Как ограничить BYOD пользователей на предприятии?

не пользоваться вайфаем, в проводную сеть пускать с авторизацией по макам и сертификатам

Слелать докладную по ИБ.
Если руководство не реагирует делать бекапы и восмтанавливаться после шифровальщиков.
Когда руководство возопит ткнуть его в накладную и взять картбланш с правом пиздюления всех и вся.

После чего каждому работнику выделить зону доступную только ему и кучу зон, по его желанию куда он может пускать тех кого сочтёт нужным с ro или rw правами.
Всё это поставить на бекапы в рамках отведённого на одного пользователя лимита места на диске и по его просьбе восстанавливать.
Естественно информацию не успевшую попасть в бекап пользователь восстанавливает сам.
Недоврльные посылаются к руководству или ща свой счёт покупают в складчину дополнительное СХД для бекапов.

«Серебряной пули» к сожалению нет. Каждый случай надо рассматривать отдельно. А в целом это ограничение по доступным ресурсам применительно к самому юзеру.
И если вы за это отвечаете, то не забывать регулярно руководству подкладывать бумажки о существующих проблемах в безопасности. Что бы потом на вас все не повесили.
ЧСХ - даже один/два/три случая может не вразумить руководство. Все зависит от упоротости.

не пользоваться вайфаем

Или отдельный wifi отделенный от корп сети. Вполне реальный пример, юзерам надо общаться по работе через всякие мессенджеры.
А тем кому действительно надо в корп. сеть, «строго по пропускам»

Все верно. Я забыл про это написать, бэкапы, бэкапы и еще раз бэкапы. Думал это и так понятно.

Если руководство не реагирует делать бекапы и восмтанавливаться после шифровальщиков.

Но тут тоже бывает проблема, руководство может не реагировать на доп. затраты в части оборудования для бэкапов. Даже после того как жареный петух клюнул.

в проводную сеть пускать с авторизацией по макам и сертификатам

Как это поможет от

все шары зашифровало

если ноут сотрудника засран вируснёй?

Тогда делать бекапы дальше, а что не попало в бекап не твоя проблема.

в проводную сеть пускать с авторизацией по макам и сертификатам

И дальше что? Трояны и шифровальщики всё-равно попадут с принесенного и настроенного на доступ в сеть ноута какого-нибудь манагера.

Через «доступный всем» Wi-Fi давать только инет, без доступа к внутренним ресурсам. Доступ к Wi-Fi с локальной сетью выдавать только ноутам без админских учеток с антивирусным ПО. Можно еще всяких бумажек придумать, но у вас ИБ-шники сдались - это засада...

Что с этим делать?

Забанить ктулху нафик, всю ленту засрал.

ЧСХ - даже один/два/три случая может не вразумить руководство. Все зависит от упоротости.

Симулировать атаку шифровальщиков для выбиения прав ИБ и ленточного хранища, лол? :D

Через «доступный всем» Wi-Fi давать только инет, без доступа к внутренним ресурсам. Доступ к Wi-Fi с локальной сетью выдавать только ноутам без админских учеток с антивирусным ПО. Можно еще всяких бумажек придумать, но у вас ИБ-шники сдались - это засада...

Проблема в том, что их со своего (их) говна (причём часто ещё и через интернет) нужно в нашу корпоративную локалку пускать. Если бы им только инет был бы нужен - это уже другой вопрос, никаких проблем.

Забанить ктулху нафик, всю ленту засрал.

Застри ты, если завидно.

Ну так тем и зажать их - хочешь локалку, выходи с разрешенного ИТ-отделом устройства и определенными параметрами. Не нравится - нет локалки. Ну самое необходимое, например, почту, можно и через общий wi-fi отдавать, особо не страшно.

ты еще терминальный сервер предложи для всех важных приложений, а неважные пусть варятся как хотят

ты еще терминальный сервер предложи для всех важных приложений, а неважные пусть варятся как хотят

Вообще у нас для некоторых приложений так и сделано.

XenMobile

Легкие пути ищете, товарищь. Терминальный сервер на каждое важное приложение, но это не по теме. Но чаще практикуется просто RDP до рабочего компа. А с чего там юзер RDPшится - по барабану.

я хочу прийти на работу со своим засранным ноутбуком и за одно раздавать торренты.
меня не волнует, что какие то шары зашифрует. ваши проблемы.
всё лучше, чем смарткарты и дешманские мониторы, которые закупает CTO.
и ИБшников вообще разогнать, толку от них мало, зато фапают на мои скрытые фотки в вк.

Тогда делать бекапы дальше, а что не попало в бекап не твоя проблема.

Теоретизирую. Предположим у вас хранилка позволяет (по объему) создавать бэкапы со сроком хранения месяц. Приходит юзер со своим ноутом и шифровальщиком на боту, работает 30 минут, шифровальщик еще не успел все на корп ресурсах зашифровать, только какую-то часть. И вот так оказывается что эта часть не так уж часто востребована, проходит месяц и кирдык последней не зашифрованной копии в бэкапе. Или востребована, но вот одним юзером, который пытается открыть этот файл, тот не открываться, юзер вспоминает что «ага, так он же у меня на компе тоже есть/отправлял/получил по почте» и работает уже с этим файлом никому не сообщив что на сервере-то файло битое. Вариантов может быть много.
А что с юзвером с щифровальщиком, спросите вы? Да, потом он у него отработал, юзер или бабло заплатил за расшифровку или вообще соседскому Пети отдал и он ему переставил винду, и никому в конторе этот юзер так же не сообщил.
На самом деле, проблема бэкапов конечно гораздо глубже чем применительно только к шифровальщикам, его я для примера привел.
Был случай когда, бэкап делался раз в неделю, и естественно все навернулось в пятницу. Вобщем негодования было много, одна неделя это тоже не мало.

а что не попало в бекап не твоя проблема.

Когда внезапно это становиться проблемой заказчика и ты об этом не сообщал, это полностью твоя проблема. А вот если сообщал, то все равно твоя проблема но в меньшей степени.

Вот как раз в избежании того, чтобы шифрованные шары не были проблемы, ваш засранный ноут доступа к ним и не получит. О каждой загруженной в интернет фотке нужно думать только так: рано или поздно ее увидят все. Так что ИБ-шники просто чуть раньше остальных пофапают, не велика беда.

Бывают и обратные ситуации. Когда пользуешься byod и работаешь на линуксовой машине в вин-сети.

Симулировать атаку шифровальщиков для выбиения прав ИБ и ленточного хранища, лол? :D

Знаете, вот никогда не опускался до терактов и другим не рекомендую. Что должно сдохнуть само, рано или поздно сдохнет, не надо помогать. Тебе от этого же не тепле, не холоднее.
А писал я про реальные примеры, народ наступает на грабли и пофиг, сколько не говори, а воз и ныне там. Нет конечно есть и адекватные которым единичного случая хватает, и после напоминания «а вас предупреждали» одумываться. Но бывают и те для которых поле с граблями прямо «дом родной».

Но бывают и те для которых поле с граблями прямо «дом родной».

Так может им не админ нужен, а обезьяна для ручного копирования файлов, типа увидел что файл поменялся, открыл, убедился что не зашифрован и забекапировал.
Уволиться от них и пусть себе обезьяну нанимают, они ещё и съэкономят на этом.

Заказчик же. Выбор граблей его право, наше дело сообщать об их наличии.

Больше разделений прав. Чтобы у каждого юзера доступ на запись был только туда, куда вообще без этого никак, остальные шары в RO. В идеале как-то ужесточить ответственность. Типа, чтобы любые действия с девайса юзера считались его собственными. Даже если на самом деле это был вирус. «Ничего про вирусы не слышали, ты сам уничтожил все данные на шаре - вот логи же. Может, ты на конкурентов работаешь?». После нескольких показательных порок юзеры должны будут подтянуть знания ИБ, либо отказаться от своих девайсов на работе. Но, к сожалению, не уверен, что это законно.

Можешь посмотреть на решения от Aruba Networks.

использования своего устройства в рабочем процессе

ССЗБ. В случае маски-шоу не будут разбираться, конфискуют всё.

Знаете, вот никогда не опускался до терактов и другим не рекомендую.

Без симуляции атаки так и будут ждать, пока питон в жопу клюнет.

Предлагаю не путать симуляцию (без ущерба для бизнеспроцессов), с реальной «какой».

Ну с простоем в один день (пока типа из бекапа будет развертка). Если простоев вообще не будет, то и реакции от руководства не будет. Так что без ущерба не обойтись. Другой вопрос, что при реальной атаке ущерб будет совершенно иным.

Слелать докладную по ИБ.

На неё гендир скажет: ну у нас нет сейчас бюджета на технику (мне нужно купить нужно купить новый мерс), так что поделать. крепитесь там.

и что делать?

На каждую работу выходящую за пределы обязанностей подавать запрос с предложением дополнительной её оплаты или покупки готового решения.
Если откахыаается пишете доклалную об отсутствии у впс технических средств.
Снова отказывает?
Тогда меняете уволняетесь, вы же не хотите отвечать за возникший не по вашей вине безпорядок или выполнять существенную часть работ бесплатно?

Видимо, Вы в какой-то параллельной рашке живёте, которая в ЕС уже давно вступила. У обычного бизнеса так: сказали: делай, выкручиывайся как хочешь, денег не дадим, проблемы - ну ты админ, ты и виноват.

Не?

многие заметили, что в последнее время руковоство всё активнее проталкивает идеи разрешения BYOD

Нинужна

А если начальство не выделяет бабок? И говорит, что надо? Что делать?

Ну с простоем в один день (пока типа из бекапа будет развертка). Если простоев вообще не будет, то и реакции от руководства не будет.

А вам от этого, как я висал выше, теплее или холоднее ?
Вот за несанкционированный террор можно получить не слабо и очень обоснованно. Перечитайте то что я писал ранее, если должно сломаться, то сломается, наше дело только предупредить о том что такое возможно.
А вы предлагаете вариант, давайте сами разрушим аварийный дом, а то никто не чешется его ремонтировать.

Ну что ж поделать, если в нашей стране только так руководству можно показать, что всё хреново, что деньги нужно не только на свой мерс выделять.

Так саяно-шушенская это тоже ваших рук дело?

Так саяно-шушенская это тоже ваших рук дело?

Я не понимаю о чём Вы. Свяжитесь с моим авокадом.

Менять такую работу.

А ты тож гентушник? Добавляйся ко мне в телегу или в джаббер (в профиле контакты).

А если начальство скажет полы помыть?

ССЗБ же, чего ты переживаешь. Напиши докладную, что ты предвидишь факапы, задокументируй то, что начальство ознакомлено - прикрой задницу. И пей пивко.

А вот если сообщал, то все равно твоя проблема но в меньшей степени.

К сожалению виновные уже назначены, и это мы. Когда что то накроется никакие докладные не помогут, все равно скажут, что не убедил, не те слова нашел и тд и тп.

Больше разделений прав. Чтобы у каждого юзера доступ на запись был только туда, куда вообще без этого никак, остальные шары в RO. В идеале как-то ужесточить ответственность.

Добавлю - все данные иерархизируются. 1-й уровень - полный доступ для всех, 2-й - ro для всех, 3-й - полный доступ бухгалтерии и начальства, и так далее до последнего уровня - ro для начальства. При такой схеме можно работать хоть с публичного вифи, а любую утечку данных (которая на самом деле не страшна) использовать для показательной порки

- постоянно всё бэкапить
- разрешить доступ только с linux и osx устройств

ограничивать доступ не следует, это мешает рабочему процессу

А если начальство не выделяет бабок? И говорит, что надо? Что делать?

подождать когда всё случайно развалится

т.е. исключение byod устройств приведет к остановке любых работ на предприятии

единственным способом остается бэкап

на бэкап нужны деньги

всё просто

А вот если сообщал, то все равно твоя проблема но в меньшей степени.

К сожалению виновные уже назначены, и это мы. Когда что то накроется никакие докладные не помогут, все равно скажут, что не убедил, не те слова нашел и тд и тп.

Иногда прокатывает. Но в целом поэтому я и написал что «в меньшей степени» а не «совсем не виноват». Вообще зависит от настроения-руководства/адекватности/фаз-луны/т.п. По личному опыту, были даже случаи, когда доклада хватало, без всяких бумажек, конечно в работу не приняли (денег нет), но запомнили. Но бумажка все-таки лучше. Но так же проходил и другие крайности вида, «иш ты обложились бумажками и делать ничего не хотят». В целом последнее редкость (когда на тебя все повесили).

У нас для мобильников и прочего карманного барахла отдельная вафля. Если сотрудник приносит какой-то byod и говорит, что хочет работать с него - не беда - пусть цепляется на гостевой вайфай и подключается также, как удаленщики (vpn+терминал/rdp на рабочий пк).