахановец.

Правда, насчет "шифровал файлы" - такого там конечно же нет. Вещь крайне обоюдострая - забыл пароль - и все. Да, еще - чисто техническими средствами это не реализовать - только комплекс из технических и административных мер.

Стахановец - это Система Мониторинга Пользователей и, соответственно, руководство при приеме на работу обязано предупреждать, что таковой ведется. Желательно в письменном виде под роспись. Мониторится все, в том числе ввод с клавиатуры, делаются снимки экранов (помогало неоднократно против людей, которые продвинутые или просто "особо умные").

Но коненчно же не бесплатно. И даже не дешево.

Comments

[vtkt]

Спасибо за ответ. Про Стахановец почитаю, ознакомлюсь. По беглому просмотру функционала, огромный и возможно что то будет лишнее.

Можете подсказать где искать подобный софт, наш и забугорный. Рассматриваем платные варианты.
В каких категориях искать подобный софт?

[CityCat4]

Ключевые слова - СМП, DLP. DLP - более широкое понятие, СМП - более узкое, это часть DLP. Функционал у Стахановца действительно огромный, я далеко не весь использую, например агента под линух до сих пор не проверил.
Из минусов - недешевость, одна лицензия (одно подключение) - около 10 тыс руб. и сервер, который работает только под виндой и требует MSSQL. Да, там мускл вроде поддерживается, но в этом случае не будет синхронизации с AD.

Answer 3

[res2001]

Вам нужна DLP система. Их много разных. Обычно это достаточно тяжелый софт, требует серьезной настройки, разработки правил. Тяжелый - в том смысле, что с ним тяжело работать, требует от администратора определенного погружения в проблему. А не то что установил и забыл.
Конечно, никакая DLP система не даст 100% гарантии от утечек информации. Как уже писалось выше - это должно быть комплексным решением, начиная от организационной документации по ИБ под роспись сотрудников и до системы видеонаблюдения, сигнализации и т.п. И сама DLP тут далеко не на первом месте по эффективности, просто один из кирпичиков.

Answer 4

[12rbah]

Руководство боится утечки данных. Просит сделать так, чтобы никто ничего не мог скопировать из сетевых папок, с локального компа, на флешки и т.д.

По сути от копирования электронного документа нет защиты т.к. при просмотре файл все равно попадет в память. В целом можете конечно пробовать шифровать, тогда встанет вопрос, где безопасно хранить ключи. Хороший вариант использовать аудит и знать когда и кто получал доступ к файлу и настроить доступы в ad ds, если файл должен иметь ограниченный доступ, то наверное к нему не должен получать доступ любой сотрудник.

флешки

Можно отключить порты, если эта информация такая ценная, но все равно достаточно опытный пользотель сможет это обойти.

Comments

[Александр Ананьев]

Да можно просто на телефон снять документ с экрана

[12rbah]

Александр Ананьев, тут вопрос про копирование в электронном виде. А так да конечно можно, в целом работники банков так и делают при пробиве данных. В крайнем случае можно и запомнить нужные данные пусть и за несколько подходов.

[TheBigBear]

Александр Ананьев, У Стахановца есть функция "антифото"
Глянь видео

[Александр Ананьев]

TheBigBear, это он через камеру детектит мобильный телефон? А если это обычный компьютер без камеры?

[12rbah]

TheBigBear, если сильно нужно можно записать/сфотографировать при помощи небольшой камеры, но другое дело кому это реально нужно. Вообще эта система выглядит слишком жестко, наверное есть смысл её ставить на некоторые рабочие места, на которых ты будешь работать с важными документами.

Answer 5

[mayton2019]

Есть коробочное решение. Работа только на удаленных десктопах. Clean room. Ограниченный десктоп. Там только одно приложение. Это собственно клиент к удалённому. На десктопах демонтированы все usb слоты.

Answer 6

[Михаил]

Отключить USB физически, отключить доступ в интернет :)
Это если бесплатно