Обнаружение загрузки с использованием HTTP и копирования с использованием USB-устройства

«Обратите внимание, что я являюсь администратором сети, и все, за кем я буду следить, имеют права локального администратора на своем компьютере, и мы не хотим дополнительно ограничивать доступ пользователей».

Вы можете иметь свободу или безопасность, но не то и другое одновременно. Путей получения данных из незапертой коробки слишком много, чтобы их можно было перечислить. Кто-нибудь заархивировал файлы и поместил их на флешку? Что, если бы они использовали tar или shar, или вставили их в документ Word, или распечатали их в файл PDF и отправили по электронной почте стеганографически встроен в порнографию?

Да, бывший коллега был достаточно глуп, чтобы за пару дней до увольнения отправить своему будущему работодателю огромный набор огромных зарегистрированных электронных писем, но вы не можете рассчитывать на то, что люди настолько глупы.

То, что хочет ваш босс, невозможно, учитывая умеренно мотивированного вора и нежелание «дальнейшего ограничения» доступа.

Учитывая, что свободно доступные криптографически безопасные инструменты, такие как OpenSSH (ssh, scp), могут использоваться практически любым, то, о чем он просит, невозможно.

Я согласен со всеми вами, websense, DLP, прокси, мониторинг сети могут помочь вам определить и остановить действия, не разрешенные вашими политиками. Кстати, технология должна поддерживаться политикой информационной безопасности и программой повышения осведомленности. Итак, у вас есть два поля для наращивания. во-первых, люди должны быть предупреждены из-за политики информационной безопасности и постоянно информироваться программой повышения осведомленности, а во-вторых, если кто-то нарушает политику, технология должна выполнять свою работу. предупреждать тебя.

По сути, нет никакого способа предотвратить кражу и экспорт данных злонамеренным сотрудником, если не считать досмотра с раздеванием при входе и выходе из здания и вообще никакого доступа к внешней сети.

Ваш начальник должен больше беспокоиться о случайной утечке данных (т. е. о неправильном вводе адреса электронной почты или ошибочных ответах) и нарушении условий содержания. Серия технологий, посвященных первому, называется предотвращением утечки данных. Я не в курсе всего их джайва, но держу пари, что многие компании готовы пообещать вам мир, если вы проявите интерес.

Последнее в основном достигается путем тщательного следования мышлению «наименьших привилегий». Парень из отдела продаж не должен иметь возможности использовать CVS для проверки исходного кода продукта, а разработчик не должен иметь доступа к базе данных платежной ведомости. Всегда предоставляйте только минимальный объем доступа, необходимый кому-либо для выполнения своей работы.

Краткий ответ: нет. Нет, если только вы не готовы «дальнейше ограничить доступ».

Ограничение доступа для HTTP-загрузок будет фильтрующим интернет-прокси. Заставьте всех пройти через Websense или что-то в этом роде, и у вас будет журнал всего, что они делали в сети.

Для USB-устройств нет. Ваш вариант и то, как компании с такими потребностями в безопасности решают эту проблему, — жестко заблокировать клиентов и отключить использование USB-ключа. (а также устройства для записи компакт-дисков, дисководы для гибких дисков, если они у вас еще есть, и т. д.) Опять же, для этого потребуется навязчивое программное обеспечение, что-то вроде Landesk, + удаление локального администратора, чтобы пользователи не могли отключить программное обеспечение.