Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 48
Мои 5 коп.:
Соцмедиа ни в коем разе не мешают продуктивности работника. Если работник работает плохо — избавляться надо от работника. Он не станет работать лучше, если у него забрать всю или почти всю «развлекаловку». Верьте, он найдет способ развлечься. Даже просто будет раскладывать пасьянс или даже тупо втыкать в монитор (наблюдалось и такое)
Наоборот, развлечения помогают продуктивности работы: скажем, устал, посмотрел видео или послушал музыку — отдохну, и вперед с новыми силами. Это в ту же тему, как и работа сутками. Еще, бывает, нужный материал (скажем, статья в блоге на нужный для работы вопрос) находится на заблокированном ресурсе…
С помощью соцмедиа повышается коммуникабельность сотрудников — банально кинутая веселая картинка в ИМ укрепляет сплоченность команды и хороший настрой на рабочий день. Нет ничего лучше слушать музыку с того же ВК, или в обеденный перерыв (оставшиеся полчаса) прогуляться по новостям. Бывает, нет работы в данный час — если некуда пойти, это очень угнетает.
И последний момент: если все закрыто, создается психологическая нагрузка от впечатления «нельзя, я за тобой слежу, работай, раб!» — отчего падает и продуктивность, и мотивация.
Соцмедиа ни в коем разе не мешают продуктивности работника. Если работник работает плохо — избавляться надо от работника. Он не станет работать лучше, если у него забрать всю или почти всю «развлекаловку». Верьте, он найдет способ развлечься. Даже просто будет раскладывать пасьянс или даже тупо втыкать в монитор (наблюдалось и такое)
Наоборот, развлечения помогают продуктивности работы: скажем, устал, посмотрел видео или послушал музыку — отдохну, и вперед с новыми силами. Это в ту же тему, как и работа сутками. Еще, бывает, нужный материал (скажем, статья в блоге на нужный для работы вопрос) находится на заблокированном ресурсе…
С помощью соцмедиа повышается коммуникабельность сотрудников — банально кинутая веселая картинка в ИМ укрепляет сплоченность команды и хороший настрой на рабочий день. Нет ничего лучше слушать музыку с того же ВК, или в обеденный перерыв (оставшиеся полчаса) прогуляться по новостям. Бывает, нет работы в данный час — если некуда пойти, это очень угнетает.
И последний момент: если все закрыто, создается психологическая нагрузка от впечатления «нельзя, я за тобой слежу, работай, раб!» — отчего падает и продуктивность, и мотивация.
Полностью согласен. Были у нас случаи и с плохими работниками. Там всё было просто: если сотрудник не выолпнят свою работу, начальник начинает искать этому косвенные признаки. Потреблёный объём трафика, и более пристальное наблюдение за качеством работы сотрудника — дают гарантированный результат.
И тут я считаю, что лезть системному администратору дальше чем помочь осуществить доступ руководства к компьютеру работника, его документам — лезть не имеет смысла. И сам никогда не лез, и считаю, что я такой же работник как и служащий в офисе.
А музыка из vk и всё прочее — это произведение состоящее из: ширины канала офиса * доброту руководства конкретного отдела. И как правило ширина канала всё же диктует свои условия.
И тут я считаю, что лезть системному администратору дальше чем помочь осуществить доступ руководства к компьютеру работника, его документам — лезть не имеет смысла. И сам никогда не лез, и считаю, что я такой же работник как и служащий в офисе.
А музыка из vk и всё прочее — это произведение состоящее из: ширины канала офиса * доброту руководства конкретного отдела. И как правило ширина канала всё же диктует свои условия.
Вирусы..? — Как было много, так и есть много. Ничего не спасёт от этого на должном уровне, кроме светлой головы и антивируса на конечном рабочем месте.
Нет ничего 100%-ого. Но стремиться к этому нужно. У нас начала появляться практика: закрывать доступ в инет машинам на которых WinXP (парсят по user-agent). Ибо зловредов, передающих данные в инет на таких системах масса. А с Win7 иж жизнь осложняется.
Хочет сотрудник инет — пусть пользуется другой ОС (Win7 или Linux или ещё что). Нужна WiinXP, потому что только под неё работает прога с какой-то железкой? Ставит себе на виртуалку или на ноут, но без инета
Безусловно необходимо стремиться.
Я вижу это следующим образом: приобретается корпоративный платный антивирус. Приобретается лицензионное ПО на компьютер. — Отнимаются права «Администратора» на рабочем месте. Этих трёх составляющих уже вполне достаточно.
Как дополнение: можно запретить запуск exe файлов со съёмных носителей, и на подпись сотруднику дать бумагу, что он обязуется не устанавливать никакого дополнительного программного обеспечения приведённого ниже по списку (без предварительного согласования с начальником отдела, и отделом ИТ.).
Эти меры дают наиболее ощутимый результат по моему мнению. Замену лицензионной WindowsXP руководство не спешит делать, так-как это финансовые затраты, по-этому приходтся сопровождать то, что есть. Постепенно конечно оно вытесняестся, но любой процесс требующий больших затрат и не приносящий очевидной выгоды всегда будет протекать медленно.
А что касается «залётной» ЭВМ техники: то такую технику необхоидмо уводить в отдельную подсеть со своими правилами firewall, по возможности без доступа вообще в корп. сеть. — И пусть там хоть WindowsME будет у них. Это их дело.
Интересное конечно решение не пускать по UserAgent.
Я вижу это следующим образом: приобретается корпоративный платный антивирус. Приобретается лицензионное ПО на компьютер. — Отнимаются права «Администратора» на рабочем месте. Этих трёх составляющих уже вполне достаточно.
Как дополнение: можно запретить запуск exe файлов со съёмных носителей, и на подпись сотруднику дать бумагу, что он обязуется не устанавливать никакого дополнительного программного обеспечения приведённого ниже по списку (без предварительного согласования с начальником отдела, и отделом ИТ.).
Эти меры дают наиболее ощутимый результат по моему мнению. Замену лицензионной WindowsXP руководство не спешит делать, так-как это финансовые затраты, по-этому приходтся сопровождать то, что есть. Постепенно конечно оно вытесняестся, но любой процесс требующий больших затрат и не приносящий очевидной выгоды всегда будет протекать медленно.
А что касается «залётной» ЭВМ техники: то такую технику необхоидмо уводить в отдельную подсеть со своими правилами firewall, по возможности без доступа вообще в корп. сеть. — И пусть там хоть WindowsME будет у них. Это их дело.
Интересное конечно решение не пускать по UserAgent.
Отнимаются права «Администратора» на рабочем месте.
Увы, это не всегда возможно. Часто такая мера затрудняет развитие в компании
можно запретить запуск exe файлов со съёмных носителей
Это поддерживает Outpost Security Suite. Неплохая штука
на подпись сотруднику дать бумагу, что он обязуется не устанавливать никакого дополнительного программного обеспечения приведённого ниже по списку
Как показывает практика, закон не работает, если не следить за его исполнением. А кто будет этим заниматься?
Замену лицензионной WindowsXP руководство не спешит делать, так-как это финансовые затраты, по-этому приходтся сопровождать то, что есть.
Полностью согласен. Но если мы говорим о WindowsXP — как о компьютере, с которого могут утекать данные в интернет — бесплатная замена на ту же Ubuntu — вполне себе вариант. Сёрфинг по инету там не сильно отличается от винды. Немного поворчав вначале («нафига мне твой линукс? я не хочу в консоли сидеть! мне окошки нравятся»), люди вполне себе привыкают, когда начинают с этим работать.
Правда, тут возникает другая проблема: перенос документов из линукса в винду. Начинают таскать чувствительные данные на флешке. А флешка может потеряться. у нас кое-где практикуется виртуальная машина с общей папкой, которая видна и в винде, и в линуксе
побуду КО:
В начале своей работы системным администратором когда я приходил в компанию, я считал, что доступ в Интернет должен быть очень строго регламентирован, что всё должно быть учтено, и подконтрольно. Никто не должен получать социальные медиа на рабочих местах, к таким медиа я относил социальные сети, видеохостинги, и всё прочее.добрый совет админам: если у вас без видимой причины(в т.ч. априорно) вдруг стали появляться мысли о необходимости закручивания гаек в тех сферах, где вы не особенно компетентны, например, если вам кажется, что vk надо бы закрыть (ведь таким образом сотрудники стануть работать более продуктивно), это значит, что у вас слишком много свободного времени и лучше будет потратить его не на синдром вахтера, а на повышение своей квалификации. Админы нужны, чтоб ничего не сломалось, не скомпрометировалось, юзерам удобно работалось, а безопасники и начальство могли получать ответы на свои вопросы и принимать необходимые меры. Решать нужно закрывать youtube или vk(для повышения отдачи работников) админу не нужно, об этом должна болеть голова у совсем других людей. Очень рад, что автор это понимает.
Да, именно к таким выводам я и пришёл. Я стараюсь думать какой ответ по сотруднику я смогу дать руководству, и если этот уровень приемлем, то и нет смылса играть в вахтёров. Ну и поглядывать за величинами трафика необходимо, чтобы отслеживать вирусную активность. Если будет какой-то троянец хитрый никакие средства безопасности не смогут предотвратить кражу ценной информации, и на таких ПК лучше вообще не иметь Интернет.
Лучше развиваться в сторону изучения нового, нежели бегать и всех ограничивать.
Лучше развиваться в сторону изучения нового, нежели бегать и всех ограничивать.
Порт 443, и ряд других портов пришлось открыть, ведь очевидно всякому, что ряд портов просто невозможно проксировать
HTTPS легко анализируется.
фильтрация трафика на L7 уровне приносит больше проблем чем пользы
Да ну? Добавить в запрещенные категории «malicious» и «adware» — куда более эффективное средство защиты от вирусов, чем сам антивирус.
Если, конечно, списки по категориям постоянно обновляются.
Домен Windows это хорошо, но всё больше и больше появляется *Pad техники, так что и домены уже потеряли можно сказать свой первоначальный смысл — единый ландшафт.
Да, BYOD набирает популярность. Потому внедряются решения, профилирующие устройства на уровне доступа и в зависимости от этого регламентирующие доступ к сети. В случае цисок это ISE для вайфая и проводных сетей. Очень эффективно. Правда, такие решения стоят не две копейки, и поддерживать их непросто.
Необходимо ли это? Смотря где. В мелкой фирме на 20 человек — вряд ли. В крупном банке — несомненно (включая блокировку ютуба, соцсетей, почтовых сервисов и т.д., а также доступа во внутреннюю сеть для неавторизированных устройств).
В моей компании на несколько тысяч сотрудников суммарно используется в среднем 10-20мбит/с интернет-трафика (если исключить VPN трафик и любые другие способы подключения внешних сотрудников к внутренней сети, а также туннели с другими организациями). Все довольны. А когда я работал в мелкой фирме на 20 человек — 10мб/с как-то не хватало. Парадокс?
Да, похоже на фантастику, чтобы тысячу сотрудников могли использовать столь узкий канал. Это достигается жёстким ограничением соц. медиа? — Не думаю, что кеширующий прокси сервер на такое способен в эпоху Web2.0 и повального роста HTTPS траффика.
BYOD набирает популярность, но он более развлекательный характер носит — то есть его спокойно можно отвести в отдельную локальную сеть. — Как показывает мой опыт, люди не хотят носить с собой свои ноутбуки, потому как это тяжело, а вот побаловаться планшетником вполне себе, но как показывает практика это устройства потребления контента, т.е. сотрудники кроме как почту более ничего из корпоративного не делают на таких вещах. В настоящий момент у нас только один сотрудник изъявил желание носить корпоративный ноутбук, и пользоваться только им. Не знаю насколько ему это в конечном счёте будет удобно. — Вот этот вариант мне в плане безопасности видится самым плохим вариантом увы.
Конечно я понимаю, что в банке должно всё быть строго. А вообще мне видится, что на ЭВМ которые обрабатывают критически ценную информацию — вообще не должно быть никакого Интернет — так спокойно и надёжно.
Спасибо за CISCO ISE, интересно почитать об этом.
BYOD набирает популярность, но он более развлекательный характер носит — то есть его спокойно можно отвести в отдельную локальную сеть. — Как показывает мой опыт, люди не хотят носить с собой свои ноутбуки, потому как это тяжело, а вот побаловаться планшетником вполне себе, но как показывает практика это устройства потребления контента, т.е. сотрудники кроме как почту более ничего из корпоративного не делают на таких вещах. В настоящий момент у нас только один сотрудник изъявил желание носить корпоративный ноутбук, и пользоваться только им. Не знаю насколько ему это в конечном счёте будет удобно. — Вот этот вариант мне в плане безопасности видится самым плохим вариантом увы.
Конечно я понимаю, что в банке должно всё быть строго. А вообще мне видится, что на ЭВМ которые обрабатывают критически ценную информацию — вообще не должно быть никакого Интернет — так спокойно и надёжно.
Спасибо за CISCO ISE, интересно почитать об этом.
И ещё вопросик: а на какой предмет легко анализировать HTTPS? На предмет левых данных по порту которые не описаны в протоколе HTTPS?
Подмена сертификата — и HTTPS превращается для прокси в HTTP. Такую атаку провести проще простого где угодно, но если вы не загрузите сертификат прокси в доверенные на клиенте, то любой браузер будет страшно материться. А если загрузите, то лишь ОЧЕНЬ внимательный юзер заметит, что данные перехватываются.
Сертификат на какой CN будем подсовывать?
Сертификат УЦ, коим будет спуфящий сертификаты прокси. Он должен быть доверенным. И прокси генерирует по сертификату на каждый домен, куда заходит юзер.
Это, кстати, штатный функционал Forefront TMG. К сквиду вроде тоже прикручивается.
Это, кстати, штатный функционал Forefront TMG. К сквиду вроде тоже прикручивается.
Кстати, в MS совсем двинулись на виртуализации с облаками и решили убить TMG:
blogs.technet.com/b/server-cloud/archive/2012/09/12/important-changes-to-forefront-product-roadmaps.aspx
blogs.technet.com/b/server-cloud/archive/2012/09/12/important-changes-to-forefront-product-roadmaps.aspx
Это достигается жёстким ограничением соц. медиа?
Конечно. Например, зачем обычному сотруднику смотреть ютуб? Ну а чтобы он мог скачивать или закачивать файлы — это вообще безумие. Для отправки мелких файлов есть почта с RMS. Для крупных — централизованные FTP. А скачивать… Зачем?
и повального роста HTTPS траффика
А что конкретно мешает слушать HTTPS трафик, ходящий между администрируемыми вами компьютерами и интернетом?
на ЭВМ которые обрабатывают критически ценную информацию — вообще не должно быть никакого Интернет
Неограниченного интернета нет ни на одной системе.
Какие-то сервера требуют доступ наружу — доступ предоставляется к конкретным адресам по конкретным портам.
Те, что должны быть доступны снаружи, жестко изолированы от внутренней сети.
Что до процессинга… Почитайте требования PCI DSS.
Здорово, тут больше вопрос конечно уровня компании.
Чтобы поддерживать такую систему ограничений, необходимо вкладывать в IT большие средства, тотже RMS, требует дорогих версий office к примеру. — Думаю, что далеко не во всех компаниях соотношение цены конфиденциальности и безопасности при приемлемом уровне удобства будет оправдывать конечный результат.
Наверно насколько это нужно решается конкретным руководством, на конкретном предприятии.
Как Вы считаете (положа руку на сердце) — не ужто нету способов вынести ценную информацию с предприятия при таком уровне ограничений что Вы написали? — Мне кажется что в самом крайнем случае снимок экрана компьютера на мобильный телефон всегда можно вынести. Да и головы сотрудников никто не отменял.
В общем конечно всё от политики зависит, я думаю если ограничивать соц.медиа на раб. местах, необходимо мотивировать сотрудника другими вещами, к примеру з/п или карьерным ростом, то есть за 15-25 тысяч врядли кто-то будет терпеть все эти ограничения.
Чтобы поддерживать такую систему ограничений, необходимо вкладывать в IT большие средства, тотже RMS, требует дорогих версий office к примеру. — Думаю, что далеко не во всех компаниях соотношение цены конфиденциальности и безопасности при приемлемом уровне удобства будет оправдывать конечный результат.
Наверно насколько это нужно решается конкретным руководством, на конкретном предприятии.
Как Вы считаете (положа руку на сердце) — не ужто нету способов вынести ценную информацию с предприятия при таком уровне ограничений что Вы написали? — Мне кажется что в самом крайнем случае снимок экрана компьютера на мобильный телефон всегда можно вынести. Да и головы сотрудников никто не отменял.
В общем конечно всё от политики зависит, я думаю если ограничивать соц.медиа на раб. местах, необходимо мотивировать сотрудника другими вещами, к примеру з/п или карьерным ростом, то есть за 15-25 тысяч врядли кто-то будет терпеть все эти ограничения.
> А что конкретно мешает слушать HTTPS трафик, ходящий между администрируемыми вами компьютерами и интернетом?
Я думаю, что мешает отсутствие большого смысла в этом действии. Тот кто реально захочет унести — унесёт. Кто захочет принести — принесёт.
Я думаю, что мешает отсутствие большого смысла в этом действии. Тот кто реально захочет унести — унесёт. Кто захочет принести — принесёт.
Чтобы поддерживать такую систему ограничений, необходимо вкладывать в IT большие средства
В IT и так вкладываются большие средства. Например, коммутаторы с 6-значными ценниками (в долларах) — норма.
не ужто нету способов вынести ценную информацию с предприятия при таком уровне ограничений что Вы написали? — Мне кажется что в самом крайнем случае снимок экрана компьютера на мобильный телефон всегда можно вынести.
Знаете… Когда я ставлю себя на место простого сотрудника, не обладающего моим доступом к сетевому оборудованию и моими знаниями об устройстве инфраструктуры защиты информации… Пожалуй, действительно ничего надежнее фотоаппарата в голову не приходит. Тогда человек сможет вынести часть данных, к которым он имеет доступ. Т.е. очень мало. Да и не везде пофотографируешь — в опенспейсах висят камеры.
за 15-25 тысяч врядли кто-то будет терпеть все эти ограничения.
Операторы контакт-центра (фактически — низшая должность в компании, и исключительно тяжелая) получают примерно столько. В интернетах они не сидят даже не потому, что он ограничен — тупо некогда. Все перерывы строго регламентированы. Интервал между звонками — секунд 5-10. Ничего, терпят, хотя текучка там немаленькая.
Конечно я более чем согласен, что в call центре нужны именно такие меры о которых Вы пишете. — В общем классный подход, для большой компании. — Теперь я понимаю почему в Вас мало трафика, людям некогда просто — это тоже очень не маловажный фактор.
Для более простых компаний, коммутаторы с шестизначным ценником я думаю не всегда будут оправданы.
Ну я думаю, что помимо фотоаппарата всегда найдутся и другие способы вынести информацию. А особо ценной информации (то есть такой информации которая действительно представляет ценность) как правило не столь и много у компании.
Конечно тут полное исключение банк — я прекрасно отдаю себе отчёт, что если из банка вынесут информацию о движении средств это будет не очень хорошо, и я сам не хочу иметь вклад в таком банке. Я рассуждаю про простые офисы. Где всё висит на одном-двух системных администраторах и выносить особенно и нечего, так чтобы уж очень.
Да и в крупной компании я более чем уверен, что есть большие уязвимости в безопасности, наверняка региональный шеф сказал — хочу полный интернет. — И таки добился своего.
Для более простых компаний, коммутаторы с шестизначным ценником я думаю не всегда будут оправданы.
Ну я думаю, что помимо фотоаппарата всегда найдутся и другие способы вынести информацию. А особо ценной информации (то есть такой информации которая действительно представляет ценность) как правило не столь и много у компании.
Конечно тут полное исключение банк — я прекрасно отдаю себе отчёт, что если из банка вынесут информацию о движении средств это будет не очень хорошо, и я сам не хочу иметь вклад в таком банке. Я рассуждаю про простые офисы. Где всё висит на одном-двух системных администраторах и выносить особенно и нечего, так чтобы уж очень.
Да и в крупной компании я более чем уверен, что есть большие уязвимости в безопасности, наверняка региональный шеф сказал — хочу полный интернет. — И таки добился своего.
Теперь я понимаю почему в Вас мало трафика, людям некогда просто
Но у нас в контакт-центре не так уж много людей работает. Сотрудникам на более приличных позициях живется куда проще.
всегда найдутся и другие способы вынести информацию
Да на самом деле их как бы и нет. Ну можно стеганографией прятать по 10 слов в картинку с котятами. Но это не те объемы, что могут представлять опасность. Да и нужно еще как-то умудриться осуществить импорт текста в изображение…
А особо ценной информации (то есть такой информации которая действительно представляет ценность) как правило не столь и много у компании.
Ну как… Гигабайты, или десятки гигабайт. Клиентская база, транзакции и прочее.
Я рассуждаю про простые офисы.
А в простых офисах ограничения имеют другой смысл. Хотя бы те же каналы.
наверняка региональный шеф сказал — хочу полный интернет. — И таки
… был послан на три буквы.
Даже у предправления нет неограниченного интернета. Даже предправления не может, к примеру, зайти на публичный почтовый сервис. Если он потребует — этот доступ ему дадут, но он не требует. И порнуха, конечно, заблокирована. И стандартные категории вроде «malicious».
Что до регионального шефа — дирекция информационной безопасности плевать хотела на его хотелки, она подчиняется только предправления. Если региональный шеф вежливо попросит и обоснует, то ему могут открыть отдельные сайты и категории сайтов. Но не неограниченный доступ.
> Да на самом деле их как бы и нет. Ну можно стеганографией прятать по 10 слов в картинку с
> котятами. Но это не те объемы, что могут представлять опасность.
Прятать в картинку можно значительно больше информации: РарЖупег
> котятами. Но это не те объемы, что могут представлять опасность.
Прятать в картинку можно значительно больше информации: РарЖупег
Любая нормальная DLP система такое пресечет.
да ладно, к bitmap-заголовку приклеиваешь RAR-архив на место данных пикселей и всё.
1. открытию в WinRAR или в FAR не помешает — они сканируют весь файл в поисках заголовка (а вдруг это SFX-архив)
2. у буржуёв RAR малоизвестен, microsoft его вообще не признаёт, так что буржуйская система не станет искать RAR-заголовок
3. с точки зрения формата bitmap файл абсолютно корректен, а распознавание образов — что там нарисовано — ещё никто не делал
1. открытию в WinRAR или в FAR не помешает — они сканируют весь файл в поисках заголовка (а вдруг это SFX-архив)
2. у буржуёв RAR малоизвестен, microsoft его вообще не признаёт, так что буржуйская система не станет искать RAR-заголовок
3. с точки зрения формата bitmap файл абсолютно корректен, а распознавание образов — что там нарисовано — ещё никто не делал
2. у буржуёв RAR малоизвестен, microsoft его вообще не признаёт, так что буржуйская система не станет искать RAR-заголовок
Это не соответствует действительности.
ну назовите вашу любимую DLP, а я к ней документацию поищу.
даже если формат известен, обойти элементарно: заголовок «Rar!» меняешь на «XYJ+» и всё DLP идут далеко лесом, не обладая ИИ для анализа bmp-изображения.
даже если формат известен, обойти элементарно: заголовок «Rar!» меняешь на «XYJ+» и всё DLP идут далеко лесом, не обладая ИИ для анализа bmp-изображения.
Ну не знаю… Пусть будет макафи.
В доках на DLP Monitor написано
Но DLP Endpoint (для защиты клиентских машин) умиляет:
блин, если переименовать .ps1-файл в .mp3, его можно прочитать (кстати, ps1 не в запрещённом списке)
ок, про RAR разработчики смежного продукта слышали.
где-то был такой способ обхода DLP: в excel-файл можно вставить word-файл как OLE-объект, а в него запароленный архив аналогичным способом. DLP как-то не особо силён в расшифровке всех этих постоянно меняющихся проприетарных микрософтовских форматов.
Supports file classification ofбез уточнения типа архива. насчёт «глубокого сканирования» (т.е. определения контента с середины файла) не написано. но оно и ресурсов сожрёт…
more than 300 content types,
including:
…
• Archives
Но DLP Endpoint (для защиты клиентских машин) умиляет:
Removable storage device rules can also define a device as read only. A typical use of this feature is to allow users to listen to MP3 players, but block their potential use as storage devices.
File access rules determine if a file is an executable by its extension. The following extensions are blocked: .bat, .cgi, .cmd, .com, .cpl, .dll, .exe, .jar, .msi, .py, .pyc, .scr, .vb, .vbs, .ws, and .wsf. In addition, to block files that might be executed from within archives, .cab, .rar, and .zip files are also blocked.
блин, если переименовать .ps1-файл в .mp3, его можно прочитать (кстати, ps1 не в запрещённом списке)
ок, про RAR разработчики смежного продукта слышали.
где-то был такой способ обхода DLP: в excel-файл можно вставить word-файл как OLE-объект, а в него запароленный архив аналогичным способом. DLP как-то не особо силён в расшифровке всех этих постоянно меняющихся проприетарных микрософтовских форматов.
Ещё был прикол до перехода ms-офиса на XML-форматы.
OLE-контейнер это фактически своя файловая система внутри файла. Там есть фрагментация и версии. Если отредактировал абзац, старые варианты могут остаться в мусоре. При удалении крупного объекта размер файла не сразу уменьшался. Фактически, можно данные прятать в этой помойке и без терморектального анализа не докажешь, то ли в свободных зонах случайный мусор от множества правок, то ли юзер положил туда зашифрованные данные.
OLE-контейнер это фактически своя файловая система внутри файла. Там есть фрагментация и версии. Если отредактировал абзац, старые варианты могут остаться в мусоре. При удалении крупного объекта размер файла не сразу уменьшался. Фактически, можно данные прятать в этой помойке и без терморектального анализа не докажешь, то ли в свободных зонах случайный мусор от множества правок, то ли юзер положил туда зашифрованные данные.
но оно и ресурсов сожрёт…
Эта задача легко масштабируется горизонтально, то есть ресурсы — не проблема вообще.
если переименовать .ps1-файл в .mp3, его можно прочитать
А что такого страшного в PS скрипте? Он может все то, что может юзер своими руками. Хотя вот не совсем понятно, почему он разрешен, а батники запрещены… Но тут уж легко огородиться групповыми политиками.
DLP как-то не особо силён в расшифровке всех этих постоянно меняющихся проприетарных микрософтовских форматов.
Думается мне, DLP обновляют — да и «проприетарные микрософтовские форматы» в последнее время являются вполне обычными zip-архивами (натравите любой архиватор на docx документ). Зашифрованный архив? Это уже автоматически сигнал тревоги. Даже домашние антивирусы на это ругаются.
>> А что такого страшного в PS скрипте? Он может все то, что может юзер своими руками
тогда в чём смысл запрета на установку программ юзером и внос своих exe-шников
>> «проприетарные микрософтовские форматы» в последнее время являются вполне обычными zip-архивами
в курсе. но как оно с т.з. DLP: «обычный xml»? ок, зелёный свет.
сделать полный парсер со всеми нюансами нереально (для DLP, а не для офисного пакета, конечно). поэтому, когда я вложу в примечание к колонтитулу ячейки таблицы word-документа ole-объект, парсер так глубоко в xml не заберётся, понимая на каком уровне он сейчас находится, что здесь можно встретить, а что нет.
xml расширяем. что парсеру делать, если он встретил неподдерживаемый тэг?
бить тревогу — могут быть ложные срабатывания.
на всякий случай посылать копию офицеру безопасности — да он сам ничерта не понимает в этих xml-тэгах, а документ на вид обычный, открывается без вопросов, видимых утечек не имеет
тогда в чём смысл запрета на установку программ юзером и внос своих exe-шников
>> «проприетарные микрософтовские форматы» в последнее время являются вполне обычными zip-архивами
в курсе. но как оно с т.з. DLP: «обычный xml»? ок, зелёный свет.
сделать полный парсер со всеми нюансами нереально (для DLP, а не для офисного пакета, конечно). поэтому, когда я вложу в примечание к колонтитулу ячейки таблицы word-документа ole-объект, парсер так глубоко в xml не заберётся, понимая на каком уровне он сейчас находится, что здесь можно встретить, а что нет.
xml расширяем. что парсеру делать, если он встретил неподдерживаемый тэг?
бить тревогу — могут быть ложные срабатывания.
на всякий случай посылать копию офицеру безопасности — да он сам ничерта не понимает в этих xml-тэгах, а документ на вид обычный, открывается без вопросов, видимых утечек не имеет
Конечно. Например, зачем обычному сотруднику смотреть ютуб? Ну а чтобы он мог скачивать или закачивать файлы — это вообще безумие. Для отправки мелких файлов есть почта с RMS. Для крупных — централизованные FTP. А скачивать… Зачем?
Обучающие скринкасты, например, смотреть на ютуб. Или презентации контрагентов или конкурентов. Скачивать файлы — прайсы поставщиков или тех же конкурентов. Наверное и закачивать может понадобиться рядовому сотруднику торговой или производственной организации.
Обучающие скринкасты, например, смотреть на ютуб. Или презентации контрагентов или конкурентов. Скачивать файлы — прайсы поставщиков или тех же конкурентов. Наверное и закачивать может понадобиться рядовому сотруднику торговой или производственной организации.
Требования PCI DSS относятся не только к процессингу пластиковых карт.
Просто он был разработан изначально для финансовых учреждений и получил в название сбивающую с толка аббревиатуру Payment Cards Industry.
Почитать стоит еще и СТО БР ИББС. Он создан как раз для банков.
Это «аудиторские документы» по ИБ и предназначены они больше для т.н. «пиджаков».
Админы, полагаю, больше оценят CIS (Common Internet Security), как наиболее близкий им по духу тип документации. Но CIS лишь вспомогательный инструмент.
Коммерческие решения по ИБ ориентируются в основном на PCI DSS, как на наиболее полный аудиторский документ.
Просто он был разработан изначально для финансовых учреждений и получил в название сбивающую с толка аббревиатуру Payment Cards Industry.
Почитать стоит еще и СТО БР ИББС. Он создан как раз для банков.
Это «аудиторские документы» по ИБ и предназначены они больше для т.н. «пиджаков».
Админы, полагаю, больше оценят CIS (Common Internet Security), как наиболее близкий им по духу тип документации. Но CIS лишь вспомогательный инструмент.
Коммерческие решения по ИБ ориентируются в основном на PCI DSS, как на наиболее полный аудиторский документ.
Обучающие скринкасты, например, смотреть на ютуб. Или презентации контрагентов или конкурентов. Скачивать файлы — прайсы поставщиков или тех же конкурентов.
Тем нескольким процентам сотрудников, кому это надо, доступ предоставят.
Наверное и закачивать может понадобиться рядовому сотруднику торговой или производственной организации.
Нет. Зачем?
У нас требуется загружать файлы даже сотрудникам отдела кадров — сейчас ПФР, налоговики, высылают ссылки на новые инструкции программы. Тем же охранникам труда — требуются постоянно программы при помощи которых они обучают сотрудников, таковы требования Закона, и мы за эти программы платим, и эти программы постоянно обновляются. В общем практически на каждом рабочем месте так или иначе требуется загрузка или отправка файлов.
Теже секретари (местный call центр) — ищут канцовары, билеты на самолёты, заполняют электронные pdf анкеты — всем надо загружать файлы и вытягивать шаблоны к примеру.
Теже секретари (местный call центр) — ищут канцовары, билеты на самолёты, заполняют электронные pdf анкеты — всем надо загружать файлы и вытягивать шаблоны к примеру.
В торговой организации эти несколько процентов часто стремятся к 100. В производственной тоже, например в строительной рядовым инженерам постоянно нужны какие-то стандарты, нормативы, методические указания, технические условия, руководства по применению и т. п. Про то какие файлы могут понадобиться рядовым сотрудникам в фирме разработчике софта или электроники я вообще молчу.
Если бы я знал зачем — я бы не писал «наверное». :) Хотя, банальный веб-интерфейс к почте требует закачки файлов. Или, помнится, передавал подрядчикам архив на сотню метров документации, выкладывая их на файлопомойки.
Если бы я знал зачем — я бы не писал «наверное». :) Хотя, банальный веб-интерфейс к почте требует закачки файлов. Или, помнится, передавал подрядчикам архив на сотню метров документации, выкладывая их на файлопомойки.
например в строительной рядовым инженерам постоянно нужны какие-то стандарты, нормативы, методические указания, технические условия, руководства по применению и т. п.
Если они скажут, что не могут предоставить список из не более чем 5-и доменов — они врут.
помнится, передавал подрядчикам архив на сотню метров документации, выкладывая их на файлопомойки.
Зачем? Какая религия мешает поднять внутренний FTP или HTTP сервер под это?
Я это говорю. Вводишь номер госта в гугл, а какой будет первым одному гуглу известно.
Хотя бы отсутствие внешнего IP-адреса.
Хотя бы отсутствие внешнего IP-адреса.
Вводишь номер госта в гугл
Несомненно, есть очень краткий перечень ресурсов, на которых можно найти всю нужную информацию. Особенно по ГОСТам. Другое дело, что «рядовым инженерам» куда приятнее обмануть «админа», чтобы тот разрешил им качать что попало на рабочем месте.
Хотя бы отсутствие внешнего IP-адреса.
Ладно, я не говорю о PI AS или хотя бы PA AS. Но чтобы юрлицо сидело за провайдерским NATом? Это в каком мухосранске такое происходит?
Добавлю к списку организаций, где не пройдет белый список, еще научно-исследовательские учреждения и ВУЗы. Так как различные нужные материалы могут находиться даже на ютубе (например, видеозаписи с конференций, которые я смотрю на «98%» там).
Имхо, принимать решения о блокировке и/или контроле за трафиком работников должны не сотрудники ИТ-службы, а руководство и/или служба безопасности. Роль технарей в них — консультации на этапе принятия решения и реализация после.
А вообще, как показывает моя личная практика, для повышения эффективности труда (о безопасности речи не идёт) достаточно административных мер — положения о правилах внутреннего распорядка, предусматривающих дисциплинарную ответственность за провождение «в интернетах» времени когда работать надо. И право руководства выборочно мониторить «вычислительную» активность работников без отдельного предупреждения. Ещё несколько бумажек типа обязательства не использовать служебные ресурсы для личной переписки и т. п.
А вообще, как показывает моя личная практика, для повышения эффективности труда (о безопасности речи не идёт) достаточно административных мер — положения о правилах внутреннего распорядка, предусматривающих дисциплинарную ответственность за провождение «в интернетах» времени когда работать надо. И право руководства выборочно мониторить «вычислительную» активность работников без отдельного предупреждения. Ещё несколько бумажек типа обязательства не использовать служебные ресурсы для личной переписки и т. п.
Надо делать так, как гласит корпоративная политика. Если ее нет — предложить написать и высказать свои соображения. Там где я работаю, политика есть и очень жесткая. Создана не на уровне филиала, где тружусь, а на уровне холдинга. По ней лучше вообще от инета на рабочем месте отказаться. Есть ли технические меры для ее блюдения? В разных филиалах по-разному, чаще нет, чем есть. Соблюдается ли по факту? Почти нигде. Зато, если к челу появляются претензии (любые), берется стата его трафика, открыается нужный пункт политики, человека спрашивают, подписывал? А не исполняешь почему? Да еще злостно? Хороший инструмент прихватить кого угодно.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Политика доступа в Интернет. Или к чему все эти сложности?