10月初,在哈勃(Habr)上
讨论了来自“ Sberbank”的数据泄漏。 该银行的一名员工出售了成千上万客户的信息:姓名,护照号码,卡号,出生日期,地址等。
这个消息本身很普通:
几乎所有俄罗斯银行,电信运营商和国有公司的员工都在出售此类有关客户的私人信息。 但是这里的基地进入了开放通道,这种情况很少发生。 员工
已被计算 (并可能受到惩罚)。 但是,通过在大众媒体中发布信息来构图线人和Sberbank的人却是另外一个
话题 。
但是公司应该怎么做,如何避免这种泄漏? 可能您需要提高员工薪水(这样他们就不会以这种方式赚取额外的收入)并加强他们的控制。 Sberbank使用InfoWatch DLP系统。 然后她没有帮助。 还有其他系统可以补充DLP。 例如,Microsoft为
Intune员工提供了智能手机管理平台。
Intune是Microsoft Enterprise Mobility + Security(EMS)套件的一个组件,该套件管理移动设备和应用程序。 它与其他EMS组件紧密集成,例如用于访问权限管理的Azure Active Directory(Azure AD)和用于数据保护的Azure信息保护。
以下是Intune的一些功能:
- 管理用于访问公司数据的移动设备和计算机。
- 管理员工启动的移动应用程序。
- 通过控制员工访问和共享信息的方式来保护公司信息。
- 确保所有设备和应用程序都符合安全要求。
在Intune的基础上,可以方便地启动所谓的“公司电话”以分发给员工。 例如,在办公室范围内,仅允许使用与Intune具有相同连接和相应限制的自己或自己的设备。 这立即消除了上述信息泄漏的几个通道。
Intune允许您远程禁止在手机上使用相机,并限制允许安装和启动的应用程序的列表。
当然,应该在员工使用的平板电脑,笔记本电脑,台式计算机和任何其他设备上设置相同的限制。
他剩下什么方法可以从数据库中复制信息,例如Sberbank? 禁止或监视对闪存驱动器的写入。
他可以通过电话或Skype语音命令信息。 语音识别DLP解决了此问题。
您可以将信息复制到授权的应用程序中,然后通过开放渠道发送。 例如,将其加密,然后将其归档到
dogovor.zip之类的文件中,然后以合同申请的名义将其发送给交易对手。 将pdf或jpg文件插入元数据,使用隐写方法将其隐藏在声音,图形或视频文件中,并将其放置在开放的主机上。 跟踪这些选项是安全服务的工作,该服务通过DLP
RAT系统在每个员工的监视器上记录活动。
当然,爱德华·斯诺登(Edward Snowden)的故事表明,如果您确实愿意,可以从受保护程度最高的组织中提取秘密信息,但是为此,您需要具有特殊的访问权限。 爱德华·斯诺登(Edward Snowden)使用了档案库中的一台旧计算机,据称是出于维修的目的(其他计算机上可能没有端口用于记录闪存驱动器)和魔方,他将microSD卡藏在那里。
Intune的员工设备管理系统使用移动操作系统上可用的协议或API。 它包括以下任务:
- 在系统中注册设备,以使它们对IT部门都是可见的
- 配置设备以满足安全标准
- 提供Wi-Fi / VPN证书和配置文件以访问公司服务
- 报告并检查对公司标准的遵守情况
- 从托管设备删除公司数据
设备的证书提供者是Azure Active Directory(Azure AD)。 Intune与Azure AD集成在一起,适用于各种访问控制方案。
移动应用程序管理(MAM系统)包括将特定的移动应用程序分配给特定的员工,设置应用程序; 管理移动应用程序中公司数据的使用和共享; 从移动应用程序中删除公司数据; 更新等
什么使与GlobalSign集成
自2019年2月以来,GlobalSign一直
支持与Intune和Microsoft Active Directory集成 。 这意味着设备可以使用GlobalSign PKI证书登录到公司网络。 这对于可以根据其访问权限自动将证书分配给某些用户组的用户和系统管理员更为方便。 每个组都有自己的一组允许的资源。
每个组的证书和权利的自动管理可以减少此类泄漏的风险,就像Sberbank一样。 尽管他们说那里的信息是由分支机构的主管出售的,但默认情况下,该部门拥有最大的权利。 好吧,如果仍然可以使用Intune和DLP这样的系统监视普通员工,那么即使是最高级的安全部门(本身也屈服于这些老板)也将无法免遭当局的滥用。
