每周科技花语-数据泄露

每周科技花语-数据泄露

我们必须时刻保持警惕,防止恶意软件, 木马, 和其他坏人在我们学校的网络中扎根,窃取个人身份信息(PIA)和金钱.   除了web过滤, 杀毒, 打补丁, 现在是先进的端点保护, 我们还必须考虑政策.  我将要列出的一些内容是非常明显的.  其他的可能不那么明显,但在我们生活的这个世界的任何时间/任何地方是至关重要的.

需要考虑的政策:

  1. 你允许远程访问吗?   如果是的话,可以通过VPN或真正的远程访问解决方案网关,如VMware Horizon(又名View)?   记得VPN访问, 这取决于它的配置方式, 是否可能将不在您控制之下的远程网络暴露给您的内部网络.   最低限度地暴露工作站或笔记本电脑连接,这可能是或可能不是在您的控制之下.   来自非托管机器的vpn可能会让你暴露于病毒/恶意软件,否则你的正常防御会阻止你.    如果你正在做一个虚拟桌面解决方案, 我们真的不太关心远程用户,因为他们正在使用由您管理的桌面来做他们需要做的事情.  然而, 如果你有剪贴板或USB接口, 您可能允许人们在您的网络内或外复制数据.  我们可以通过策略控制剪贴板和USB访问.
  2. 你允许在浏览器中缓存凭证吗?   缓存的凭证可以让一个人在不知情的情况下进入你的工作站访问敏感数据.   (i.e. 学生服务(如SchoolTool).  解决方案是创建一个组策略来防止缓存密码.  请记住,Microsoft Internet Explorer中有可用的组策略, 谷歌Chrome, Mozilla Firefox, 和微软的边缘.
  3. 你是否有登录不活动超时和/或定时的密码保护屏幕保护程序?   如果一个老师在做评分,但没有签到,会发生什么?   如果应付款职员去吃午饭,会发生什么?  这是一个简单的组策略.
  4. 你允许任何远程访问客户端吗.e. LogmeIn, TeamViewer, GotoMyPC等.)?  在未经批准的情况下,绝对不能有其他途径进入学校的网络, 授权用户的可跟踪方式.   这些通常可以被组策略或防火墙阻止.
  5. 大多数学校要么是谷歌应用程序,要么是微软办公软件 365环境.  一些都是.   您是否允许其他未经批准的文件共享应用程序,如Dropbox?   只允许Microsoft One Drive和谷歌Drive套件的文件共享应用程序.   经批准的地区管理员可以设置权限, 确定谁可以共享内容,并获取关于正在访问的内容的报告.   我们通常可以通过“组策略”(Group Policy)来屏蔽那些未经批准的应用.
  6. 你是否在谷歌Apps Admin或办公室 365中寻找不寻常的访问模式?  谷歌应用程序, 例如, 看到外国进入和其他潜在危险的使用模式有了实质性的改善吗.
  7. 您是否强迫那些处理机密数据的人使用某种形式的多因素身份验证(MFA) ??   你应该.   例如, 谷歌可以向您的手机发送一个代码,或者使用您的手机GMAIL申请来批准一个新的, 外国登录请求.  办公室 365也可以做同样的事情.  谷歌认证器(免费)和Microsoft认证器(也免费)也有应用配套。.
  8. 你是否允许你的供应商提供安全保障, 暖通空调, 制冷, 报警, 和其他物联网设备来查看您的网络内部,或者它们是单独的, 离散的供应商vlan,允许他们做你雇他们做的事情, 但同时让他们与你的内部网络隔离.   新闻中很多广为人知的数据泄露都是由于维护不善造成的, 主要公司网络上的第三方设备.
  9. 你允许浏览器同步吗?   在我们寻求“随时随地”便捷访问的过程中,这是一个更新的、潜在的巨大曝光.   谷歌Chrome可以在学校电脑和区外的电脑之间同步浏览器数据.  以下是谷歌对同步的定义:
    Chrome同步做什么?
    默认情况下, Chrome的同步 设置为同步 一切”. 一切的意思是:应用程序, 自动填充, 书签, 扩展, Omnibox历史, 密码, 设置, 主题, 和开放标签. 同步 所有设备都提供了最一致的体验.2012年8月17日,

    http://support.谷歌.com/chrome/answer/165139?有限公司=精灵.平台% 3 ddesktop&hl = en

    默认情况下,同步就是一切.   这就会产生潜在的数据泄漏,就好像您在区域中缓存了登录信息一样, 它现在出现在从区域同步出来的非托管机器上.  此外,你还可以将你的个人浏览记录从家里同步到学校的电脑上!  在窗户环境下,Microsoft Edge和Mozilla Firefox具有相同的特性.  我们可以通过组策略阻止这种行为.   谷歌Chrome同步也可以被谷歌应用程序管理员阻止,没有组策略.  在苹果的环境中,苹果Safari做了类似的事情.

  10. 您是否计划添加高级端点保护(AEP),如圣骑士CyberSentinel端点检测 & 对你最敏感的财务问题作出回应, 而学生和员工的数据用户则有了额外的一层保护?  你应该.
  11. 在您的最终用户教育中,您是否教导那些通过家庭电脑访问地区和订阅资源的教师和职员:
    1. 保持目前的杀毒
    2. 给他们的电脑打补丁
    3. 不缓存敏感数据的id和密码
    4. 不与他们可能使用的地区网页浏览器同步.
    5. 在家里的电脑上与其他家人单独登录,以减少无意中被缓存的id或密码暴露,或同步个人浏览历史, 等.

虽然这个列表并不完整, 这是一个很好的开始,极大地限制了数据泄露的可能性.   如果你想实施这些建议或讨论你的具体情况, 给我们打个电话.

 

 

 


友情链接: 1 2