un filtru web este un instrument omniprezent pentru protejarea rețelelor și împiedicarea angajaților sau studenților să acceseze conținut inadecvat. În mod șocant, raportul Insider Threat Intelligence din 2019 al Dtex a constatat că 95% dintre întreprinderi și-au prins angajații căutând în mod activ modalități de a ocoli protocoalele de securitate corporativă.
în acest articol voi sublinia metodele pe care angajații le folosesc pentru a ocoli politicile de filtrare a conținutului web și pentru a vă oferi sfaturi pentru a le împiedica să se întâmple.
software de filtrare Web pentru afaceri
trebuie să vă blocați angajații să acceseze anumite site-uri web? Începeți astăzi cu o încercare gratuită a BrowseControl, software-ul de filtrare Web CurrentWare.
„ca un’ novice ‘ am fost capabil să înființeze cu ajutor de la sprijin în aproximativ o oră. Software-ul anterior a luat pentru totdeauna și nu au de lucru ca publicitate; acest software a lucrat chiar din cutie. Acesta permite lucrătorilor mei de a utiliza Internetul și de a face bani pentru practica fără distragere a atenției/tentația de a utiliza site-uri personale/e-mail/cumpărături.”
cele mai bune practici pentru descurajarea utilizatorilor de a ocoli filtrele Web
de ce ocolirea filtrelor Web este o problemă?
- securitate: Atunci când utilizatorii ocolesc politicile de filtrare web, acestea măresc suprafața de atac a rețelei, oferindu-și posibilitatea de a se împiedica pe site-uri web rău intenționate.
- Productivitate: administratorii vor bloca rețelele sociale, site-urile de jocuri și alte site-uri care distrag atenția pentru a îmbunătăți productivitatea organizației lor. Utilizatorii dezactivați activ pot încerca să obțină acces la aceste platforme pentru a pierde timpul.
- decență: filtrele Web sunt utilizate pentru a bloca accesul la conținut orientat către adulți și la alte site-uri web considerate inadecvate. Aceasta include domenii care găzduiesc pornografie, conținut urât sau altfel brut.
- conformitatea CIPA: pentru școli și biblioteci, un filtru web este o componentă critică a respectării conformității CIPA. Aceste organizații trebuie să mențină conformitatea CIPA pentru a primi finanțare E-Rate pentru telecomunicații, acces la internet și servicii de bandă largă.
evitați să acordați utilizatorilor privilegii de administrator
reducerea cantității de conturi de administrator este o practică de securitate recomandată. Proliferarea privilegiilor de administrare inutile crește probabilitatea ca actorii de amenințare să poată avea acces la rețea prin conturi compromise cu privilegii ridicate.
dintr-o perspectivă de filtrare web, oferind utilizatorilor privilegii limitate, îi împiedică să descarce aplicații de bypass nedorite (de exemplu, proxy-uri) sau să facă modificări de configurare care pot dăuna securității rețelei dvs.
stabiliți o politică de utilizare acceptabilă
politica companiei dvs. trebuie să interzică în mod explicit încercările de a ocoli măsurile de securitate. O politică de utilizare acceptabilă (AUP) completează software-ul dvs. de filtrare web, oferind angajaților linii directoare clare pentru utilizarea tehnologiei la locul de muncă.
un AUP stabilește un precedent pentru acțiuni corective în cazul în care utilizatorii dvs. încearcă să ocolească controalele de securitate organizaționale. Odată ce descoperiți dovezi ale unor astfel de încercări, trebuie să vă adresați utilizatorului(utilizatorilor) responsabil (i) în timp util pentru a descuraja viitoarele încercări de evitare.
Șablon De Eșantion Gratuit:
Politica de utilizare a Internetului angajaților
descărcați această politică gratuită de utilizare acceptabilă, personalizați-o,
și distribuiți-o angajaților dvs. pentru a stabili un precedent pentru utilizarea acceptabilă a Internetului la locul de muncă.
folosiți filtrare mai puțin restrictivă
ce este mai important: productivitate sau securitate?
site-urile care distrag atentia si sunt neproductive sunt adesea blocate la locul de munca. Iată chestia: dacă angajații dvs. doresc cu adevărat să folosească Facebook la locul de muncă, vor găsi o cale.
dacă utilizați un filtru web pentru a preveni distragerile, utilizatorii nemulțumiți sunt mai stimulați să ocolească filtrul dvs. web decât ar fi dacă ar fi folosit exclusiv din motive de securitate și decență.
din perspectiva securității rețelei și a punctului final, permiterea utilizatorilor dvs. să acceseze rețelele sociale este o preocupare mai mică decât stimularea acestora să ocolească politicile de filtrare web corporative și să viziteze site-uri web cu risc ridicat.
alternativ, puteți programa Politici de filtrare web mai puțin restrictive în timpul pauzelor pentru a permite angajaților sau studenților dvs. să acceseze conținut care distrage atenția în perioadele desemnate.
asta nu este tot, deși…
există un alt motiv pentru care angajații sau studenții dvs. doresc să vă ocolească filtrul web. Uneori este pur și simplu că doresc să obțină acces la conținut pe care nu ar trebui să îl acceseze, dar nu este întotdeauna cazul. Filtrul dvs. web poate bloca de fapt accesul la cercetări legitime.
soluția dvs. de filtrare web trebuie să fie ușor de gestionat. Ar trebui să vă permită să deblocați cu ușurință site-urile web care au fost pe lista neagră pe nedrept. Posibilitatea de a oferi fără efort acces la site-urile blocate va reduce tentația utilizatorilor dvs. de a căuta tehnici de evitare a filtrelor riscante.
cum angajații ocolesc filtrele Web
1) DNS-Over-HTTPS
ce este?
DNS-Over-HTTPS (DoH) este un protocol care criptează interogările DNS, făcând URL-ul vizitat nedetectabil la filtrele la nivel de rețea. Intenția DoH este de a crește confidențialitatea utilizatorilor prin reducerea datelor disponibile ISP-urilor și altor furnizori, cu toate acestea a cauzat din greșeală probleme în mediile corporative care utilizează filtre web bazate pe DNS.
cum este folosit pentru a ocoli filtrele web
aceeași criptare care ascunde traficul DNS de la ISP-uri ascunde, de asemenea, detaliile de care filtrele web la nivel de rețea au nevoie pentru a bloca eficient site-urile web.
angajații și studenții pot utiliza browsere web care acceptă DoH pentru a ocoli politicile de filtrare web la nivel de rețea. Unele browsere web, cum ar fi Firefox, activează DoH în mod implicit, ceea ce duce la probleme de securitate în organizațiile care utilizează filtre web pentru a-și proteja rețeaua împotriva atacurilor de phishing.
soluția
- filtru pe bază de Agent: Utilizați un filtru web bazat pe agenți, cum ar fi BrowseControl, care blochează site-urile web la nivel de browser, mai degrabă decât să utilizați un filtru DNS la nivel de rețea.
- domeniul Canary: întreprinderile care utilizează filtre web bazate pe DNS cu Firefox pot adăuga domeniul canary use-application-dns.net pentru a preveni DoH de a fi utilizate în mod implicit. Din păcate, Firefox poate onora în continuare setările la nivel de utilizator; dacă utilizatorul dvs. activează manual DoH, acesta poate păstra capacitatea de a ocoli filtrele web DNS.
- Blochează Browserele Web: Utilizați un blocant de aplicații pentru a împiedica utilizatorii să lanseze browsere care acceptă DoH. Lista browserelor care acceptă DoH este în continuă creștere, astfel încât acest lucru este probabil să nu fie fezabil pe termen lung.
- Active Directory: utilizați un obiect de politică de grup în Active Directory pentru a dezactiva DoH
2) proxy-uri Web și aplicații
ce este?
proxy-urile sunt site-uri web și aplicații care acționează ca o poartă de acces între utilizator și internet. Companiile folosesc adesea propriile servere proxy construite special, care acționează ca firewall și filtru web, dar angajații pot utiliza și proxy-uri terțe pentru a ocoli măsurile interne de filtrare a conținutului.
cum este folosit pentru a ocoli filtrele web
există trei moduri cheie prin care proxy-urile pot fi folosite pentru a trece prin filtrele web corporative:
- utilizatorii dvs. pot utiliza proxy-uri terțe pentru a-și ascunde traficul de filtrul dvs. web și pentru a naviga liber pe internet. Aceste proxy-uri pot fi accesate prin intermediul unuia dintre numeroasele site-uri proxy dedicate.
- utilizatorii dvs. pot modifica setările din browserul lor web pentru a redirecționa traficul către un server proxy care nu este gestionat de compania dvs.
- ar putea descărca programe proxy construite special pe unități USB acasă și să aducă aceste dispozitive la școală sau la serviciu.
soluția
care împiedică în mod eficient utilizarea proxy-urilor necesită o abordare multiplă. Va trebui să combinați filtrarea web, restricția permisiunii utilizatorului, controlul accesului USB și blocarea aplicațiilor pentru a aborda toate metodele posibile.
- Filtrare Web: Adăugați categoria Proxy la lista dvs. de filtrare a categoriilor pentru a bloca proactiv toate site-urile proxy cunoscute. Adăugarea manuală a site-urilor și aplicațiilor proxy cunoscute la filtrul dvs. de conținut este o bătălie pierdută, deoarece site-urile noi sunt create în mod regulat.
- monitorizarea angajaților: monitorizați activitatea motorului de căutare a angajaților pentru interogări care indică faptul că încearcă să găsească site-uri proxy deblocate. De asemenea, puteți urmări aplicațiile utilizate și adresele URL vizitate în rețeaua dvs. și puteți verifica dacă angajații utilizează site-uri și aplicații proxy deblocate.
- Restricții De Politică: Utilizați un obiect de politică de grup în Active Directory Prevent pentru a împiedica utilizatorii să modifice setările browserului. De asemenea, ar trebui să blocați angajații de la utilizarea dispozitivelor USB – dacă acest lucru este prea restrictiv pentru organizația dvs., puteți lista albă a dispozitivelor furnizate de companie și puteți pune utilizatorii să le păstreze la fața locului.
3) rețele private virtuale
ce este?
o rețea privată virtuală (VPN) creează o rețea privată criptată între două rețele. Aceste instrumente sunt adesea folosite pentru a oferi lucrătorilor la distanță acces la aplicații software găzduite în rețeaua angajatorului lor.
cum este folosit pentru a ocoli filtrele web
un VPN Ocolește filtrele web și tunelurile prin firewall-uri prin mascarea traficului de rețea al utilizatorului. Acest lucru face dificilă detectarea sau descifrarea site-urilor web pe care le vizitează, forțând administratorii de sistem să blocheze complet conexiunea VPN dacă doresc să împiedice eludarea politicilor lor de filtrare.
soluția
- blocați porturile VPN: Dacă nu aveți nevoie de VPN-uri în organizația dvs., le puteți bloca cu totul. Pentru a face acest lucru, Blocați orice porturi de rețea care acceptă conexiuni VPN. Porturile exacte utilizate variază în funcție de VPN, cele mai frecvente porturi fiind 443 (TCP), 500 (UDP), 1194 (TCP/UDP), 1701 (TCP), 1723 (TCP), 4500 (UDP) și 10000 (TCP/UDP).
- blocați extensiile VPN: împiedicați utilizatorii să instaleze pluginuri de browser VPN.
- Blocați aplicațiile: utilizați un blocant de aplicații pentru a bloca utilizatorii să utilizeze VPN-uri bazate pe aplicații. De asemenea, puteți restricționa privilegiile pentru conturile angajaților/studenților pentru a le împiedica să instaleze software fără o parolă de administrator.
4) Utilizarea datelor celulare ca Hotspot Wi-Fi pentru laptopurile lor
ce este?
smartphone-urile includ o caracteristică cunoscută sub numele de „tethering”, care vă permite să utilizați datele mobile ale telefonului pentru a crea un hotspot Wi-Fi privat. Acest hotspot poate fi utilizat pentru a conecta un alt telefon, tabletă sau computer la internet.
cum se utilizează pentru a ocoli filtrele web
dacă filtrați site-urile web la nivel de rețea cu un filtru DNS sau un firewall, angajații dvs. pot ocoli filtrul web prin deconectarea laptopului de lucru de la rețeaua filtrată și conectarea la hotspotul Wi-Fi privat al telefonului mobil.
soluția
un filtru web bazat pe agenți care blochează site-urile web la nivel de dispozitiv nu poate fi ocolit folosind această metodă. Agentul software va cache politicile de filtrare web la nivel local, permițând ultima listă neagră cunoscută să fie aplicată chiar și atunci când angajații dvs. se conectează la o rețea externă.
5) lansarea unui Browser web de pe USB
ce este?
utilizatorii dvs. pot utiliza servicii precum PortableApps.com pentru a instala browsere web portabile pe o unitate flash USB. Această metodă este mai dificil de detectat decât celelalte metode, deoarece browserele pot fi lansate direct de pe dispozitivul media amovibil fără a fi nevoie să vizitați un site web sau să instalați un program pe computerul lor.
cum se utilizează pentru a ocoli filtrele web
aceste browsere web bazate pe USB sunt configurate pentru a-și direcționa traficul pe internet printr-o adresă proxy care ocolește politicile de filtrare pe internet ale rețelei dvs.
soluția
- BrowseControl: Funcțiile de filtrare web ale BrowseControl blochează încărcarea paginilor web pe browserele web portabile
- blocați USB-urile: Blocați dispozitivele USB sau oferiți utilizatorilor permisiuni numai în citire. Dacă dispozitivele USB sunt critice, un administrator poate lista albă o selecție gestionabilă de dispozitive aprobate.
- Blocați aplicațiile: Puteți bloca angajații să lanseze aplicații portabile pe computerele lor folosind software de blocare a aplicațiilor, cum ar fi BrowseControl
aveți nevoie de o soluție pentru blocarea dispozitivelor USB nedorite? Începeți astăzi cu o încercare gratuită a AccessPatrol, software-ul de control al dispozitivului USB al CurrentWare.
concluzie
filtrele Web sunt instrumente excelente pentru a împiedica angajații și studenții să acceseze site-uri web cu risc ridicat și necorespunzătoare. De-a lungul timpului, utilizatorii pricepuți în tehnologie au descoperit modalități din ce în ce mai complexe și creative de a ocoli politicile locale de securitate.
pentru a proteja împotriva acestei tendințe, politicile bazate pe restricții trebuie combinate cu monitorizarea computerizată și garanțiile administrative. Administratorii de rețea pot consolida în continuare integritatea politicilor lor de filtrare prin includerea utilizării filtrelor web bazate pe agenți care impun listele negre ale site-urilor web atunci când utilizatorii sunt în afara rețelei principale.