um filtro da web é uma ferramenta onipresente para proteger redes e impedir que funcionários ou alunos acessem conteúdo impróprio. Chocantemente, O Relatório Insider Threat Intelligence de 2019 da Dtex descobriu que 95% das empresas pegaram seus funcionários buscando ativamente maneiras de contornar os protocolos de segurança corporativa.
neste artigo, descreverei os métodos que os funcionários usam para contornar as Políticas de Filtragem de conteúdo da web e fornecer dicas para evitar que elas aconteçam.
software de filtragem Web para empresas
precisa impedir que seus funcionários acessem determinados sites? Comece hoje mesmo com um teste gratuito do BrowseControl, o software de filtragem da Web da CurrentWare.
“Como um ‘novato’ eu era capaz de definir com a ajuda do suporte em cerca de uma hora. O software anterior demorou uma eternidade e não funcionou como anunciado; este software funcionou imediatamente. Ele permite que meus funcionários usem a internet e ganhem dinheiro para a prática sem distração/tentação de usar sites pessoais/e-mail/compras.”
– Geraldo B., Gerente de Escritório
Melhores Práticas Para Dissuadir os Usuários ignorem os Filtros da Web
por que ignorar os filtros da Web é um problema?
- segurança: Quando os usuários ignoram as Políticas de filtragem da web, eles aumentam a superfície de ataque da rede, oferecendo a si mesmos a oportunidade de tropeçar em sites maliciosos. Produtividade: Os administradores bloquearão mídias sociais, sites de jogos e outros sites que distraem para melhorar a produtividade de sua organização. Usuários ativamente desengajados podem tentar obter acesso a essas plataformas para perder tempo.Decência: filtros da Web são usados para bloquear o acesso a conteúdo orientado para adultos e outros sites que são considerados inadequados. Isso inclui domínios que hospedam pornografia, conteúdo odioso ou bruto. Conformidade CIPA: para escolas e Bibliotecas, um filtro da web é um componente crítico para atender à conformidade CIPA. Essas organizações precisam manter a conformidade com a CIPA para receber financiamento por e-Rate para telecomunicações, acesso à internet e serviços de banda larga.
evite dar privilégios de administrador aos usuários
reduzir a quantidade de contas de administrador é uma prática de segurança altamente recomendada. A proliferação de privilégios de administrador desnecessários aumenta a probabilidade de que os atores de ameaças possam obter acesso à rede por meio de contas de alto privilégio comprometidas.
de uma perspectiva de filtragem da web, dar aos seus usuários privilégios limitados os impede de baixar aplicativos de desvio indesejados (por exemplo, proxies) ou fazer alterações de configuração que podem prejudicar a segurança de sua rede.
estabeleça uma política de Uso Aceitável
a política da sua empresa precisa proibir explicitamente as tentativas de contornar as medidas de segurança. Uma política de uso aceitável (AUP) complementa seu software de filtragem da web, fornecendo aos funcionários diretrizes claras para o uso da tecnologia no local de trabalho.
uma AUP estabelece um precedente para ações corretivas se seus usuários tentarem contornar os controles de segurança organizacionais. Depois de descobrir evidências de tais tentativas, você deve abordar o(s) Usuário (S) responsável (s) em tempo hábil para dissuadir futuras tentativas de evitação.
Modelo De Amostra Grátis:
Política de uso da Internet dos funcionários
baixe esta política de USO ACEITÁVEL gratuita, personalize-a,
e distribua-a aos seus funcionários para estabelecer um precedente para o uso aceitável da internet no local de trabalho.
use Filtragem menos restritiva
o que é mais importante: produtividade ou segurança?
sites que distraem e improdutivos são frequentemente bloqueados no local de trabalho. Aqui está a coisa: se seus funcionários realmente querem usar o Facebook no trabalho, eles vão encontrar uma maneira. Se você estiver usando um filtro da web para evitar distrações, os usuários descontentes são mais incentivados a ignorar seu filtro da web do que se fosse usado apenas por razões de segurança e decência.
do ponto de vista de segurança de rede e endpoint, permitir que seus Usuários acessem mídias sociais é uma preocupação menor do que incentivá-los a ignorar as Políticas de filtragem da web corporativa e potencialmente visitar sites de alto risco.
Alternativamente, você pode agendar Políticas de filtragem da web menos restritivas durante os intervalos para permitir que seus funcionários ou alunos acessem conteúdo perturbador em períodos designados.
isso não é tudo, embora …
há outro motivo pelo qual seus funcionários ou alunos desejam contornar seu filtro da web. Às vezes é simplesmente que eles querem ter acesso a conteúdo que não deveriam estar acessando, mas nem sempre é o caso. Seu filtro da web pode realmente estar bloqueando o acesso a pesquisas legítimas.
sua solução de filtragem da web precisa ser fácil de gerenciar. Ele deve permitir que você desbloqueie facilmente sites que foram erroneamente colocados na lista negra. Ser capaz de fornecer acesso sem esforço a sites bloqueados reduzirá a tentação de seus usuários buscarem técnicas arriscadas de prevenção de filtros.
como os funcionários ignoram os filtros da Web
1) DNS-over-HTTPS
o que é isso?
DNS-Over-HTTPS (Doh) é um protocolo que criptografa consultas DNS, tornando o URL visitado indetectável para filtros de nível de rede. A intenção do DoH é aumentar a privacidade dos usuários, reduzindo os dados disponíveis para ISPs e outros provedores, no entanto, inadvertidamente causou problemas em ambientes corporativos que usam filtros da Web baseados em DNS.
como é usado para ignorar filtros da web
a mesma criptografia que oculta o tráfego DNS dos ISPs também oculta os detalhes que os filtros da web no nível da rede precisam para bloquear efetivamente os sites.
funcionários e alunos podem usar navegadores da Web que suportam DoH para ignorar as Políticas de filtragem da web em nível de rede. Alguns navegadores da Web, como o Firefox, habilitam o DoH por padrão, levando a preocupações de segurança em organizações que usam filtros da web para proteger sua rede contra ataques de phishing.
a solução
- filtro baseado em Agente: Use um filtro da web baseado em agente, como o BrowseControl, que bloqueia sites no nível do navegador, em vez de usar um filtro DNS no nível da rede.
- domínio Canário: empresas que usam filtros da Web baseados em DNS com o Firefox podem adicionar o domínio Canário use-application-dns.net para seu filtro DNS para evitar que o DoH seja usado por padrão. Infelizmente, o Firefox ainda pode honrar as configurações de nível de usuário; se o usuário ativar manualmente o DoH, ele poderá manter a capacidade de ignorar os filtros da Web DNS.
- Bloquear Navegadores Da Web: Use um bloqueador de aplicativos para impedir que os usuários iniciem navegadores compatíveis com DoH. A lista de navegadores que suportam DoH está crescendo constantemente, então isso provavelmente não será viável a longo prazo.
- Active Directory: Usar um Objeto de Diretiva de Grupo no Active Directory para desativar DoH
2) Web e Proxies de Aplicativo
o Que é?
Proxies são sites e aplicativos que atuam como um gateway entre o Usuário e a internet. As empresas costumam usar seus próprios servidores proxy criados especificamente que atuam como um firewall e filtro da web, mas os funcionários também podem usar proxies de terceiros para ignorar as medidas internas de Filtragem de conteúdo.
Como ele é usado para ignorar filtros da web
Existem três principais maneiras que os proxies podem ser usados para quebrar através de empresas de filtros web:
- os usuários podem usar a terceiros proxies para esconder o seu tráfego do seu filtro da web e navegar na internet livremente. Esses proxies podem ser acessados por meio de um dos muitos sites de proxy dedicados.
- seus usuários podem modificar as configurações em seu navegador da web para encaminhar o tráfego para um servidor proxy que não é gerenciado por sua empresa.
- eles poderiam baixar programas proxy criados especificamente para unidades USB em casa e trazer esses dispositivos para a escola ou para o trabalho.
a solução
prevenir eficazmente o uso de proxies requer uma abordagem multifacetada. Você precisará combinar filtragem da web, restrição de permissão do usuário, controle de acesso USB e bloqueio de aplicativos para abordar todos os métodos possíveis.
- Filtragem Web: Adicione a categoria Proxy à sua lista de Filtragem de categorias para bloquear proativamente todos os sites de proxy conhecidos. Adicionar manualmente sites e aplicativos proxy conhecidos ao seu filtro de conteúdo é uma batalha perdida, pois novos sites estão sendo criados regularmente.
- monitoramento de Funcionários: monitore a atividade do mecanismo de pesquisa de funcionários para consultas que indicam que eles estão tentando encontrar sites proxy desbloqueados. Você também pode rastrear os aplicativos usados e URLs visitados em sua rede e verificar se os funcionários estão usando sites e aplicativos proxy desbloqueados.
- Restrições De Política: Use um objeto de Diretiva de grupo no Active Directory para impedir que os usuários façam alterações nas configurações do navegador. Você também deve impedir que os funcionários usem dispositivos USB-se isso for muito restritivo para sua organização, você pode colocar os dispositivos fornecidos pela empresa na lista de permissões e fazer com que seus usuários os mantenham no local.
3) Redes Privadas Virtuais
o Que é?
uma rede privada Virtual (VPN) cria uma rede criptografada privada entre duas redes. Essas ferramentas são frequentemente usadas para fornecer aos trabalhadores remotos acesso a aplicativos de software hospedados na rede de seus empregadores.
como é usado para ignorar filtros da web
uma VPN Ignora filtros e túneis da web por meio de firewalls, mascarando o tráfego de rede do Usuário. Isso torna difícil detectar ou decifrar os sites que estão visitando, forçando os administradores do sistema a bloquear totalmente a conexão VPN se quiserem evitar que ela contorne suas políticas de filtragem.
A solução
- Bloquear Portas VPN: Se você não precisa de VPNs em sua organização, pode simplesmente bloqueá-las completamente. Para fazer isso, bloqueie todas as portas de rede que suportem conexões VPN. As portas exatas usadas variam de acordo com a VPN, com as portas mais comuns sendo 443 (TCP), 500 (UDP), 1194 (TCP/UDP),1701 (TCP), 1723 (TCP), 4500 (UDP) e 10000 (TCP/UDP).
- bloquear extensões VPN: impedir que seus usuários instalem plugins de navegador VPN.
- bloquear aplicativos: Use um bloqueador de aplicativos para impedir que seus usuários usem VPNs baseadas em aplicativos. Você também pode restringir privilégios em contas de funcionários / alunos para impedi-los de instalar o software sem uma senha de administrador.
4) Usando Dados da rede Celular como um Hotspot Wi-Fi para Seus Laptops
o Que é?
os Smartphones incluem um recurso conhecido como” tethering”, que permite usar os dados móveis do seu telefone para criar um ponto de acesso Wi-Fi privado. Este hotspot pode ser usado para conectar outro telefone, tablet ou computador à internet.
como é usado para ignorar os filtros da web
se você estiver filtrando sites no nível da rede com um filtro DNS ou firewall, seus funcionários podem ignorar o filtro da web desconectando o laptop de trabalho da rede filtrada e conectando-se ao ponto de acesso Wi-Fi privado do celular.
a solução
um filtro web baseado em agente que bloqueia sites no nível do dispositivo não pode ser contornado usando este método. O agente de software armazenará em cache as Políticas de filtragem da web localmente, permitindo que a última lista negra conhecida seja aplicada mesmo quando seus funcionários se conectarem a uma rede externa.
5) o Lançamento de um Navegador da Web a partir de um USB
o Que é?
seus usuários podem usar serviços como PortableApps.com para instalar navegadores da web portáteis em uma unidade flash USB. Esse método é mais difícil de detectar do que os outros métodos, pois os navegadores podem ser iniciados diretamente do dispositivo de mídia removível sem a necessidade de visitar um site ou instalar um programa em seu computador.
como é usado para ignorar os filtros da web
esses navegadores da Web baseados em USB são configurados para rotear o tráfego da internet por meio de um endereço proxy que ignora as Políticas de filtragem da internet da sua rede.
A solução
- BrowseControl: Os recursos de filtragem da web do BrowseControl bloqueiam o carregamento de páginas da web em navegadores portáteis
- bloqueiam USBs: bloqueiam dispositivos USB ou fornecem permissões somente leitura aos usuários. Se os dispositivos USB forem críticos, um administrador pode colocar na lista de permissões uma seleção gerenciável de dispositivos aprovados.
- bloquear aplicativos: você pode bloquear os funcionários de lançar aplicativos portáteis em seus computadores usando software de bloqueio de aplicativos, como BrowseControl
precisa de uma solução para bloquear dispositivos USB indesejados? Comece hoje mesmo com um teste gratuito do AccessPatrol, o software de controle de dispositivos USB da CurrentWare.
conclusão
os filtros da Web são excelentes ferramentas para impedir que funcionários e alunos acessem sites de alto risco e inadequados. Com o tempo, usuários experientes em tecnologia descobriram maneiras cada vez mais complexas e criativas de contornar as Políticas de segurança locais.
para proteger contra essa tendência, as políticas baseadas em restrições devem ser combinadas com monitoramento por computador e salvaguardas administrativas. Os administradores de rede podem reforçar ainda mais a integridade de suas políticas de filtragem, incluindo o uso de filtros da Web baseados em agentes que impõem listas negras de sites quando os usuários estão fora da rede principal.