Pokaż wyniki 1 do 8 z 8

Temat: Bezpieczne USB

  1. #1

    Question Bezpieczne USB

    Cześć.
    Mam problem w firmie z użytkownikami, którzy "zabierają pracę do domu" na pamięciach USB. Często to jest nieszyfrowane. I z drugiej strony, przynoszą też sporo "śmieci", wirusów etc., które potem pojawiają się u nas w sieci. Po prostu chciałbym się zabezpieczyć przed sytuacjami tak jak tutaj - [LINK].

    Pojawiły się dwie opcje:

    1) zablokowanie "jak leci" portów USB w domenie i po prostu zmuszenie ludzi, żeby nauczyli się z tym żyć.
    2) oprogramowanie, które pomoże mi selektywnie blokować porty, autoryzować firmowe urządzenia, a najlepiej wymuszać szyfrowanie.

    Macie z tym jakieś doświadczenie? Na co patrzycie przy zakupie takich rozwiązań?

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Najlepsze rozwiazanie to polaczenie obu

    U mnie w firmie (3500 ludzi) porty USB sa zablokowane calkowicie - tylko 17 osob uzyskalo ten przywilej po odpowiednim uzasadnieniu i pisemnym zatwierdzeniu przez CTO.

    Teraz pracujemy nad rozluznieniem tego nieco ale na zasadzie uzywania dostarczonych przez firme napedow ktore wymuszaja szyfrowanie. W oko wpadly mi dwa produkty i ktorys z nich zostanie na pewno wdrozony bo na razie nie widze nic lepszego na rynku.

    Musze teraz wyjsc ale jak wroce to postaram sie opisac cos wiecej. Jak mozesz, daj znac w miedzyczasie o jakiej ilosci userow mowa, ile osob na prawde potrzebuje dostep do tych danych itd i jak chcesz zapewnic, ze nie wyniosa plikow przez dropbox'a, bigfile.com i inne takie.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3

    Post

    Jest około 250 userów, mam wrażenie, że sporo z nich (~100) potrzebuje pamięci flash w pracy - szczególnie handlowcy, którzy jeżdżą gdzieś na prezentację i często zostawiają klientom "firmowy" pendrive z dokumentami.
    I wiesz co - przydałoby się mi coś, co monitoruje, co przenoszą ludzie na pamięciach podłączanych do naszych komputerów, z wyróznieniem userów, etc. z takimi statystykami, mógłby wypracować, kto i jak może korzystać - znasz coś, co ma taką mozliwość?
    Co do dropboxa itd. - na razie blokuję firewallem te strony, ale to jest punkt numer 2 na mojej liście.
    Wiesz, przejąłem tę działkę na początku wakacji i powoli odkopuję wszystkie tematy - ciężko się ruszyć z czymkolwiek, jeżeli przez poprzednie 10 lat w firmie był antywirus i nikt nie zwracał uwagi na to, jeżeli ktoś zgubił pendrive z bazą klientów

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    1. Blokujesz kompletnie dostep do USB wszystkim bez wyjatkow... najwiecej beda krzyczec wlasnie Ci, ktorzy przynosza wirusy i gubia dane - standard :P
    2. Kazdy kto chce miec dostep do USB musi to uzasadnic - nie 'bo tak wygodnie' ale jakie uzasadnienie biznesowe jest dla tego aby mial dostep. Nie ma uzasadnienia biznesowego, nie ma dostepu - proste.
    3. Dla tych co uzyskaja dostep (a bedzie ich zdecydowanie mniej niz 100 osob bo wiekszosc nie bedzie w stanie uzasadnic - uzywaja bo moga i tyle), firma dostarcza sprzetowo szyfrowane pen-drive'y i konfiguruje systemy aby tylko te konkretne dzialaly (to da sie zrobic)... wiec firmowe szyfrowane dzialaja, prywatne bez szyfrowania nie.

    Ja skupilem sie na 2 produktach - Ironkey i SafeStick - kazdy ma swoje wady i zalety ale generalnie oba sa bardzo dobre. Jesli masz takie wymagania jakie masz to zastanow sie jeszcze czy masz jakies DLP u siebie czy nie. Ironkey'a mozna zintegrowac z DLP od paru globalnych dostawcow ale to sa juz kolosalne pieniadze, bo te systemy nie dzialaja same z siebie - trzeba brac cale pakiety... wtedy tanszy jest SafeStick i SafeConsole ale na razie nie ma jeszcze tak rozbudowanej integracji.

    Oba napedy dzialaja Win/Lin/Mac (SafeStick wprowadzil Linuxa jakies 3 miesiace temu) i caly soft jest na napedzie juz... w razie czego robisz update firmware'u i juz jest
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5

    Domyślnie

    Cześć,

    Podobają mi się dobre praktyki podane w punktach 1-3 przez TQM.

    Korzystając z okazji chciałbym doprecyzować informacje dotyczące rozwiązań SafeStick/SafeConsole. W przypadku SafeConsole, czyli konsoli do centralnego zarządzania szyfrowanymi sprzętowo pamięciami SafeStick, istnieje możliwość zablokowania wszystkich zapisywalnych nośników USB (pendrive'y, dyski twarde, karty pamięci itp.) poza SafeStickami. W ten sposób możesz ustanowić SafeSticki firmowym standardem i nie potrzebujesz dodatkowych rozwiązań DLP.

    Dodatkowo SafeConsole umożliwia audyt działań użytkowników: operacje logowania/wylogowywania, kopiowanie/edytowanie/usuwanie plików.

    Administrator może także wykorzystać funkcję FileRestrictor, aby uniemożliwić użytkownikom zapis plików mp3, filmów wideo, plików wykonywalnych itp.

    Ważną funkcjonalnością jest backup danych, administrator konsoli wskazuje ścieżkę do wybranego folderu sieciowego, użytkownicy uwierzytelniają się do swoich SafeSticków i wykonują swoją pracę, a w tle wykonuje się backup danych.
    Zakładając, że po wyjściu z pracy pracownik gubi SafeSticka lub jest on kradziony, następnego dnia zgłasza się do administratora, otrzymuje nowy nośnik i w ciągu kilkunastu minut (w zależności od ilości danych) pracownik może wrócić do pracy.

    Więcej informacji znajdziecie na stronie: getsafestick.pl.

    Oczywiście mógłbym tu wymieniać kolejne funkcjonalności i korzyści Zapraszam do kontaktu, możemy umówić się na zdalną prezentację praktycznego działania rozwiązań i następnie zachęcam do testów

    Pozdrawiam,
    Paweł

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Wszystko sie zgadza... dlatego wlasnie przygladam sie SafeStick'om. Prolem u mnie wlasnie w tym, ze my juz mamy 'drogie rozwiazania od globalnych dostawcow' i tylko dlatego ze Ironeky sie ponoc ladnie integruje to moze wygrac...

    Sorry, ale Ironkey jako firma... jakby to powiedziec... maja swietny produkt tylko zatrudniaja totalnych debili aby go sprzedawac - przez ostatnie pare lat udowodnili to bardzo dobitnie w kontaktach jakie z nimi mialem zarowno osobiscie jak i telefonicznie. Dla odmiany pierwszy raz jak poznalem SafeStick'a to SafeConsole prezentowal mi sam CEO firmy Blockmaster w prywatnej, prawie godzinnej sesji... gdzie nawet nie wiedzial jaka firme reprezentuje i to nie bylo dla nich istotne. Co tu wiele gadac - post powyzej swiadczy o tym, ze partnerzy handlowi firmy dbaja o klienta i sluza pomoca, nie pytajac nawet o to jak duzy lub maly klient to by byl.

    Nie raz mowilem i smialo powtorze jeszcze raz - SafeStick to bardzo mocna konkurencja dla IronKey'a i jak to sie tutaj mowi 'they will give them run for their money', zwlaszcza teraz gdy SafeStick dziala pod Linuxem i wiem od jednego z ich glownych inzynierow ze pracuja nad rozwinieciem pelnej funkcjonalnosci aby Lin/Mac mial te same bajery co Windows jesli mowa o wspolpracy z SafeConsole.

    BTW.
    Dla naszych porzeb jako firmy oszacowalismy ze tylko okolo 4% osob bedzie potrzebowalo tak na prawde dostepu do napedow USB w ogole, ze czego pilot bedzie obejmowal moze 1-2% calej poplacji.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7

    Domyślnie

    @TQM świetnie się orientujesz w obszarze bezpiecznych pamięci USB, cieszę się, że SafeStick zdobył Twoje uznanie, powoli zdobywa też polski rynek.

    Interesuje mnie kwestia "ładnej" integracji Ironkey z rozwiązaniami DLP. Większość tego typu oprogramowania posiada specjalną kategorię dla sprzętowo szyfrowanych pamięci USB np. encrypted devices. Umożliwia to zablokowanie wszystkich nośników zapisywalnych i odblokowanie tylko grupy encrypted devices. Do tej grupy często należy Ironkey np. w rozwiązaniach DeviceLock, Safend czy Lumension.

    Podobny efekt możemy jednak osiągnąć także z SafeStickiem, tworząc ręcznie nową grupę np. bezpieczne pamięci USB i dodając kodu producenta, który oznacza SafeSticka, coś w rodzaju BlockMaster lub BM. Będzie to tzw. biała lista autoryzowanych urządzeń.
    Integracja nie jest automatyczna, ale nie wymaga dużego nakładu pracy.

    Pozdrawiam,
    Paweł

  8. #8
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Dokladnie... co lepsze (moim zdaniem) - SafeStick pozwala na pelen shadow'ing albo inaczej mowiac auditing a wiec zapisanie i raportowanie o tym ktory user zgral jaki plik z jakiego komputera - latwo wiec przesledzic kto wyniosl dane... i SafeConsole robi to samo z siebie

    Pozostale rozwiazania jak Lumenison (RSA DLP) i podobne sa drogie... ale jesli juz ktos ma pakiet uslug wdrozony to pytanie jak wtedy SafeStick sie z nimi integruje - czy tak samo jak Ironkey, jakie sa wady i zalety... to jest cos, czego jeszcze nie rozgryzlem bo braklo czasu zwyczajnie ale projekt wroci niebawem na tapete

    Dla mnie glownym argumentem przemawiajacym za SafeStick'iem jest bogata funkcjonalnosc oraz to, ze SafeConsole dziala na naszych systemach w naszych serwerowniach a nie systemach zewnetrznej firmy w USA (wiec agendy rzadowe USA moga uzysakc dostep do danych jesli zechca) itd. Nie to abysmy robili cos nielegalnego ale sa pewne roznice prawne, dlatego tez nie korzystamy z takich rzeczy jak Amazon AWS, Google Apps i innych - dla nas lokalizacja geograficzna i stan prawny (stabilnosc legislacyjna) miejsc gdzie hostujemy jest bardzo istotny. Fakt hostowania konsoli u siebie to ogromny plus
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Tagi

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj