LINUX.ORG.RU
ФорумAdmin

Как ограничить BYOD пользователей на предприятии?

 , , , ,


0

1

Думаю, многие заметили, что в последнее время руковоство всё активнее проталкивает идеи разрешения BYOD (использования своего устройства в рабочем процессе), причём доходит до того, что даже АДМИНЫ с хаченый троянных андроидов по ssh ходят на сервера. А пользователи во всякиме корпоративные порталы с домашных ноутов. И всё это с винды, без смарткарт и прочего. И на работе их засранным ноутам доступ в общий домен подавай, чтобы все шары зашифровало.

Как так? Что с этим делать? Как вы с этим боритесь? У нас даже ИБшники сдались. :((

не пользоваться вайфаем, в проводную сеть пускать с авторизацией по макам и сертификатам

Harald ★★★★★ ()

Слелать докладную по ИБ.
Если руководство не реагирует делать бекапы и восмтанавливаться после шифровальщиков.
Когда руководство возопит ткнуть его в накладную и взять картбланш с правом пиздюления всех и вся.

После чего каждому работнику выделить зону доступную только ему и кучу зон, по его желанию куда он может пускать тех кого сочтёт нужным с ro или rw правами.
Всё это поставить на бекапы в рамках отведённого на одного пользователя лимита места на диске и по его просьбе восстанавливать.
Естественно информацию не успевшую попасть в бекап пользователь восстанавливает сам.
Недоврльные посылаются к руководству или ща свой счёт покупают в складчину дополнительное СХД для бекапов.

torvn77 ★★★★★ ()

«Серебряной пули» к сожалению нет. Каждый случай надо рассматривать отдельно. А в целом это ограничение по доступным ресурсам применительно к самому юзеру.
И если вы за это отвечаете, то не забывать регулярно руководству подкладывать бумажки о существующих проблемах в безопасности. Что бы потом на вас все не повесили.
ЧСХ - даже один/два/три случая может не вразумить руководство. Все зависит от упоротости.

anc ★★★★★ ()
Ответ на: комментарий от Harald

не пользоваться вайфаем

Или отдельный wifi отделенный от корп сети. Вполне реальный пример, юзерам надо общаться по работе через всякие мессенджеры.
А тем кому действительно надо в корп. сеть, «строго по пропускам»

anc ★★★★★ ()
Ответ на: комментарий от torvn77

Все верно. Я забыл про это написать, бэкапы, бэкапы и еще раз бэкапы. Думал это и так понятно.

Если руководство не реагирует делать бекапы и восмтанавливаться после шифровальщиков.

Но тут тоже бывает проблема, руководство может не реагировать на доп. затраты в части оборудования для бэкапов. Даже после того как жареный петух клюнул.

anc ★★★★★ ()
Ответ на: комментарий от Harald

в проводную сеть пускать с авторизацией по макам и сертификатам

Как это поможет от

все шары зашифровало

если ноут сотрудника засран вируснёй?

WereFox ★☆ ()
Ответ на: комментарий от anc

Тогда делать бекапы дальше, а что не попало в бекап не твоя проблема.

torvn77 ★★★★★ ()
Ответ на: комментарий от Harald

в проводную сеть пускать с авторизацией по макам и сертификатам

И дальше что? Трояны и шифровальщики всё-равно попадут с принесенного и настроенного на доступ в сеть ноута какого-нибудь манагера.

ktulhu6662 ()
Ответ на: комментарий от ktulhu6662

Через «доступный всем» Wi-Fi давать только инет, без доступа к внутренним ресурсам. Доступ к Wi-Fi с локальной сетью выдавать только ноутам без админских учеток с антивирусным ПО. Можно еще всяких бумажек придумать, но у вас ИБ-шники сдались - это засада...

keir ()

Что с этим делать?

Забанить ктулху нафик, всю ленту засрал.

mandala ★★★★ ()
Ответ на: комментарий от anc

ЧСХ - даже один/два/три случая может не вразумить руководство. Все зависит от упоротости.

Симулировать атаку шифровальщиков для выбиения прав ИБ и ленточного хранища, лол? :D

ktulhu6662 ()
Ответ на: комментарий от keir

Через «доступный всем» Wi-Fi давать только инет, без доступа к внутренним ресурсам. Доступ к Wi-Fi с локальной сетью выдавать только ноутам без админских учеток с антивирусным ПО. Можно еще всяких бумажек придумать, но у вас ИБ-шники сдались - это засада...

Проблема в том, что их со своего (их) говна (причём часто ещё и через интернет) нужно в нашу корпоративную локалку пускать. Если бы им только инет был бы нужен - это уже другой вопрос, никаких проблем.

ktulhu6662 ()
Ответ на: комментарий от mandala

Забанить ктулху нафик, всю ленту засрал.

Застри ты, если завидно.

ktulhu6662 ()
Ответ на: комментарий от ktulhu6662

Ну так тем и зажать их - хочешь локалку, выходи с разрешенного ИТ-отделом устройства и определенными параметрами. Не нравится - нет локалки. Ну самое необходимое, например, почту, можно и через общий wi-fi отдавать, особо не страшно.

keir ()
Ответ на: комментарий от keir

ты еще терминальный сервер предложи для всех важных приложений, а неважные пусть варятся как хотят

anonymous ()
Ответ на: комментарий от anonymous

ты еще терминальный сервер предложи для всех важных приложений, а неважные пусть варятся как хотят

Вообще у нас для некоторых приложений так и сделано.

ktulhu6662 ()
Ответ на: комментарий от anonymous

Легкие пути ищете, товарищь. Терминальный сервер на каждое важное приложение, но это не по теме. Но чаще практикуется просто RDP до рабочего компа. А с чего там юзер RDPшится - по барабану.

keir ()

я хочу прийти на работу со своим засранным ноутбуком и за одно раздавать торренты.
меня не волнует, что какие то шары зашифрует. ваши проблемы.
всё лучше, чем смарткарты и дешманские мониторы, которые закупает CTO.
и ИБшников вообще разогнать, толку от них мало, зато фапают на мои скрытые фотки в вк.

system-root ★★★★ ()
Ответ на: комментарий от torvn77

Тогда делать бекапы дальше, а что не попало в бекап не твоя проблема.

Теоретизирую. Предположим у вас хранилка позволяет (по объему) создавать бэкапы со сроком хранения месяц. Приходит юзер со своим ноутом и шифровальщиком на боту, работает 30 минут, шифровальщик еще не успел все на корп ресурсах зашифровать, только какую-то часть. И вот так оказывается что эта часть не так уж часто востребована, проходит месяц и кирдык последней не зашифрованной копии в бэкапе. Или востребована, но вот одним юзером, который пытается открыть этот файл, тот не открываться, юзер вспоминает что «ага, так он же у меня на компе тоже есть/отправлял/получил по почте» и работает уже с этим файлом никому не сообщив что на сервере-то файло битое. Вариантов может быть много.
А что с юзвером с щифровальщиком, спросите вы? Да, потом он у него отработал, юзер или бабло заплатил за расшифровку или вообще соседскому Пети отдал и он ему переставил винду, и никому в конторе этот юзер так же не сообщил.
На самом деле, проблема бэкапов конечно гораздо глубже чем применительно только к шифровальщикам, его я для примера привел.
Был случай когда, бэкап делался раз в неделю, и естественно все навернулось в пятницу. Вобщем негодования было много, одна неделя это тоже не мало.

а что не попало в бекап не твоя проблема.

Когда внезапно это становиться проблемой заказчика и ты об этом не сообщал, это полностью твоя проблема. А вот если сообщал, то все равно твоя проблема но в меньшей степени.

anc ★★★★★ ()
Ответ на: комментарий от system-root

Вот как раз в избежании того, чтобы шифрованные шары не были проблемы, ваш засранный ноут доступа к ним и не получит. О каждой загруженной в интернет фотке нужно думать только так: рано или поздно ее увидят все. Так что ИБ-шники просто чуть раньше остальных пофапают, не велика беда.

keir ()

Бывают и обратные ситуации. Когда пользуешься byod и работаешь на линуксовой машине в вин-сети.

Deleted ()
Ответ на: комментарий от ktulhu6662

Симулировать атаку шифровальщиков для выбиения прав ИБ и ленточного хранища, лол? :D

Знаете, вот никогда не опускался до терактов и другим не рекомендую. Что должно сдохнуть само, рано или поздно сдохнет, не надо помогать. Тебе от этого же не тепле, не холоднее.
А писал я про реальные примеры, народ наступает на грабли и пофиг, сколько не говори, а воз и ныне там. Нет конечно есть и адекватные которым единичного случая хватает, и после напоминания «а вас предупреждали» одумываться. Но бывают и те для которых поле с граблями прямо «дом родной».

anc ★★★★★ ()
Ответ на: комментарий от anc

Но бывают и те для которых поле с граблями прямо «дом родной».

Так может им не админ нужен, а обезьяна для ручного копирования файлов, типа увидел что файл поменялся, открыл, убедился что не зашифрован и забекапировал.
Уволиться от них и пусть себе обезьяну нанимают, они ещё и съэкономят на этом.

torvn77 ★★★★★ ()
Ответ на: комментарий от torvn77

Заказчик же. Выбор граблей его право, наше дело сообщать об их наличии.

anc ★★★★★ ()

Больше разделений прав. Чтобы у каждого юзера доступ на запись был только туда, куда вообще без этого никак, остальные шары в RO. В идеале как-то ужесточить ответственность. Типа, чтобы любые действия с девайса юзера считались его собственными. Даже если на самом деле это был вирус. «Ничего про вирусы не слышали, ты сам уничтожил все данные на шаре - вот логи же. Может, ты на конкурентов работаешь?». После нескольких показательных порок юзеры должны будут подтянуть знания ИБ, либо отказаться от своих девайсов на работе. Но, к сожалению, не уверен, что это законно.

KivApple ★★★★★ ()
Последнее исправление: KivApple (всего исправлений: 2)

Можешь посмотреть на решения от Aruba Networks.

anonymous ()

использования своего устройства в рабочем процессе

ССЗБ. В случае маски-шоу не будут разбираться, конфискуют всё.

anonymous ()
Ответ на: комментарий от anc

Знаете, вот никогда не опускался до терактов и другим не рекомендую.

Без симуляции атаки так и будут ждать, пока питон в жопу клюнет.

ktulhu6662 ()
Ответ на: комментарий от ktulhu6662

Предлагаю не путать симуляцию (без ущерба для бизнеспроцессов), с реальной «какой».

anc ★★★★★ ()
Ответ на: комментарий от anc

Ну с простоем в один день (пока типа из бекапа будет развертка). Если простоев вообще не будет, то и реакции от руководства не будет. Так что без ущерба не обойтись. Другой вопрос, что при реальной атаке ущерб будет совершенно иным.

ktulhu6662 ()
Ответ на: комментарий от torvn77

Слелать докладную по ИБ.

На неё гендир скажет: ну у нас нет сейчас бюджета на технику (мне нужно купить нужно купить новый мерс), так что поделать. крепитесь там.

и что делать?

ktulhu6662 ()
Ответ на: комментарий от ktulhu6662

На каждую работу выходящую за пределы обязанностей подавать запрос с предложением дополнительной её оплаты или покупки готового решения.
Если откахыаается пишете доклалную об отсутствии у впс технических средств.
Снова отказывает?
Тогда меняете уволняетесь, вы же не хотите отвечать за возникший не по вашей вине безпорядок или выполнять существенную часть работ бесплатно?

torvn77 ★★★★★ ()
Ответ на: комментарий от torvn77

Видимо, Вы в какой-то параллельной рашке живёте, которая в ЕС уже давно вступила. У обычного бизнеса так: сказали: делай, выкручиывайся как хочешь, денег не дадим, проблемы - ну ты админ, ты и виноват.

Не?

ktulhu6662 ()

многие заметили, что в последнее время руковоство всё активнее проталкивает идеи разрешения BYOD

Нинужна

slaykovsky ★★ ()
Ответ на: комментарий от slaykovsky

А если начальство не выделяет бабок? И говорит, что надо? Что делать?

ktulhu6662 ()
Ответ на: комментарий от ktulhu6662

Ну с простоем в один день (пока типа из бекапа будет развертка). Если простоев вообще не будет, то и реакции от руководства не будет.

А вам от этого, как я висал выше, теплее или холоднее ?
Вот за несанкционированный террор можно получить не слабо и очень обоснованно. Перечитайте то что я писал ранее, если должно сломаться, то сломается, наше дело только предупредить о том что такое возможно.
А вы предлагаете вариант, давайте сами разрушим аварийный дом, а то никто не чешется его ремонтировать.

anc ★★★★★ ()
Ответ на: комментарий от anc

Ну что ж поделать, если в нашей стране только так руководству можно показать, что всё хреново, что деньги нужно не только на свой мерс выделять.

ktulhu6662 ()
Ответ на: комментарий от ktulhu6662

Так саяно-шушенская это тоже ваших рук дело?

anc ★★★★★ ()
Ответ на: комментарий от anc

Так саяно-шушенская это тоже ваших рук дело?

Я не понимаю о чём Вы. Свяжитесь с моим авокадом.

ktulhu6662 ()
Ответ на: комментарий от slaykovsky

А ты тож гентушник? Добавляйся ко мне в телегу или в джаббер (в профиле контакты).

ktulhu6662 ()

ССЗБ же, чего ты переживаешь. Напиши докладную, что ты предвидишь факапы, задокументируй то, что начальство ознакомлено - прикрой задницу. И пей пивко.

Deleted ()
Ответ на: комментарий от anc

А вот если сообщал, то все равно твоя проблема но в меньшей степени.

К сожалению виновные уже назначены, и это мы. Когда что то накроется никакие докладные не помогут, все равно скажут, что не убедил, не те слова нашел и тд и тп.

alex_sim ★★ ()
Ответ на: комментарий от KivApple

Больше разделений прав. Чтобы у каждого юзера доступ на запись был только туда, куда вообще без этого никак, остальные шары в RO. В идеале как-то ужесточить ответственность.

Добавлю - все данные иерархизируются. 1-й уровень - полный доступ для всех, 2-й - ro для всех, 3-й - полный доступ бухгалтерии и начальства, и так далее до последнего уровня - ro для начальства. При такой схеме можно работать хоть с публичного вифи, а любую утечку данных (которая на самом деле не страшна) использовать для показательной порки

vaddd ★★ ()

- постоянно всё бэкапить
- разрешить доступ только с linux и osx устройств

ограничивать доступ не следует, это мешает рабочему процессу

stevejobs ★★★☆☆ ()
Ответ на: комментарий от ktulhu6662

А если начальство не выделяет бабок? И говорит, что надо? Что делать?

подождать когда всё случайно развалится

т.е. исключение byod устройств приведет к остановке любых работ на предприятии

единственным способом остается бэкап

на бэкап нужны деньги

всё просто

stevejobs ★★★☆☆ ()
Ответ на: комментарий от alex_sim

А вот если сообщал, то все равно твоя проблема но в меньшей степени.

К сожалению виновные уже назначены, и это мы. Когда что то накроется никакие докладные не помогут, все равно скажут, что не убедил, не те слова нашел и тд и тп.

Иногда прокатывает. Но в целом поэтому я и написал что «в меньшей степени» а не «совсем не виноват». Вообще зависит от настроения-руководства/адекватности/фаз-луны/т.п. По личному опыту, были даже случаи, когда доклада хватало, без всяких бумажек, конечно в работу не приняли (денег нет), но запомнили. Но бумажка все-таки лучше. Но так же проходил и другие крайности вида, «иш ты обложились бумажками и делать ничего не хотят». В целом последнее редкость (когда на тебя все повесили).

anc ★★★★★ ()

У нас для мобильников и прочего карманного барахла отдельная вафля. Если сотрудник приносит какой-то byod и говорит, что хочет работать с него - не беда - пусть цепляется на гостевой вайфай и подключается также, как удаленщики (vpn+терминал/rdp на рабочий пк).

l0stparadise ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.