Comments 26
Я правильно понял, что просматриваемую веб-страницу нельзя будет сохранить на жесткий диск пользователя? Если да, то в чем функциональное отличие от простого подключения пользователя по RDP?
если разрешить мапинг дисков, то можно сохранить, все зависит, функционально это и есть RDP, только терминально работает одно приложение — веб браузер
В реальном мире может появиться необходимость дать пользователю возможность отправки данных в интернет через браузер, но при этом иметь отчет о файлах, которые передал пользователь.
В случае с обычным прокси-сервером можно приспособить под это дело Snort, скормив ему сигнатуры пакетов, из которых можно почерпнуть такую информацию как имя файла, размер файла, время передачи, направление+источник.
А как решить эту задачу в вашей схеме?
В случае с обычным прокси-сервером можно приспособить под это дело Snort, скормив ему сигнатуры пакетов, из которых можно почерпнуть такую информацию как имя файла, размер файла, время передачи, направление+источник.
А как решить эту задачу в вашей схеме?
файлы можно отправить, но только если они находятся в DMZ, по сути можно прикрутить прокси и Snort в DMZ
Читая эту инновацию от Microsoft, воспоминаю, что я так и делаю, пробрасывая Иксы с FireFox к себе из вне. То есть, использую ssh туннелирование иксов.
Не пробовал пробрасывать, но разве при этом не лишаемся возможности в одном окне открыть браузер, а в другом, скажем, IDE без дополнительных «рамок» вокруг браузера?
Видел рабочую реализацию этой идеи на 1000 рабочих мест в 2009-м году (в России).
Что именно здесь нового?
Что именно здесь нового?
«Безопасный и комфортный доступ»
Я бы добавил еще «безжалостный». Так жестко наступать на ноги своим подчиненным — это сурово.
Есть же механизмы защиты блокирующие запуск вообще любого исполняемого кода кроме подписанного. Хоть завались в таком окружении зловредами — они тупо не будут запускаться. Да, это требует внесения в политики новых версий ПО, контроля, поддержки и не работает «само». А ведь так хочется чтобы само… :))
Я бы добавил еще «безжалостный». Так жестко наступать на ноги своим подчиненным — это сурово.
Есть же механизмы защиты блокирующие запуск вообще любого исполняемого кода кроме подписанного. Хоть завались в таком окружении зловредами — они тупо не будут запускаться. Да, это требует внесения в политики новых версий ПО, контроля, поддержки и не работает «само». А ведь так хочется чтобы само… :))
Механизмы есть, но здесь рассматривается не только способ борьбы с вирусами, но и защита от передачи корпоративных данных. Ведь если у браузера сотрудника нет доступа к жестким дискам сотрудника, то он не сможет передать в интернет корпоративную документацию.
Если уж очень захочет — сфоткает с экрана монитора. Все эти ограничения — далеко не комфортные и часто просто раздражающие. Должен быть баланс между безопасностью и комфортом.
Баланс — вечный вопрос и больная мозоль :) Всегда приходится его искать. Между прочим, в определенных ситуациях описанная схема может быть даже очень лояльной к пользователям. Все в мире относительно :)
Кстати, недавно на веблансере проскакивал проект, в котором необходимо было выдернуть номера телефонов из ~20 фотографий детализации, сделанных с монитора :)
Кстати, недавно на веблансере проскакивал проект, в котором необходимо было выдернуть номера телефонов из ~20 фотографий детализации, сделанных с монитора :)
Описанная схема — да. Но вот для защиты от растаскивания надо еще жестко фильтровать почту, отключать флешки (это делают вообще очень часто, хотя это и раздражает очень сильно в определенных ситуациях) и вообще параноить надо по взрослому. И все равно — снять на камеру телефона 20 страниц теста (да хоть 2000, если правильно ее закрепить) и заказать потом распознание текста — никаких проблем не вызывает.
Можно, конечно, запретить мобильные телефоны с камерой :))
Можно, конечно, запретить мобильные телефоны с камерой :))
в данной статье подымался вопрос про интернет доступ (браузинг), а вообще согласен, все нужно в комплексе
Обычно статьи на тему перекрытия одного из каналов утечки всегда комментируются в стиле «есть еще дофига каналов утечки» :)
И совсем не зря. Очень часто прикрывая один канал утечки забывают либо про все остальные вообще, либо про многие. Все их закрыть сложно, а если ставить себе задачу закрыть так, чтобы никому ничего не прищемить, то вообще невозможно. В итоге выходит что зачастую все эти меры не имеют особого результата — пока в решете все дырки не закрыть — все равно водичка будет убегать.
По кругу выходит, что возможности увода информации есть, защита не абсолютна, а та защита которая имеется — только портит кровь.
По кругу выходит, что возможности увода информации есть, защита не абсолютна, а та защита которая имеется — только портит кровь.
Нет абсолютной защиты. Это понимают все.
Во всех стандартах по информационной безопасности описана схема: анализ каналов утечки — применение средств безопасности — анализ инцидентов безопасности — выработка решения — применение средств — анализ инцидентов -…
Цель внедрения любого решения по безопасности — снижение рисков до приемлемого уровня. Чем ниже риски, тем спокойнее спится.
Применяя вашу аналогию с решетом можно сказать: чем больше дырок в решете закроется, тем лучше. Чем больше уязвимых мест будет закрыто, тем больше вероятность, что злоумышленник не пойдет искать следующее уязвимое место. Чем больше времени потратит злоумышленник на поиск уязвимости, тем больше вероятность, что к моменту слива целевая информация потеряет актуальность.
Цель любой системы безопасности — сделать так, чтобы стоимость ресурсов, затрачиваемых на кражу информации, превосходила стоимость информации.
Ну и не стоит забывать, что существует такое понятие, как непреднамеренная утечка информации. И процент непреднамеренной утечки очень большой. Данная схема, в основном, направлена на снижение этого процента. Ну и на повышение количества затраченных ресурсов злоумышленника.
Во всех стандартах по информационной безопасности описана схема: анализ каналов утечки — применение средств безопасности — анализ инцидентов безопасности — выработка решения — применение средств — анализ инцидентов -…
Цель внедрения любого решения по безопасности — снижение рисков до приемлемого уровня. Чем ниже риски, тем спокойнее спится.
Применяя вашу аналогию с решетом можно сказать: чем больше дырок в решете закроется, тем лучше. Чем больше уязвимых мест будет закрыто, тем больше вероятность, что злоумышленник не пойдет искать следующее уязвимое место. Чем больше времени потратит злоумышленник на поиск уязвимости, тем больше вероятность, что к моменту слива целевая информация потеряет актуальность.
Цель любой системы безопасности — сделать так, чтобы стоимость ресурсов, затрачиваемых на кражу информации, превосходила стоимость информации.
Ну и не стоит забывать, что существует такое понятие, как непреднамеренная утечка информации. И процент непреднамеренной утечки очень большой. Данная схема, в основном, направлена на снижение этого процента. Ну и на повышение количества затраченных ресурсов злоумышленника.
Да я это все понимаю и не оспариваю. Вопрос в актуальности, собственно. На сколько та самая потенциально слитая кому-то информация вообще ценна? Если к ней имеет доступ тот, кто не должен иметь доступа (какие-то финансовые документы, например), то это уже не нормально. Если же доступ имеет два человека, а один из них генеральный директор, то тоже как-то не очень понятно зачем городить огород.
Я о том, что айтишники, бывает, с пристрастием подходят к защите и тщательно сражаются за безопасность, которая может быть в этом месте во первых не нужна совершенно, а во вторых часто упускают самые простые способы увода этой самой информации. Камерой современного телефона можно много и качественно снять. Ноутбук генерального может быть украден, а на нем могут быть не шифрованные данные (было такое в компании, в которой я работал. Тупо потащили ноутбук за сетевой провод и вытащили через решетку) и тому подобные часто не айтишные способы увода информации.
Я на заре своего сайтостроительства вступил во владения без предшественника. Был нужен доступ к сайту (ftp), которого предшественник не оставил. Я позвонил хостеру и спросил пароли. Сказал, мол, так и так — я новый программист. Мне продиктовали пароли и я занялся своими делами. При этом всем та же компания выделяла дисковую квоту с шагом в 200 мегабайт и только по письменному запросу на корпоративном бланке.
Равнопрочность должна быть. Если у стула одна ножка гнилая — нет смысла делать супермощными все остальные — сломается именно гнилая ножка.
Я о том, что айтишники, бывает, с пристрастием подходят к защите и тщательно сражаются за безопасность, которая может быть в этом месте во первых не нужна совершенно, а во вторых часто упускают самые простые способы увода этой самой информации. Камерой современного телефона можно много и качественно снять. Ноутбук генерального может быть украден, а на нем могут быть не шифрованные данные (было такое в компании, в которой я работал. Тупо потащили ноутбук за сетевой провод и вытащили через решетку) и тому подобные часто не айтишные способы увода информации.
Я на заре своего сайтостроительства вступил во владения без предшественника. Был нужен доступ к сайту (ftp), которого предшественник не оставил. Я позвонил хостеру и спросил пароли. Сказал, мол, так и так — я новый программист. Мне продиктовали пароли и я занялся своими делами. При этом всем та же компания выделяла дисковую квоту с шагом в 200 мегабайт и только по письменному запросу на корпоративном бланке.
Равнопрочность должна быть. Если у стула одна ножка гнилая — нет смысла делать супермощными все остальные — сломается именно гнилая ножка.
Это все понятно, просто получается, человек привел способ перекрытия канала утечки, а ему сказали, что смысла нет его перекрывать, потому что еще 10 каналов есть :)
Я считаю, что это довольно адекватная статья, описывающая один из механизмов предотвращения утечки информации через интернет. При этом здесь сделан упор на комфорт пользователя. Пусть он и не такой, как дома, но сам факт того, что безопасник думает о пользователе, уже вешает на него плюс :)
Я считаю, что это довольно адекватная статья, описывающая один из механизмов предотвращения утечки информации через интернет. При этом здесь сделан упор на комфорт пользователя. Пусть он и не такой, как дома, но сам факт того, что безопасник думает о пользователе, уже вешает на него плюс :)
совершенно верно
Давайте представим типичную компанию: бухгалтера отправляют отчеты (онлайн-банкинг), отдел кадров занимается просмотром резюме (рекрутинг-сайты), пиар отдел заказывает у подрядчиков рекламу (ищут подрядчика, смотрят работы). Все работают через браузер. Скажите, должен ли браузер иметь доступ к HDD? Будь то локальная папка или сетевая — должен. Бухгалтера должны откуда-то загружать отчеты, HR'ы — сохранять просмотренные резюме, а пиарщики — макеты и эскизы. Возвращяясь к локальным или сетевым папкам — доступ должен быть как с компьютера пользователя, так и с APP-сервера, на котором запускается браузер. Соответственно никто не мешает в эту папку забросить конфиденциальные данные. А значит — дыра в безопасности не закрыта.
Я ни в коем случае не говорю, что эта технология не имеет права на жизнь. Но она скорее нужна тем, кто должен работать в режиме read-only — например, гости, пришедшие в компанию.
Вы сами выбрали сферу IT и Вы должны понимать, что IT — это обслуживающий персонал. И необходимо учитывать комфорт, а не ставить безопасность превыше всего. Уборщица ведь тоже может перекрыть Вам доступ в туалет на целый день, заявляя, что тем самым уберегает конфиденциальные данные от передачи Вами посредством MMS/мобильного интернета в тех местах, где нету камер видеонаблюдения.
Я ни в коем случае не говорю, что эта технология не имеет права на жизнь. Но она скорее нужна тем, кто должен работать в режиме read-only — например, гости, пришедшие в компанию.
Вы сами выбрали сферу IT и Вы должны понимать, что IT — это обслуживающий персонал. И необходимо учитывать комфорт, а не ставить безопасность превыше всего. Уборщица ведь тоже может перекрыть Вам доступ в туалет на целый день, заявляя, что тем самым уберегает конфиденциальные данные от передачи Вами посредством MMS/мобильного интернета в тех местах, где нету камер видеонаблюдения.
Sign up to leave a comment.
Безопасный и комфортный доступ в интернет или как защитить свою сеть от интернет угроз без неудобств