Byť mám tento server a web rád, proto sem ostatně chodím
, rozhodně není vhodným prostorem na dotazování se na podobné oblasti a témata, jako je masivní blokování nežádoucího provozu, omezování a monitoring uživatelů čí případně důsledné vynucování dodržování bezpečnostních politik.
Základem je maximální omezení uživatelských oprávnění k cílové stanici. Pokud máte dostatečně vyprofilované pozice (role), dá se dokonce postupovat tak, že zakážete úplně všechno, a pak povolíte opravdu pouze to, co uživatel potřebuje ke své práci. V prostředí s MS AD a MS stanicemi je to víceméně legrace, u linuxových stanic trošku bádání, u MACu peklo, ale dá se to zvládnout také.
Neexistuje, že by si uživatel mohl stáhnout jakoukoliv aplikaci z neautorizovaného zdroje, natož ji nainstalovat. Kromě omezení uživatelských oprávnění má ještě každá stanice instalovaný dohledový software, který hlídá její integritu, aktualizace a patche, a kterou lze zvlášť v prostředí Windows jen velmi obtížně vypnout - a to i pro administrátora.
Samostatnou kapitolou je Internet. Role, které ho ani nepřímo nepotřebují ke své práci, ho mají kompletně blokovaný - to je práce přímo pro firewall. Výjimku má pouze e-mailový klient, protože e-mail máme stručně řečeno "v cloudu".
Role, které potřebují Internet nepřímo k práci (například omezenou skupinu stále se opakujících domén), mají vše blokováno, ale whitelistované povolené domény, a je monitorováno, kde a kdy se jak pohybují. To je úkol pro proxy.
Ojedinělé role, které potřebují tzv. "celý Internet", na něj přistupují přes pravidelně udržované blacklisty, které jednak obsahují konkrétní domény, druhak regulární výrazy na různé řetězce v doméně, koncovky, velikost a formát stahovaných souborů (například multimediální soubory, archivy ZIP, RAR apod. jsou blokovány kompletně pro všechny), ve třetí řadě pak je vše monitorováno a vyhodnocováno. Nalezení byť je pokusu o použití TOR, jakékoliv formy VPN na VPS nebo konkrétní IP je považováno za hrubé porušení pracovní kázně, protože je to ošetřeno i v příslušných právních dokumentech.
Samozřejmostí jsou blokované USB porty, hesla k BIOSům, šifrované disky a u vybraných rolí pak vícefaktorová autentizace. Nyní se testuje svázání uživatelského jména s konkrétním zařízením (jinde se tím uživatelem přihlásit pak nejde), a timeplany - nejde se přihlásit mimo předpokládanou pracovní dobu, anebo případně jen na velmi omezenou dobu. Koncept BYOD zanikl sám o sobě, protože jeho podmínkou byla aplikace firemních bezpečnostních nástrojů a politik i na ta vlastní donesená zařízení, což pochopitelně nikoho moc nenadchlo.
Celou tuhle legraci zajišťují dva redundantní security appliance od poměrně neznámé firmy, které však mají poměrně široký záběr. Doplňují ji antispam od naopak věhlasné firmy, antivir od relativně známé firmy, pro speciální účely pak "lehké" řešení v kombinaci SQUID a HAproxy. "Backbone" je MS doména, AD, a mnoho dalších featur, které MS nabízí. Nenakupují se žádné internetové služby ani aplikace, které nemají tlusté klienty.
Nadstavbou je pak automatická klasifikace a podepisování citlivých firemních dokumentů, které pak nelze vynést z firmy nijak jinak, než nafocené na mobil.
Když se toto celé dva roky testovalo a postupně nasazovalo, největší odpůrci hlasitě křičeli, že odejde většina lidí, pak že podstatná část, a pak že ti nejschopnější, protože to už není bezpečnost, ale šikana. Výsledek? Odešlo několik jedinců, kteří byli přesvědčeni, že volný přístup z práce na Internet, volná možnost instalovat si do služebních zařízení co je jen napadne a různé fejkování a obcházení bezpečnostních opatření je snad uvedeno v Základní listině práv a svobod. Mírně se to kompenzovalo nabídkou SIM karet zaměstnancům s datovým tarifem a 10GB FUP za velmi výhodnou cenu, protože není žádný důvod, aby neměli ve svých soukromých tabletech a telefonech solidní Internet, a také zřízením separátní WiFi sítě pro "hosty", důsledně izolované od čehokoliv firemního, aby případně ti, kteří o SIM od firmy zájem neměli, alespoň v práci šetřili svá data.
Důsledek byl však takový, že za poslední 4 roky jsme neměli žádný bezpečnostní incident - jakože vůbec žádný. Kupodivu údajně stoupla produktivita práce (o tohle se nezajímá, ale dokážu si představit, že když už někdo neměl jinou možnost, než v té práci opravdu 8 hodin pracovat, tak to možná začal i dělat... nevím), a na výstupním interface do WAN poklesl provoz o 64 procent.
Možná to bude tím, že nepracuji pro nadšený technologický startup o 10ti lidech, ale pro zavedenou mezinárodní společnost, která jen v Čechách zaměstnává přes 850 lidí. Možná to bude tím, že nás už nebavilo neustále řešit problémy způsobené zjevně nevhodným nebo neuváženým chováním uživatelů. Každopádně osobně si myslím, že doba "neomezeného" je dávno pryč, a nyní je z mnoha různých důvodů (bezpečnost nevyjímaje) doba restrikcí a omezování. Čím důmyslnějších a efektivnějších, tím lepších.
Pokud bude někdo chtít, rád mu sdělím do e-mailu konkrétní informace o obecně popisovaných věcech v mém příspěvku.
30 Odpovědí
8237 Zhlédnutí