No início de outubro, na Habr, foi
discutido o vazamento de dados do "Sberbank". Um dos funcionários do banco vendeu informações sobre milhares ou milhões de clientes: nome, número do passaporte, número do cartão, data de nascimento, endereço etc.
As notícias em si são comuns:
funcionários de quase todos os bancos russos, operadoras de telecomunicações e empresas estatais vendem essas informações privadas sobre os clientes. Mas aqui a base caiu em acesso aberto, o que não acontece com frequência. O funcionário
já foi calculado (e provavelmente punido). Mas quem enquadrou o informante e o Sberbank lançando informações na mídia de massa é um
tópico separado .
Mas o que as empresas devem fazer, como evitar tais vazamentos? Provavelmente, é necessário aumentar os salários do pessoal (para que eles não obtenham dinheiro extra dessa maneira) e fortalecer o controle sobre eles. O Sberbank usa o sistema InfoWatch DLP. Então ela não ajudou. Existem outros sistemas que complementam o DLP. Por exemplo, a Microsoft oferece a plataforma de gerenciamento de smartphones para funcionários do
Intune .
O Intune é um componente do pacote Microsoft Enterprise Mobility + Security (EMS) que gerencia dispositivos e aplicativos móveis. Ele se integra perfeitamente a outros componentes do EMS, como o Azure Active Directory (Azure AD) para gerenciamento de direitos de acesso e o Azure Information Protection para proteção de dados.
Aqui estão alguns dos recursos do Intune:
- Gerencie dispositivos móveis e computadores usados para acessar os dados da empresa.
- Gerencie os aplicativos móveis que os funcionários iniciam.
- Protegendo as informações corporativas, controlando como os funcionários as acessam e compartilham.
- Verifique se todos os dispositivos e aplicativos estão em conformidade com os requisitos de segurança.
Com base no Intune, é conveniente lançar os chamados "telefones corporativos" para distribuição aos funcionários. Por exemplo, no território do escritório é permitido usar apenas dispositivos próprios ou com a mesma conexão com o Intune e as restrições correspondentes. Isso elimina imediatamente vários canais de vazamento de informações descritos acima.
O Intune permite proibir remotamente o uso da câmera em um telefone celular e limitar a lista de aplicativos permitidos para instalação e inicialização.
Obviamente, as mesmas restrições devem ser definidas em tablets, laptops, computadores de mesa e quaisquer outros dispositivos que o funcionário use.
Quais métodos ele deixou para copiar informações de um banco de dados, como o do Sberbank? A gravação em unidades flash é proibida ou monitorada.
Ele pode ditar informações por telefone ou skype voice. Esse problema é coberto pelo DLP de reconhecimento de fala.
Você pode copiar as informações para um aplicativo autorizado e enviá-las por canais abertos. Por exemplo, criptografá-lo, arquivá-lo em um arquivo como
dogovor.zip e enviá-lo à contraparte sob o pretexto de um aplicativo para o contrato. Insira o arquivo pdf ou jpg nos metadados, oculte-o em um arquivo de som, gráfico ou vídeo usando o método esteganográfico e coloque-o em uma hospedagem aberta. O rastreamento dessas opções é o trabalho do serviço de segurança, que possui um registro de atividade no monitor de cada funcionário por meio do sistema DLP
RAT .
Obviamente, a história de Edward Snowden mostra que informações secretas podem ser retiradas da organização mais protegida, se você realmente quiser, mas para isso, você precisa ter acesso especial. Edward Snowden usou um computador antigo do arquivo supostamente sob o disfarce de um reparo (provavelmente não havia portas nos outros computadores para gravar uma unidade flash) e o cubo de Rubik, onde ele escondeu o cartão microSD.
O sistema de gerenciamento de dispositivos dos funcionários da Intune usa protocolos ou APIs disponíveis em sistemas operacionais móveis. Inclui tarefas como:
- Registre dispositivos no sistema, para que todos fiquem visíveis ao departamento de TI
- Configurar dispositivos para atender aos padrões de segurança
- Fornecendo certificados e perfis Wi-Fi / VPN para acessar serviços corporativos
- Relatórios e verificação da conformidade com os padrões corporativos
- Excluindo dados corporativos de dispositivos gerenciados
O provedor de certificados para dispositivos é o Azure Active Directory (Azure AD). O Intune se integra ao Azure AD para uma ampla variedade de cenários de controle de acesso.
O gerenciamento de aplicativos móveis (sistema MAM) inclui a atribuição de aplicativos móveis específicos a funcionários específicos, a configuração de aplicativos; gerenciamento do uso e compartilhamento de dados corporativos em aplicativos móveis; remoção de dados corporativos de aplicativos móveis; atualização etc.
O que oferece integração com a GlobalSign
Desde fevereiro de 2019, a GlobalSign oferece
suporte à integração com o Intune e o Microsoft Active Directory . Isso significa que os dispositivos podem efetuar login na rede corporativa usando certificados PKI da GlobalSign. Isso é mais conveniente para usuários e administradores de sistema que podem atribuir certificados automaticamente a determinados grupos de usuários, dependendo de seus direitos de acesso. Cada grupo tem seu próprio conjunto de recursos permitidos.
O gerenciamento automático de certificados e direitos para cada grupo reduz o risco de vazamentos, como é o caso do Sberbank. Embora eles digam que lá as informações foram vendidas pelo diretor da filial, que por padrão tinha direitos máximos. Bem, se os funcionários comuns ainda puderem ser monitorados usando sistemas como Intune e DLP, mesmo o departamento de segurança mais avançado, que se submete a esses chefes, não salvará os abusos dos chefes.
