webový filtr je všudypřítomný nástroj pro ochranu sítí a zabránění zaměstnancům nebo studentům v přístupu k nevhodnému obsahu. Šokující zpráva z roku 2019 Insider Threat Intelligence od společnosti Dtex zjistila, že 95% podniků chytilo své zaměstnance aktivně hledající způsoby, jak obejít firemní bezpečnostní protokoly.
v tomto článku nastíním metody, které zaměstnanci používají k obcházení zásad filtrování webového obsahu, a poskytnu vám tipy, jak jim zabránit.
software pro filtrování webu pro firmy
potřebujete zablokovat svým zaměstnancům přístup k určitým webům? Začněte ještě dnes s bezplatnou zkušební verzí BrowseControl, software pro filtrování webu CurrentWare.
„jako“ nováček “ jsem byl schopen nastavit s pomocí podpory asi za hodinu. Předchozí software trval věčně a nefungoval tak, jak byl inzerován; tento software fungoval hned po vybalení z krabice. Umožňuje mým pracovníkům používat internet a vydělávat peníze na praxi bez rozptýlení / pokušení používat osobní webové stránky / e-mail / nakupování.“
– Gerard B., vedoucí Kanceláře
osvědčené postupy pro odrazování uživatelů od obcházení webových filtrů
proč je obcházení webových filtrů problém?
- bezpečnost: Když uživatelé obcházejí zásady filtrování webu, zvyšují povrch útoku sítě tím, že jim poskytují příležitost narazit na škodlivé weby.
- Produktivita: Administrátoři zablokují sociální média, herní weby a další rušivé weby, aby zlepšili produktivitu své organizace. Aktivně odpojeni uživatelé se mohou pokusit získat přístup k těmto platformám, aby ztráceli čas.
- slušnost: webové filtry se používají k blokování přístupu k obsahu orientovanému na dospělé a dalším webům, které jsou považovány za nevhodné. To zahrnuje domény, které hostují pornografii, nenávistný nebo jinak hrubý obsah.
- CIPA Compliance: pro školy a knihovny je webový filtr kritickou součástí splnění CIPA compliance. Tyto organizace musí udržovat shodu s CIPA, aby získaly financování E-Rate pro telekomunikace, přístup k internetu, a širokopásmové služby.
Vyhněte se udělování oprávnění administrátora uživatelům
snížení množství účtů administrátorů je důrazně doporučenou bezpečnostní praxí. Šíření zbytečných oprávnění správce zvyšuje pravděpodobnost, že by aktéři hrozeb mohli získat přístup k síti prostřednictvím ohrožených účtů s vysokým oprávněním.
z pohledu filtrování webu, které uživatelům poskytuje omezená oprávnění, jim brání stahovat nežádoucí obtokové aplikace (např. proxy) nebo provádět změny konfigurace, které mohou poškodit zabezpečení vaší sítě.
stanovte zásady přijatelného používání
vaše zásady společnosti musí výslovně zakázat pokusy o obcházení bezpečnostních opatření. Zásady přijatelného použití (AUP) doplňují váš software pro filtrování webu tím, že zaměstnancům poskytují jasné pokyny pro používání technologií na pracovišti.
Aup vytváří precedens pro nápravná opatření, pokud se uživatelé pokusí obejít organizační bezpečnostní kontroly. Jakmile objevíte důkazy o takových pokusech, musíte se včas obrátit na odpovědného uživatele, abyste odradili budoucí pokusy o vyhýbání se.
Vzorová Šablona Zdarma:
zaměstnanecké Zásady používání internetu
Stáhněte si tuto bezplatnou politiku přijatelného používání, přizpůsobte ji,
a distribuujte ji svým zaměstnancům, abyste vytvořili precedens pro přijatelné používání internetu na pracovišti.
použijte méně omezující filtrování
co je důležitější: Produktivita nebo bezpečnost?
rušivé a neproduktivní webové stránky jsou na pracovišti často blokovány. Tady je věc: pokud vaši zaměstnanci opravdu chtějí používat Facebook v práci, najdou způsob.
pokud používáte webový filtr k zabránění rozptýlení, nespokojení uživatelé jsou více motivováni k obcházení webového filtru, než kdyby byl použit výhradně z bezpečnostních a slušných důvodů.
z hlediska zabezpečení sítě a koncových bodů je umožnění uživatelům přístup k sociálním médiím menší starostí, než je motivovat k obcházení zásad filtrování firemních webových stránek a potenciálně k návštěvě vysoce rizikových webových stránek.
Alternativně můžete během přestávek naplánovat méně omezující zásady filtrování webu, aby vaši zaměstnanci nebo studenti měli přístup k rušivému obsahu v určených obdobích.
to není všechno, i když …
je tu další důvod, proč vaši zaměstnanci nebo studenti chtějí obejít váš webový filtr. Někdy je to prostě to, že chtějí získat přístup k obsahu, ke kterému by neměli přistupovat, ale není tomu tak vždy. Váš webový filtr může ve skutečnosti blokovat přístup k legitimnímu výzkumu.
vaše řešení filtrování webu musí být snadno spravovatelné. To by vám mělo umožnit snadno odblokovat webové stránky, které byly neprávem na černé listině. Být schopen bez námahy poskytnout přístup k blokovaným webům sníží pokušení pro vaše uživatele hledat riskantní techniky vyhýbání se filtrům.
jak zaměstnanci obcházejí webové filtry
1) DNS-Over-HTTPS
co je to?
DNS-Over-HTTPS (Doh) je protokol, který šifruje dotazy DNS, takže navštívená adresa URL je nezjistitelná pro filtry na úrovni sítě. Záměrem DoH je zvýšit soukromí uživatelů snížením dat dostupných poskytovatelům internetových služeb a dalším poskytovatelům, neúmyslně však způsobil problémy v podnikových prostředích, která používají webové filtry založené na DNS.
jak se používá k obcházení webových filtrů
stejné šifrování, které skrývá provoz DNS z poskytovatelů internetových služeb, také skrývá podrobnosti, které webové filtry na úrovni sítě potřebují k účinnému blokování webových stránek.
zaměstnanci a studenti mohou používat webové prohlížeče, které podporují DoH, k obcházení zásad filtrování webu na úrovni sítě. Některé webové prohlížeče, jako je Firefox, ve výchozím nastavení povolují DoH, což vede k obavám o bezpečnost v organizacích, které používají webové filtry k ochraně své sítě před phishingovými útoky.
roztok
- filtr na bázi agenta: Použijte webový filtr založený na agentech, například BrowseControl, který blokuje webové stránky na úrovni prohlížeče, spíše než pomocí filtru DNS na úrovni sítě.
- Kanárská doména: podniky používající webové filtry založené na DNS s Firefoxem mohou přidat kanárskou doménu use-application-dns.net k jejich DNS filtru, aby se zabránilo použití DoH ve výchozím nastavení. Bohužel Firefox může stále ctít nastavení na uživatelské úrovni; pokud váš uživatel ručně povolí DoH, může si zachovat schopnost obejít webové filtry DNS.
- Blokovat Webové Prohlížeče: Použijte blokování aplikací, abyste zabránili uživatelům spouštět prohlížeče podporující DoH. Seznam prohlížečů, které podporují DoH, neustále roste, takže to pravděpodobně nebude možné z dlouhodobého hlediska.
- Active Directory: Chcete-li zakázat DoH, použijte objekt zásad skupiny ve službě Active Directory
2) webové a aplikační Proxy
co je to?
proxy jsou webové stránky a aplikace, které fungují jako brána mezi uživatelem a internetem. Společnosti často používají své vlastní účelové proxy servery, které fungují jako firewall a webový filtr, ale zaměstnanci mohou také použít proxy třetích stran k obcházení Interních opatření pro filtrování obsahu.
jak se používá k obcházení webových filtrů
existují tři klíčové způsoby, jak lze proxy použít k prolomení firemních webových filtrů:
- vaši uživatelé mohou pomocí proxy třetích stran skrýt svůj provoz z webového filtru a volně procházet internet. K těmto proxy serverům lze přistupovat prostřednictvím jednoho z mnoha vyhrazených proxy serverů.
- uživatelé mohou upravit nastavení ve svém webovém prohlížeči tak, aby předali provoz na proxy server, který není spravován vaší společností.
- mohli stahovat účelové proxy programy na USB disky doma a přivést tato zařízení do školy nebo do práce.
řešení
účinné zabránění použití proxy vyžaduje přístup s více hroty. K řešení všech možných metod budete muset kombinovat filtrování webu, omezení oprávnění uživatele, řízení přístupu USB a blokování aplikací.
- Filtrování Webu: Přidejte kategorii Proxy do seznamu filtrování kategorií a proaktivně zablokujte všechny známé weby proxy. Ruční přidání známých proxy webů a aplikací do filtru obsahu je prohraná bitva, protože nové weby se pravidelně vytvářejí.
- Monitorování zaměstnanců: Sledujte aktivitu vyhledávače zaměstnanců pro dotazy, které naznačují, že se snaží najít odblokované weby proxy. Můžete také sledovat použité aplikace a adresy URL navštívené ve vaší síti a zkontrolovat, zda zaměstnanci používají odblokované weby a aplikace proxy.
- Omezení Zásad: Použijte objekt zásad skupiny ve službě Active Directory zabránit zabránit uživatelům provádět změny v nastavení prohlížeče. Měli byste také blokovat zaměstnance v používání zařízení USB – pokud je to pro vaši organizaci příliš omezující, můžete whitelistovat zařízení poskytovaná společností a nechat je uživatelé udržovat na místě.
3) virtuální privátní sítě
co je to?
virtuální privátní síť (VPN) vytváří soukromou šifrovanou síť mezi dvěma sítěmi. Tyto nástroje se často používají k zajištění přístupu vzdálených pracovníků k softwarovým aplikacím hostovaným v síti jejich zaměstnavatele.
jak se používá k obcházení webových filtrů
VPN obchází webové filtry a tunely přes brány firewall maskováním síťového provozu uživatele. To ztěžuje detekci nebo dešifrování webových stránek, které navštěvují, což nutí správce systému zcela zablokovat připojení VPN, pokud chtějí zabránit tomu, aby obcházel své zásady filtrování.
řešení
- blokovat VPN porty: Pokud ve své organizaci nepotřebujete VPN, můžete je jednoduše úplně zablokovat. Chcete-li to provést, zablokujte všechny síťové porty podporující připojení VPN. Přesné použité Porty se liší podle VPN, přičemž nejběžnější porty jsou 443 (TCP), 500 (UDP), 1194 (TCP / UDP), 1701 (TCP), 1723 (TCP), 4500 (UDP) a 10000 (TCP/UDP).
- blokovat rozšíření VPN: zabraňte uživatelům v instalaci pluginů prohlížeče VPN.
- blokovat aplikace: použijte blokování aplikací k zablokování uživatelů v používání VPN založených na aplikacích. Můžete také omezit oprávnění na zaměstnaneckých / studentských účtech, abyste jim zabránili v instalaci softwaru bez hesla správce.
4) Použití celulárních dat jako hotspotu Wi-Fi pro své notebooky
co je to?
smartphony obsahují funkci známou jako „tethering“, která vám umožní používat mobilní data telefonu k vytvoření soukromého hotspotu Wi-Fi. Tento hotspot lze použít k připojení jiného telefonu, tabletu nebo počítače k internetu.
jak se používá k obcházení webových filtrů
pokud filtrujete webové stránky na úrovni sítě pomocí filtru DNS nebo brány firewall, mohou vaši zaměstnanci obejít webový filtr odpojením pracovního notebooku od filtrované sítě a připojením k soukromému Wi-Fi hotspotu svého mobilního telefonu.
řešení
webový filtr založený na agentech, který blokuje webové stránky na úrovni zařízení, nelze pomocí této metody obejít. Softwarový agent bude ukládat do mezipaměti zásady filtrování webu lokálně, což umožní vynucení poslední známé černé listiny, i když se vaši zaměstnanci připojí k externí síti.
5) spuštění webového prohlížeče z USB
co je to?
vaši uživatelé mohou využívat služby jako PortableApps.com instalace přenosných webových prohlížečů na USB flash disk. Tuto metodu je obtížnější zjistit než jiné metody, protože prohlížeče lze spustit přímo z vyměnitelného mediálního zařízení bez nutnosti navštívit web nebo nainstalovat program do počítače.
jak se používá k obcházení webových filtrů
tyto webové prohlížeče založené na USB jsou nakonfigurovány tak, aby směrovaly svůj internetový provoz přes proxy adresu, která obchází zásady filtrování internetu ve vaší síti.
řešení
- BrowseControl: Funkce filtrování webu BrowseControl blokují webové stránky z načítání v přenosných webových prohlížečích
- blokovat USB: blokovat zařízení USB nebo poskytovat uživatelům oprávnění pouze pro čtení. Pokud jsou zařízení USB kritická, administrátor může whitelist spravovat zvládnutelný výběr schválených zařízení.
- blokovat aplikace: můžete zablokovat zaměstnancům spouštění přenosných aplikací na svých počítačích pomocí softwaru pro blokování aplikací, jako je BrowseControl
potřebujete řešení pro blokování nežádoucích zařízení USB? Začněte ještě dnes s bezplatnou zkušební verzí AccessPatrol, software pro ovládání zařízení USB CurrentWare.
závěr
webové filtry jsou vynikajícími nástroji pro zabránění zaměstnancům a studentům v přístupu k vysoce rizikovým a nevhodným webovým stránkám. Postupem času tech-důvtipný uživatelé objevili stále složitější a kreativní způsoby, jak obejít místní bezpečnostní politiky.
k ochraně před tímto trendem musí být zásady založené na omezeních kombinovány s počítačovým monitorováním a správními zárukami. Správci sítě mohou dále posílit integritu svých zásad filtrování tím, že zahrnou použití webových filtrů založených na agentech, které vynucují černé listiny webových stránek, když jsou uživatelé mimo hlavní síť.