我們在一個符合HIPAA要求的組織中工作。安全是我們的主要關切。我們的任務是找出網絡中是否有任何用戶在使用匿名代理。
有沒有辦法確定公司網絡域中是否使用了 Tor? ?我們正在使用Symantec Client Protection。 VPN是使用Cisco提供的。
我們在一個符合HIPAA要求的組織中工作。安全是我們的主要關切。我們的任務是找出網絡中是否有任何用戶在使用匿名代理。
有沒有辦法確定公司網絡域中是否使用了 Tor? ?我們正在使用Symantec Client Protection。 VPN是使用Cisco提供的。
您可以使用Tor(上行鏈路)節點的列表,將其添加到傳出的防火牆中,設置一個任務來每天更新一次,這樣會很好。但是Tor也可以在HTTP(S)代理上使用,因此您也必須檢測代理。
我不確定這是否可以幫助您保護任何東西。只要存在與Internet的連接,就有可能繞過這些安全措施。您最終可能會花費大量時間和精力來禁止各種代理,VPN,SSL隧道等。建議是通過保護對您的業務重要的事物來確保他們不會造成任何傷害,而讓用戶留在原地。例如,將網絡分隔成隔離專區,使用子網,VLAN,DMZ,並要求在專用網絡上進行身份驗證和授權。將重要內容保留在一個區域中,同時允許在不受限制的情況下進行聯網。等等...
我相信您的主要擔憂應該是:
在網絡中使用匿名代理
這是一個錯誤的假設。我會馬上問:
在哪個網絡中?
Yorick已經觸及了這一點,但我會更加公然。
HIPAA主要與您的生產系統中的數據的隱私有關,因此與用於連接到生產系統的網絡中的數據的隱私有關。您應該控制連接到該網絡的所有所有機器可以做什麼。換句話說,這些應該是由公司管理的公司機器,並提供處理生產系統所需的軟件。
未連接到生產系統的員工的網絡,例如,沒有其他機器應連接到該網絡,包括到生產網絡的VPN(如果可能,最好避免使用該VPN)。 開發網絡或辦公室wifi 應與生產網絡分開。您只需要明確顯示網絡是分開的(最好使用單獨的硬件,如果配置不正確,則802.1Q VLAN會遭受兩次攻擊)。這些網絡中的機器與生產系統無關,只要它們從不連接即可(它們不應該!)。將任何東西投入生產都應該有一個QA / QC程序,在該程序中評估代碼/配置/其他更改的安全性。
值得注意的是,包含開發機器的開發網絡永遠都不會看到任何東西。生產數據。如果要保護您的生產數據(例如為了保護HIPAA中的患者隱私),則必須匿名化開發/測試設置中的所有數據。擁有安全的生產環境,然後將生產數據轉儲到不安全的網絡中,將是愚蠢的。
您可以相對確定網絡上未使用Tor的唯一方法是檢查網絡上的每個設備,並確保未在其中任何設備上安裝或運行Tor。這可能需要很多工時,因此甚至是不可能的。仍然可能會錯過它。
您可以嘗試,通過監視流向任何硬編碼目錄授權機構,所有Tor客戶端將始終保持連接狀態(例外,請參見下文)。通常,這些服務器少於十二個。
您還可以嘗試檢測到數千個保護節點中任何一個的流量,但這可能會對IDS造成很大壓力。檢測目錄權限流量僅需要監視幾個IP,即使對於其他空閒的客戶端,也將有流量到達這些權限。
最大的例外是將Tor配置為使用網橋時。這些是經過明確設計的,因此Tor不會直接與任何正常的Tor節點或目錄授權機構進行通訊。相反,它們與未發布的網橋地址通信。民族國家很難發現這些聯繫。如果您的網絡上正在使用某個網絡,那麼您幾乎沒有機會。
您應該要做的是更仔細地控制在一般。僅允許實際需要的流量往返於可以訪問或存儲PHI的任何設備。這意味著您需要在兩個方向上都默認拒絕,即傳入和傳出,也要將存在PHI的網絡與其他網絡隔離開來。聽起來您當前的防火牆出口策略是default-allow,而在default-allow配置中阻止事物就像在空中打孔。
通過在員工計算機上強制執行軟件策略,可以防止用戶安裝/使用未經公司批准的軟件,這足以與網絡身份驗證結合使用,例如只有那些符合策略的計算機才能訪問網絡。這使工作站幾乎成為一台簡單的 kiosk
機器。在金融和醫療保健行業中,不應強制對運行中的員工強制採用信息亭模式。
無法運行可能連接到Tor的軟件是防止用戶使用Tor的關鍵(如果有)瀏覽器(例如onion.to代理)不是威脅的一部分。但是通常,在受保護的環境中,您會獲得可用站點的白名單。
在現實世界中,這通常會與IT人員的需求相衝突。在大多數公司中,IT人員(不一定是軟件開發人員/工程師)必須具有運行任何軟件或編寫自定義腳本的能力。為了便於討論,我們假設是這種情況。
當然,您不能阻止系統管理員運行Tor,也不能因為這種“威脅”而將其計算機鎖定在信息亭中,否則您將避免異常的過程外活動,例如修復機器或網絡問題。在這種情況下,我建議採用一種策略,例如具有特權軟件配置的sysadmin計算機通常連接到不敏感的網絡,最後連接到Internet。如果系統管理員需要訪問存儲受保護信息的敏感網絡,則他/她應將筆記本電腦物理連接到其他插頭,並將事件記錄到審核記錄中。此類審核也可以通過在支持票上註明“我正在訪問計算機 10.100.200.10
以完成任務”來完成。
簡而言之,防止任何人使用Tor 是一項嚴格的要求,很難執行,但是對該要求的合理重新解釋應該採用用戶的安全原則,從而滿足任何監管機構的要求。必須只能運行最少最少數量的軟件程序來完成其職責(最小最少特權原則的變體)。
無論如何,Tor本身並不是威脅,它是一種可能被內部交易者或其他不忠實員工濫用的介質,或者對現有未經培訓的員工構成風險。
Tor是設計上難以阻止的。約里克的措施將使誠實的員工保持誠實。除非HIPAA要求更多,否則我會走這條路。*在阻止措施中添加檢測功能意味著您可以識別Tor用戶,並通過管理層對其進行管教。恕我直言,禁止這種行為應該出現在員工的年度商業政策證明中,並且屬於您的安全培訓計劃的一部分。默認情況下,安裝攔截代理是一種常見方法。這意味著您將攔截,解密,檢查,分類和重新加密所有客戶端TLS通信。
*(我不知道……我還沒有做過HIPAA), b>
* >
由於標題是指檢測到此類活動,因此我將配置防火牆規則以記錄但不會阻止與各種類型的已知匿名服務/服務器的連接。顯然,這確實意味著要有人監視防火牆日誌或某種類型的標記系統。
數據可能會丟失,但是如果有人遇到障礙,他們很可能會找到其他方法/服務(您可能沒有適當的登錄位置)來從系統中獲取數據。
允許個有限的數據出口量為您提供了網絡中的目標,這些目標使您審核他們的系統訪問權限並找出他們實際上在做什麼-例如,嘗試訪問超出其工作範圍的材料。
這還可以解決環境中允許他們獲得BYOD問題對敏感數據,他們仍然需要進行身份驗證(登錄等),以便您可以查看可能存在的風險。
這種方法的缺點是,風險與防火牆的緊密程度成正比進行監控,並根據情況採取任何措施,因此這實際上取決於可用的資源。