每周科技趣闻-数据泄露

2018年9月12日,
每周科技趣闻-数据泄露

我们必须时刻保持警惕,防止恶意软件, 木马, 以及其他不良分子在我们学校的网络中扎根,窃取个人身份信息(PIA)和金钱.   除了web过滤, 杀毒, 打补丁, 现在是先进的端点保护, 我们还必须考虑政策.  我要列出的一些内容是相当明显的.  其他的可能不那么明显,但在我们生活的这个随时随地都很重要.

需要考虑的政策:

  1. 是否允许远程访问?   如果是,是通过VPN还是通过真正的远程访问解决方案网关,如VMware Horizon(又名View)?   记得VPN访问, 取决于它的配置方式, 是否可能将不在您控制之下的远程网络暴露给您的内部网络.   最低限度地,它暴露了工作站或笔记本电脑连接,这些连接可能在您的控制之下,也可能不在您的控制之下.   来自非托管机器的vpn可能会使您暴露于病毒/恶意软件,否则会被您的正常防御阻止.    如果你正在做一个虚拟桌面解决方案, 我们真的不太关心远程用户,因为他们正在使用由你管理的桌面来做他们需要做的事情.  然而, 如果你有剪贴板或USB接口, 您可能允许人们在您的网络内或外复制数据.  我们可以通过策略控制剪贴板和USB访问.
  2. 您是否允许在web浏览器中缓存凭证?   缓存的凭证可能允许某人在不知情的情况下访问您的某个工作站的敏感数据.   (i.e. 学生服务,例如SchoolTool).  解决方案是创建一个防止缓存密码的组策略.  请记住,Microsoft Internet Explorer有组策略可用, 谷歌Chrome, Mozilla Firefox, 和微软的边缘.
  3. 你有一个登录不活动超时和/或一个定时,密码保护屏幕保护程序吗?   如果一个老师在做评分,却没有签到,会发生什么?   如果负责付款的职员去吃午饭,会发生什么?  这是一个简单的组策略.
  4. 你是否允许任何远程访问客户端(i.e. LogmeIn, TeamViewer, GotoMyPC等.)?  除了被批准的途径外,没有其他途径可以进入学校的网络, 授权用户的可跟踪方式.   这些通常可以通过组策略或通过防火墙阻止.
  5. 大多数学校要么是谷歌应用程序或微软办公室 365环境.  一些都是.   你是否允许其他未经批准的文件共享应用程序,如Dropbox?   应该只允许Microsoft One Drive和谷歌Drive套件的文件共享应用程序.   经过批准的地区管理员可以设置权限, 确定谁可以共享什么,并获得关于正在访问什么的报告.   我们通常可以通过组策略来阻止那些未经批准的应用.
  6. 你是否在谷歌Apps Admin或office365中寻找不寻常的访问模式?  谷歌应用程序, 例如, 是否已经大大改善了查看外国访问和其他潜在危险的使用模式.
  7. 您是否强迫那些处理机密数据的人员使用某种形式的多因素身份验证(MFA) ??   你应该.   例如, 谷歌可以发送一个代码到您的手机或使用您的手机的GMAIL应用程序来批准一个新的, 外国登录请求.  办公室 365也能做到同样的事情.  也有与谷歌Authenticator(免费)和Microsoft Authenticator(同样免费)相关的应用程序。.
  8. 你允许你的供应商如安全, 暖通空调, 制冷, 报警, 和其他物联网设备来查看你的网络内部,或者它们是分开的, 分立的供应商vlan允许他们做你雇他们做的事, 但同时要把它们与你的内部网络隔离开来.   新闻中许多广为人知的数据泄露事件都是由于维护不善造成的, 主要企业网络中的第三方设备.
  9. 是否允许浏览器同步?   这是我们追求“随时随地”轻松访问的一个新的、潜在的巨大曝光.   Chrome可以在学校电脑和区外的另一台电脑之间同步浏览器数据.  以下是谷歌对同步的定义:
    Chrome同步做什么?
    默认情况下, Chrome的同步 设置为"同步 一切”. 一切的意思是:应用程序, 自动填充, 书签, 扩展, Omnibox历史, 密码, 设置, 主题, 和开放标签. 同步 所有设备都提供了最一致的体验.2012年8月17日,

    http://support.谷歌.com/chrome/answer/165139?有限公司=精灵.平台% 3 ddesktop&hl = en

    默认情况下,如果你同步是一切.   这会造成潜在的数据泄漏,就好像您在区域中缓存了登录信息一样, 它现在出现在一个非托管机器上,该机器已同步到区域之外.  此外,你还可以把自己的个人浏览记录从家里同步到学校的电脑上!  在窗户环境中,Microsoft Edge和Mozilla Firefox具有相同的特性.  我们可以通过组策略阻止这种行为.   Chrome同步也可以被谷歌Apps Admin在没有组策略的情况下阻止.  在苹果环境中,苹果 Safari做类似的事情.

  10. 你们是否计划添加高级端点保护(AEP),比如圣骑士网络哨兵端点检测 & 回应你最敏感的财务问题, 并为学生和教职员工的数据用户增加了一层保护?  你应该.
  11. 在你的最终用户教育中,你是否教导那些从家庭计算机访问地区和订阅资源的教师和员工应该:
    1. 保持目前的杀毒
    2. 给他们的电脑打补丁
    3. 而不是敏感数据的缓存id和密码
    4. 不与他们可能使用的地区网络浏览器同步.
    5. 在家里的电脑上安装一个与其他家庭成员分开的登录,以减少无意中被缓存的id或密码的泄露,或同步个人浏览历史记录, 等.

虽然这个列表并不完整, 这是一个非常好的开始,可以极大地限制数据泄露的可能性.   如果你想实施这些建议或讨论你的具体情况, 给我们打电话.