Weekly Tech Tidbit – Data Leaks

September 12th, 2018
Weekly Tech Tidbit – Data Leaks

We have to be constantly vigilant to prevent malware, trojans, 以及其他不良行为者在我们学校的网络中生根发芽,窃取个人身份信息(PIA)和金钱.   Besides web filtering, antivirus, patching, and now advanced endpoint protection, we also have to look at policies.  Some of what I am about to list are pretty obvious.  其他的可能没有那么明显,但在我们生活的任何时间/任何地点的世界中都是至关重要的.

Policies to think about:

  1. Do you allow remote access?   如果是这样,是通过VPN还是通过真正的远程访问解决方案网关,如VMware Horizon (aka View)?   Remember VPN access, depending upon how it is configured, 是否可能将不在您控制范围内的远程网络暴露给您的内部网络.   最低限度地,它暴露了工作站或笔记本电脑连接,这可能在您的控制之下,也可能不在您的控制之下.   来自非托管机器的vpn可能会让你暴露于病毒/恶意软件,否则你的正常防御系统会阻止你.    If you are doing a virtual desktop solution, 我们真的不太关心远程用户,因为他们正在使用由你管理的桌面来做他们需要做的事情.  However, if you have clipboard or USB access, 您可能允许人们在您的网络中或网络外复制数据.  We can control clipboard and USB access via policy.
  2. Do you allow cached credentials in web browsers?   缓存的凭据可以让一个人在不知情的情况下来到您的工作站访问敏感数据.   (i.e. Student Services such as SchoolTool).  解决方案是创建一个防止缓存密码的组策略.  请记住,Microsoft Internet Explorer有可用的组策略, Google Chrome, Mozilla Firefox, and Microsoft Edge.
  3. 您是否有登录不活动超时和/或定时的密码保护屏幕保护程序?   如果一个老师在给学生打分却不签到,会发生什么?   If the payables clerk goes to lunch, what happens?  This is a simple group policy.
  4. Do you allow any remote access clients (i.e. LogmeIn, TeamViewer, GotoMyPC, etc.)?  绝对不能有其他途径进入学校的网络以外的批准, trackable ways for authorized users.   这些通常可以通过组策略或防火墙阻止.
  5. 大多数学校要么使用谷歌应用程序,要么使用Microsoft Office 365环境.  Some are both.   你是否允许其他未经批准的文件共享应用程序,如Dropbox?   只有微软One Drive和谷歌Drive套件的文件共享应用程序应该被允许.   Approved district admins can set rights, 确定谁可以共享内容,并获得关于正在访问内容的报告.   我们通常可以通过组策略阻止那些未经批准的应用.
  6. 您是否在谷歌应用程序管理或Office 365中寻找不寻常的访问模式?  Google Apps, for instance, 是否已经大大改善了看到外部访问和其他潜在危险的使用模式.
  7. 您是否强迫那些处理机密数据的人员使用某种形式的多因素身份验证(MFA) ??   You should.   For instance, 谷歌可以向您的手机发送代码,或使用您的手机的GMAIL应用程序批准新的, foreign login request.  Office 365 can do the same thing.  也有应用程序绑定到谷歌验证器(免费)和微软验证器(也是免费的).
  8. Do you allow your vendors such as security, HVAC, refrigeration, alarm, 和其他物联网设备来查看你的网络内部,或者它们是独立的, 离散的供应商vlan,允许他们做你雇他们做的事, 但同时要把它们与你的内部网络隔离开来.   新闻中许多广为人知的数据泄露事件都是由于维护不力造成的, third-party devices on major corporate networks.
  9. Are you allowing browser synchronization?   在我们追求“随时随地”轻松访问的过程中,这是一个更新且潜在的巨大曝光.   谷歌Chrome可以在学校的电脑和区外的电脑之间同步浏览器数据.  Here is Google's definition of syncing:
    What does Chrome Sync do?
    By default, Chrome sync settings are to "Sync everything". Everything means: apps, autofill, bookmarks, extensions, Omnibox history, passwords, settings, themes, and open tabs. Syncing 所有设备都提供了最一致的体验.Aug 17, 2012

    http://support.google.com/chrome/answer/165139?co=GENIE.Platform%3DDesktop&hl=en

    The default if you sync is everything.   这将导致潜在的数据泄漏,就像您在区域中缓存了登录信息一样, 它现在出现在一个非托管的机器上,该机器已同步出该区域.  此外,你还可以将你的个人浏览历史从家里同步到学校的电脑上!  在Windows环境下,Microsoft Edge和Mozilla Firefox具有相同的功能.  We can block this behavior via group policy.   谷歌Chrome同步也可以阻止谷歌应用程序管理员没有组策略.  在Apple环境中,Apple Safari也做了类似的事情.

  10. 您是否计划添加高级端点保护(AEP),如Paladin CyberSentinel端点检测 & Respond to your most sensitive financial, 而学生和员工的数据用户则有了额外的一层保护?  You should.
  11. 在您的终端用户教育中,您是否教导那些从家用电脑访问地区和订阅资源的教师和工作人员应该:
    1. Maintain current anti-virus
    2. Have their computers patched
    3. Not cache IDs and passwords to sensitive data
    4. 不与他们可能使用的地区网络浏览器同步.
    5. 在家里的电脑上与家人分开登录,以减少无意中缓存的id或密码或同步的个人浏览历史, etc.

While this list is by no means complete, 这是一个很好的开始,极大地限制了数据泄漏的可能性.   如果你想实施这些建议或讨论你的具体情况, give us a call.