hur anställda kringgår webbfilter på arbetsplatsen (och hur man stoppar dem)

publicerat den

ett webbfilter är ett allestädes närvarande verktyg för att skydda nätverk och förhindra anställda eller studenter från att komma åt olämpligt innehåll. Chockerande 2019 Insider Threat Intelligence rapport från Dtex fann att 95% av företagen fångade sina anställda aktivt söker sätt att kringgå företagets säkerhetsprotokoll.

i den här artikeln kommer jag att beskriva de metoder som anställda använder för att kringgå policyer för webbfiltrering och ge dig tips för att förhindra att de händer.

Webbfiltreringsprogram för företag

behöver du blockera dina anställda från att komma åt vissa webbplatser? Kom igång idag med en gratis testversion av BrowseControl, Currentwares webbfiltreringsprogram.

”som en’ nybörjare ’ jag kunde ställa upp med hjälp av stöd i ungefär en timme. Tidigare programvara tog evigt och fungerade inte som annonserat; denna programvara fungerade direkt ur lådan. Det gör det möjligt för mina arbetare att använda internet och tjäna pengar för övningen utan distraktion/frestelse att använda personliga webbplatser/e-post/shopping.”

bästa praxis för att avskräcka användare från att kringgå webbfilter

grafik av en skyline med en man som håller världen mellan händerna.

Varför är förbikoppling av webbfilter ett Problem?

  • säkerhet: När användare kringgår webbfiltreringspolicyer ökar de nätverkets attackyta genom att ge sig själva möjlighet att snubbla på skadliga webbplatser.
  • produktivitet: administratörer kommer att blockera sociala medier, spelwebbplatser och andra distraherande webbplatser för att förbättra produktiviteten i deras organisation. Aktivt urkopplade användare kan försöka få tillgång till dessa plattformar för att slösa tid.
  • anständighet: webbfilter används för att blockera åtkomst till vuxenorienterat innehåll och andra webbplatser som anses olämpliga. Detta inkluderar domäner som är värd för pornografi, hatiskt eller på annat sätt grovt innehåll.
  • Cipa-efterlevnad: för skolor och bibliotek är ett webbfilter en viktig komponent för att uppfylla CIPA-efterlevnad. Dessa organisationer måste upprätthålla CIPA-efterlevnad för att få E-Rate-finansiering för telekommunikation, internetåtkomst och bredbandstjänster.

Undvik att ge användare administratörsbehörighet

att minska mängden administratörskonton är en starkt rekommenderad säkerhetspraxis. Spridningen av onödiga administratörsbehörigheter ökar sannolikheten för att hotaktörer kan få tillgång till nätverket genom komprometterade högprivilegierade konton.

ur ett webbfiltreringsperspektiv som ger dina användare begränsade behörigheter hindrar dem från att ladda ner oönskade bypass-applikationer (t.ex. proxyservrar) eller göra konfigurationsändringar som kan skada säkerheten i ditt nätverk.

upprätta en Policy för godtagbar användning

din företagspolicy måste uttryckligen förbjuda försök att kringgå säkerhetsåtgärder. En policy för godtagbar användning (AUP) kompletterar din webbfiltreringsprogramvara genom att ge anställda tydliga riktlinjer för användning av teknik på arbetsplatsen.

en AUP anger ett prejudikat för korrigerande åtgärder om dina användare försöker kringgå organisatoriska säkerhetskontroller. När du upptäcker bevis på sådana försök måste du kontakta användaren / användarna i god tid för att avskräcka framtida undvikande försök.

Gratis Provmall:
Employee Internet Usage Policy

ladda ner denna gratis policy för acceptabel användning, anpassa den,
och distribuera den till dina anställda för att skapa ett prejudikat för acceptabel användning av internet på arbetsplatsen.

Använd mindre restriktiv filtrering

vad är viktigare: produktivitet eller säkerhet?

distraherande och oproduktiva webbplatser blockeras ofta på arbetsplatsen. Här är saken: om dina anställda verkligen vill använda Facebook på jobbet hittar de ett sätt.

om du använder ett webbfilter för att förhindra distraktioner, missnöjda användare är mer incitament att kringgå din webbfilter än de skulle om det användes enbart för säkerhet och anständighet skäl.

ur ett nätverks-och slutpunktssäkerhetsperspektiv så att dina användare kan komma åt sociala medier är ett mindre problem än att uppmuntra dem att kringgå företagets webbfiltreringspolicy och eventuellt besöka högriskwebbplatser.

Alternativt kan du schemalägga mindre restriktiva webbfiltreringspolicyer under pauser så att dina anställda eller studenter får tillgång till distraherande innehåll vid angivna perioder.

det är inte allt, men…

det finns en annan anledning till att dina anställda eller studenter vill komma runt ditt webbfilter. Ibland är det helt enkelt att de vill få tillgång till innehåll som de inte borde komma åt, men det är inte alltid fallet. Ditt webbfilter kan faktiskt blockera åtkomst till legitim forskning.

din webbfiltreringslösning måste vara enkel att hantera. Det bör låta dig enkelt avblockera webbplatser som felaktigt har svartlistats. Att enkelt kunna ge tillgång till blockerade webbplatser kommer att minska frestelsen för dina användare att söka riskfyllda filterundvikande tekniker.

hur anställda kringgår webbfilter

1) DNS-Over-HTTPS

citat: för företag har DoH varit en mardröm sedan det har föreslagits. DoH skapar i princip en mekanism för att skriva över centralt införda DNS-inställningar och tillåter anställda att använda DoH för att kringgå alla DNS-baserade trafikfiltreringslösningar. - Catalin Cimpanu, ZDNet

Vad är det?

DNS-Over-HTTPS (DoH) är ett protokoll som krypterar DNS-frågor, vilket gör den besökta webbadressen omöjlig att upptäcka för filter på nätverksnivå. Avsikten med DoH är att öka användarnas integritet genom att minska data som är tillgängliga för Internetleverantörer och andra leverantörer, men det har oavsiktligt orsakat problem i företagsmiljöer som använder DNS-baserade webbfilter.

hur det används för att kringgå webbfilter

samma kryptering som döljer DNS-trafik från Internetleverantörer döljer också de detaljer som webbfilter på nätverksnivå behöver för att effektivt blockera webbplatser.

anställda och studenter kan använda webbläsare som stöder DoH för att kringgå webbfiltreringspolicyer på nätverksnivå. Vissa webbläsare som Firefox aktiverar DoH som standard, vilket leder till säkerhetsproblem i organisationer som använder webbfilter för att skydda sitt nätverk mot phishing-attacker.

lösningen

  • Agentbaserat Filter: Använd ett agentbaserat webbfilter som BrowseControl som blockerar webbplatser på webbläsarnivå istället för att använda ett DNS-filter på nätverksnivå.
  • Canary-domän: företag som använder DNS – baserade webbfilter med Firefox kan lägga till Canary-domänen use-application-dns.net till deras DNS-filter för att förhindra att DoH används som standard. Tyvärr kan Firefox fortfarande hedra användarnivåinställningar; om din användare manuellt aktiverar DoH kan de behålla möjligheten att kringgå DNS-webbfilter.
  • Blockera Webbläsare: Använd en applikationsblockerare för att förhindra att användare startar webbläsare som stöder DoH. Listan över webbläsare som stöder DoH växer stadigt så det är sannolikt inte möjligt på lång sikt.
  • Active Directory: använd ett grupprincipobjekt i Active Directory För att inaktivera DoH

2) webb-och Applikationsproxyservrar

Vad är det?

Proxies är webbplatser och applikationer som fungerar som en gateway mellan användaren och internet. Företag använder ofta sina egna specialbyggda proxyservrar som fungerar som en brandvägg och webbfilter men anställda kan också använda tredjepartsproxyservrar för att kringgå interna innehållsfiltreringsåtgärder.

hur det används för att kringgå webbfilter

det finns tre viktiga sätt att proxyservrar kan användas för att bryta igenom företagens webbfilter:

  1. dina användare kan använda tredjepartsproxyservrar för att dölja sin trafik från ditt webbfilter och surfa fritt på internet. Dessa fullmakter kan nås via en av många dedikerade proxysajter.
  2. användarna kan ändra inställningarna i sin webbläsare för att vidarebefordra trafik till en proxyserver som inte hanteras av ditt företag.
  3. de kan ladda ner specialbyggda proxyprogram på USB-enheter hemma och ta med dessa enheter till skolan eller arbetet.

lösningen

för att effektivt förhindra användning av proxyservrar krävs ett mångsidigt tillvägagångssätt. Du måste kombinera webbfiltrering, begränsning av användarbehörighet, USB-åtkomstkontroll och applikationsblockering för att ta itu med alla möjliga metoder.

  • Webbfiltrering: Lägg till Proxykategorin i din Kategorifiltreringslista för att proaktivt blockera alla kända proxywebbplatser. Att manuellt lägga till kända proxywebbplatser och applikationer i ditt innehållsfilter är en förlorande kamp eftersom nya webbplatser skapas regelbundet.
  • anställd övervakning: övervaka anställdas sökmotoraktivitet för frågor som indikerar att de försöker hitta oblockerade proxywebbplatser. Du kan också spåra de applikationer som används och webbadresser som besökts i ditt nätverk och kontrollera om anställda använder oblockerade proxywebbplatser och-applikationer.
  • Policybegränsningar: Använd ett grupprincipobjekt i Active Directory Prevent för att hindra användare från att göra ändringar i webbläsarinställningarna. Du bör också blockera anställda från att använda USB-enheter-om detta är för restriktivt för din organisation kan du vitlista företagets enheter och låta dina användare behålla dem på plats.

3) Virtuella privata nätverk

Vad är det?

ett virtuellt privat nätverk (VPN) skapar ett privat krypterat nätverk mellan två nätverk. Dessa verktyg används ofta för att ge fjärrarbetare tillgång till program som finns på deras arbetsgivares nätverk.

hur det används för att kringgå webbfilter

en VPN kringgår webbfilter och tunnlar genom brandväggar genom att maskera användarens nätverkstrafik. Detta gör det svårt att upptäcka eller dechiffrera de webbplatser de besöker, vilket tvingar systemadministratörer att blockera VPN-anslutningen helt om de vill förhindra att den kringgår sina filtreringspolicyer.

lösningen

  • blockera VPN-portar: Om du inte behöver VPN i din organisation kan du helt enkelt blockera dem helt och hållet. För att göra detta, blockera alla nätverksportar som stöder VPN-anslutningar. De exakta portarna som används varierar beroende på VPN, med de vanligaste portarna 443 (TCP), 500 (UDP), 1194 (TCP/UDP), 1701 (TCP), 1723 (TCP), 4500 (UDP) och 10000 (TCP/UDP).
  • blockera VPN-tillägg: förhindra att dina användare installerar VPN – webbläsarinsticksprogram.
  • blockera appar: Använd en applikationsblockerare för att blockera dina användare från att använda appbaserade VPN. Du kan också begränsa behörigheter för anställda / studentkonton för att hindra dem från att installera programvara utan ett administratörslösenord.

4) använda mobildata som en Wi-Fi-Hotspot för sina bärbara datorer

en man som använder en bärbar dator för att surfa på internet

Vad är det?

Smartphones inkluderar en funktion som kallas” tethering”, som låter dig använda telefonens mobildata för att skapa en privat Wi-Fi-hotspot. Denna hotspot kan användas för att ansluta en annan telefon, surfplatta eller dator till internet.

hur det används för att kringgå webbfilter

om du filtrerar webbplatser på nätverksnivå med ett DNS-filter eller brandvägg kan dina anställda kringgå ditt webbfilter genom att koppla bort sin bärbara dator från ditt filtrerade nätverk och ansluta till mobiltelefonens privata Wi-Fi-hotspot.

lösningen

ett agentbaserat webbfilter som blockerar webbplatser på enhetsnivå kan inte kringgås med den här metoden. Programvaruagenten cachar webbfiltreringspolicyer lokalt, vilket gör att den senast kända svartlistan kan verkställas även när dina anställda ansluter till ett externt nätverk.

5) Starta en webbläsare från USB

Rogue USB-enheter skadar Slutpunktssäkerhet

Vad är det?

dina användare kan använda tjänster som PortableApps.com för att installera bärbara webbläsare på ett USB-minne. Denna metod är svårare att upptäcka än de andra metoderna eftersom webbläsarna kan startas direkt från den flyttbara medieenheten utan att behöva besöka en webbplats eller installera ett program på sin dator.

hur det används för att kringgå webbfilter

dessa USB-baserade webbläsare är konfigurerade för att dirigera sin internettrafik via en proxyadress som kringgår internetfiltreringspolicyn i ditt nätverk.

lösningen

  • BrowseControl: Browsecontrols webbfiltreringsfunktioner blockerar webbsidor från att laddas på bärbara webbläsare
  • blockera USB-enheter: blockera USB-enheter eller ge användare skrivskyddade behörigheter. Om USB-enheter är kritiska kan en administratör vitlista ett hanterbart urval av godkända enheter.
  • blockera appar: du kan blockera anställda från att starta bärbara appar på sina datorer med applikationsblockeringsprogram som BrowseControl

behöver du en lösning för att blockera oönskade USB-enheter? Kom igång idag med en kostnadsfri testversion av AccessPatrol, Currentwares programvara för USB-enhetskontroll.

slutsats

webbfilter är utmärkta verktyg för att förhindra anställda och studenter från att komma åt högriskwebbplatser och olämpliga webbplatser. Med tiden har tekniskt kunniga användare upptäckt alltmer komplexa och kreativa sätt att kringgå lokala säkerhetspolicyer.

för att skydda mot denna trend måste restriktionsbaserade policyer kombineras med datorövervakning och administrativa skyddsåtgärder. Nätverksadministratörer kan ytterligare stärka integriteten i sina filtreringspolicyer genom att inkludera användningen av agentbaserade webbfilter som genomdriver svartlistor för webbplatser när användare är utanför huvudnätverket.

Lämna ett svar

Din e-postadress kommer inte publiceras.