Un filtro Web è uno strumento onnipresente per proteggere le reti e impedire ai dipendenti o agli studenti di accedere a contenuti inappropriati. Sorprendentemente il rapporto 2019 Insider Threat Intelligence di Dtex ha rilevato che il 95% delle aziende ha catturato i propri dipendenti attivamente alla ricerca di modi per bypassare i protocolli di sicurezza aziendali.
In questo articolo illustrerò i metodi che i dipendenti utilizzano per bypassare le politiche di filtraggio dei contenuti web e fornire suggerimenti per evitare che accada.
Software di filtraggio Web per le aziende
Necessità di bloccare i dipendenti di accedere a determinati siti web? Inizia oggi con una prova gratuita di BrowseControl, software di filtraggio web di CurrentWare.
“Come un’ novizio ‘ sono stato in grado di impostare con l’aiuto del supporto in circa un’ora. Software precedente ha preso per sempre e non ha funzionato come pubblicizzato; questo software ha funzionato a destra, fuori dalla scatola. Permette ai miei lavoratori di utilizzare Internet e fare soldi per la pratica senza distrazione/tentazione di utilizzare siti web personali / e-mail / shopping.”
– Gerard B., Direttore dell’ufficio
Best Practice per dissuadere gli utenti dal bypassare i filtri Web
Perché bypassare i filtri Web è un problema?
- Sicurezza: Quando gli utenti ignorano i criteri di filtraggio Web, aumentano la superficie di attacco della rete offrendo loro stessi l’opportunità di inciampare su siti Web dannosi.
- Produttività: gli amministratori bloccheranno i social media, i siti di giochi e altri siti Web che distraggono per migliorare la produttività della loro organizzazione. Gli utenti attivamente disimpegnati possono cercare di accedere a queste piattaforme per perdere tempo.
- Decenza: i filtri Web vengono utilizzati per bloccare l’accesso a contenuti per adulti e altri siti Web considerati inappropriati. Ciò include i domini che ospitano contenuti pornografici, odiosi o altrimenti grezzi.
- Conformità CIPA: per scuole e biblioteche un filtro Web è un componente fondamentale per soddisfare la conformità CIPA. Queste organizzazioni devono mantenere la conformità CIPA per ricevere finanziamenti E-Rate per le telecomunicazioni, l’accesso a Internet e i servizi a banda larga.
Evita di dare agli utenti privilegi di amministratore
Ridurre la quantità di account di amministratore è una pratica di sicurezza fortemente raccomandata. La proliferazione di privilegi di amministratore non necessari aumenta la probabilità che gli attori delle minacce possano accedere alla rete attraverso account con privilegi elevati compromessi.
Dal punto di vista del filtraggio Web, dare agli utenti privilegi limitati impedisce loro di scaricare applicazioni di bypass indesiderate (ad esempio proxy) o apportare modifiche alla configurazione che possono danneggiare la sicurezza della rete.
Stabilire una politica di utilizzo accettabile
La politica aziendale deve vietare esplicitamente i tentativi di aggirare le misure di sicurezza. Una politica di utilizzo accettabile (AUP) integra il software di filtraggio Web fornendo ai dipendenti linee guida chiare per l’utilizzo della tecnologia sul posto di lavoro.
Un AUP crea un precedente per azioni correttive nel caso in cui gli utenti tentino di aggirare i controlli di sicurezza organizzativi. Una volta scoperta la prova di tali tentativi, è necessario rivolgersi agli utenti responsabili in modo tempestivo per dissuadere i futuri tentativi di evitamento.
Modello di esempio gratuito:
Politica di utilizzo di Internet dei dipendenti
Scarica questa politica di utilizzo accettabile GRATUITA, personalizzala,
e distribuiscila ai tuoi dipendenti per creare un precedente per l’uso accettabile di Internet sul posto di lavoro.
Usa filtri meno restrittivi
Cosa c’è di più importante: produttività o sicurezza?
I siti web distratti e improduttivi sono spesso bloccati sul posto di lavoro. Ecco la cosa: se i tuoi dipendenti vogliono davvero usare Facebook al lavoro, troveranno un modo.
Se si utilizza un filtro web per evitare distrazioni, gli utenti scontenti sono più incentivati a bypassare il filtro Web di quanto farebbero se fosse utilizzato esclusivamente per motivi di sicurezza e decenza.
Dal punto di vista della sicurezza della rete e degli endpoint, consentire agli utenti di accedere ai social media è una preoccupazione minore rispetto a incentivarli a bypassare le politiche di filtraggio Web aziendali e potenzialmente visitare siti Web ad alto rischio.
In alternativa, è possibile pianificare criteri di filtraggio Web meno restrittivi durante le interruzioni per consentire ai dipendenti o agli studenti di accedere a contenuti che distraggono in periodi designati.
Non è tutto, però
C’è un altro motivo per cui i tuoi dipendenti o studenti vogliono aggirare il tuo filtro web. A volte è semplicemente che vogliono accedere a contenuti a cui non dovrebbero accedere, ma non è sempre così. Il tuo filtro web potrebbe effettivamente bloccare l’accesso alla ricerca legittima.
La soluzione di filtraggio web deve essere facile da gestire. Dovrebbe consentire di sbloccare facilmente i siti Web che sono stati erroneamente nella lista nera. Essere in grado di fornire senza sforzo l’accesso a siti web bloccati ridurrà la tentazione per gli utenti di cercare tecniche di evitare filtri rischiosi.
Come i dipendenti bypassano i filtri Web
1) DNS-Over-HTTPS
Che cos’è?
DNS-Over-HTTPS (DoH) è un protocollo che crittografa le query DNS, rendendo l’URL visitato non rilevabile ai filtri a livello di rete. L’intenzione di DoH è quello di aumentare la privacy degli utenti, riducendo i dati disponibili per gli ISP e altri fornitori, tuttavia ha inavvertitamente causato problemi in ambienti aziendali che utilizzano filtri web DNS-based.
Come viene utilizzato per bypassare i filtri web
La stessa crittografia che nasconde il traffico DNS dagli ISP nasconde anche i dettagli necessari ai filtri Web a livello di rete per bloccare efficacemente i siti web.
Dipendenti e studenti possono utilizzare browser Web che supportano DoH per bypassare i criteri di filtraggio Web a livello di rete. Alcuni browser Web come Firefox abilitano DoH per impostazione predefinita, causando problemi di sicurezza nelle organizzazioni che utilizzano filtri Web per proteggere la propria rete dagli attacchi di phishing.
La soluzione
- Filtro basato su agenti: Utilizzare un filtro Web basato su agente come BrowseControl che blocca i siti Web a livello di browser anziché utilizzare un filtro DNS a livello di rete.
- Dominio Canary: le aziende che utilizzano filtri Web basati su DNS con Firefox possono aggiungere il dominio Canary use-application-dns.net al loro filtro DNS per evitare che DoH venga utilizzato per impostazione predefinita. Purtroppo Firefox può ancora onorare le impostazioni a livello utente; se l’utente abilita manualmente DoH possono mantenere la capacità di bypassare i filtri web DNS.
- Blocca browser Web: Utilizzare un blocco applicazioni per impedire agli utenti di avviare i browser che supportano DoH. L’elenco dei browser che supportano DoH è in costante crescita, quindi è probabile che questo non sia fattibile a lungo termine.
- Active Directory: utilizzare un oggetto Criteri di gruppo in Active Directory per disabilitare DoH
2) Proxy Web e applicazioni
Che c’e’?
I proxy sono siti web e applicazioni che fungono da gateway tra l’utente e Internet. Le aziende spesso utilizzano i propri server proxy appositamente costruiti che fungono da firewall e filtro Web, ma i dipendenti possono anche utilizzare proxy di terze parti per bypassare le misure interne di filtraggio dei contenuti.
Come viene utilizzato per bypassare i filtri web
Ci sono tre modi chiave in cui i proxy possono essere utilizzati per sfondare i filtri web aziendali:
- Gli utenti possono utilizzare proxy di terze parti per nascondere il loro traffico dal filtro web e navigare in Internet liberamente. Questi proxy sono accessibili attraverso uno dei tanti siti proxy dedicati.
- Gli utenti possono modificare le impostazioni nel browser Web per inoltrare il traffico a un server proxy non gestito dalla società.
- Potevano scaricare programmi proxy appositamente costruiti su unità USB a casa e portare questi dispositivi a scuola o al lavoro.
La soluzione
Prevenire efficacemente l’uso di proxy richiede un approccio su più fronti. È necessario combinare il filtraggio Web, la restrizione delle autorizzazioni utente, il controllo degli accessi USB e il blocco delle applicazioni per affrontare tutti i possibili metodi.
- Filtro Web: Aggiungi la categoria proxy all’elenco di filtraggio delle categorie per bloccare in modo proattivo tutti i siti proxy noti. L’aggiunta manuale di siti web proxy noti e applicazioni per il filtro dei contenuti è una battaglia persa come nuovi siti vengono creati su base regolare.
- Monitoraggio dei dipendenti: monitora l’attività del motore di ricerca dei dipendenti per le query che indicano che stanno cercando di trovare siti proxy non bloccati. È inoltre possibile tenere traccia delle applicazioni utilizzate e degli URL visitati nella rete e verificare se i dipendenti utilizzano siti e applicazioni proxy non bloccati.
- Restrizioni politiche: Utilizzare un oggetto Criteri di gruppo in Active Directory Prevent per impedire agli utenti di apportare modifiche alle impostazioni del browser. Si dovrebbe anche bloccare i dipendenti dall’utilizzo di dispositivi USB – se questo è troppo restrittivo per l’organizzazione è possibile whitelist dispositivi forniti dall’azienda e avere gli utenti tenerli in loco.
3) Reti private virtuali
Che c’e’?
Una rete privata virtuale (VPN) crea una rete privata crittografata tra due reti. Questi strumenti sono spesso utilizzati per fornire ai lavoratori remoti l’accesso alle applicazioni software ospitate sulla rete del datore di lavoro.
Come viene utilizzato per bypassare i filtri web
Una VPN bypassa i filtri Web e i tunnel attraverso i firewall mascherando il traffico di rete dell’utente. Ciò rende difficile rilevare o decifrare i siti Web che stanno visitando, costringendo gli amministratori di sistema a bloccare completamente la connessione VPN se vogliono impedirgli di eludere le loro politiche di filtraggio.
La soluzione
- Blocca le porte VPN: Se non hai bisogno di VPN nella tua organizzazione puoi semplicemente bloccarle del tutto. Per fare ciò, bloccare tutte le porte di rete che supportano le connessioni VPN. Le porte esatte utilizzate variano a seconda della VPN, con le porte più comuni 443 (TCP), 500 (UDP), 1194 (TCP/UDP),1701 (TCP), 1723 (TCP), 4500 (UDP) e 10000 (TCP/UDP).
- Blocca le estensioni VPN: impedisci agli utenti di installare i plugin del browser VPN.
- Blocca app: utilizza un blocco applicazioni per impedire agli utenti di utilizzare VPN basate su app. È inoltre possibile limitare i privilegi sugli account dei dipendenti/studenti per impedire loro di installare il software senza una password di amministratore.
4) Utilizzo dei dati cellulari come hotspot Wi-Fi per i propri laptop
Che c’e’?
Gli smartphone includono una funzione nota come” tethering”, che consente di utilizzare i dati mobili del telefono per creare un hotspot Wi-Fi privato. Questo hotspot può essere utilizzato per collegare un altro telefono, tablet o computer a Internet.
Come viene utilizzato per bypassare i filtri web
Se si filtrano i siti Web a livello di rete con un filtro DNS o un firewall, i dipendenti possono ignorare il filtro Web scollegando il laptop da lavoro dalla rete filtrata e collegandosi all’hotspot Wi-Fi privato del proprio telefono cellulare.
La soluzione
Un filtro Web basato su agente che blocca i siti Web a livello di dispositivo non può essere bypassato utilizzando questo metodo. L’agente software memorizzerà nella cache i criteri di filtraggio Web localmente, consentendo di applicare l’ultima lista nera nota anche quando i dipendenti si connettono a una rete esterna.
5) Avvio di un browser Web da USB
Che c’e’?
I tuoi utenti possono utilizzare servizi come PortableApps.com per installare browser Web portatili su un’unità flash USB. Questo metodo è più difficile da rilevare rispetto agli altri metodi in quanto i browser possono essere lanciati direttamente dal dispositivo multimediale rimovibile senza la necessità di visitare un sito Web o installare un programma sul proprio computer.
Come viene utilizzato per bypassare i filtri Web
Questi browser Web basati su USB sono configurati per instradare il loro traffico Internet attraverso un indirizzo proxy che ignora i criteri di filtraggio Internet della rete.
La soluzione
- BrowseControl: Le funzionalità di filtraggio Web di BrowseControl bloccano il caricamento delle pagine Web sui browser Web portatili
- Blocca USB: blocca i dispositivi USB o fornisce agli utenti autorizzazioni di sola lettura. Se i dispositivi USB sono critici, un amministratore può inserire nella whitelist una selezione gestibile di dispositivi approvati.
- Blocca app: puoi impedire ai dipendenti di lanciare app portatili sui loro computer utilizzando software di blocco delle applicazioni come BrowseControl
Hai bisogno di una soluzione per bloccare dispositivi USB indesiderati? Inizia oggi con una prova gratuita di AccessPatrol, il software di controllo del dispositivo USB di CurrentWare.
Conclusione
I filtri Web sono strumenti eccellenti per impedire a dipendenti e studenti di accedere a siti Web ad alto rischio e inappropriati. Nel corso del tempo gli utenti esperti di tecnologia hanno scoperto modi sempre più complessi e creativi per bypassare le politiche di sicurezza locali.
Per proteggersi da questa tendenza, le politiche basate sulle restrizioni devono essere combinate con il monitoraggio informatico e le garanzie amministrative. Gli amministratori di rete possono rafforzare ulteriormente l’integrità dei loro criteri di filtraggio includendo l’uso di filtri Web basati su agenti che applicano le blacklist dei siti Web quando gli utenti sono fuori dalla rete principale.