Trabajamos en una organización que se supone que es compatible con HIPAA. La seguridad es una gran preocupación para nosotros. Hemos recibido la tarea de averiguar si algún usuario está utilizando un proxy anónimo en la red.
¿Hay alguna manera de encontrar si Tor se usa dentro del dominio de nuestra red corporativa? Estamos usando la protección del cliente de Symantec. VPN se proporciona utilizando Cisco.
Puede usar una lista de nodos Tor (enlace ascendente), agregue esto al firewall saliente, configure una tarea para actualizar esto una vez al día y estarás bien. Pero Tor también se puede usar sobre un proxy HTTP (S), por lo que también tendrá que detectar proxies.
No estoy seguro de si esto te ayudará a asegurar algo. Mientras exista una conexión a Internet, sería posible evitar este tipo de medidas de seguridad. Podría terminar gastando tiempo y energía infinitas para prohibir todo tipo de proxies, VPN, túneles SSL y demás. El consejo es simplemente asegurarse de que no puedan hacer ningún daño protegiendo lo que es importante para su empresa y dejar que los usuarios lo hagan. Por ejemplo, separe la red en compartimientos, use subredes, VLAN, DMZ y requiera autenticación y autorización en redes privadas. Mantenga las cosas importantes en una zona, mientras permite la creación de redes sin restricciones en otra. Y así sucesivamente ...
Creo que tu mayor preocupación debería ser eso:
utilizando un proxy anónimo en la red
Es una mala suposición. Me gustaría preguntar de inmediato:
¿En qué red?
Yorick ya tocó este punto, pero seré más descarado.
HIPAA trata principalmente sobre la privacidad de los datos en su sistema de producción y, por lo tanto, en la red que se utiliza para conectarse al sistema de producción. Debe tener el control de lo que pueden hacer todas las máquinas que se conectan a esta red. En otras palabras, estas deben ser máquinas de la compañía administradas por la compañía y proporcionar el software necesario para lidiar con el sistema de producción. Ninguna otra máquina debe conectarse a esta red, esto incluye VPN a la red de producción (lo que debería evitarse si es posible).
Una red para sus empleados que no se conectan al sistema de producción, por ejemplo. una red de desarrollo o office wifi estará separada de la red de producción. Solo necesita mostrar explícitamente que las redes están separadas (preferiblemente con hardware separado, las VLAN 802.1Q están sujetas a un par de ataques si están mal configuradas). Las máquinas en estas redes no son motivo de preocupación para el sistema de producción, siempre que nunca se conecten a él (¡no deberían!). De todos modos, el traslado de cualquier producto a la producción debe tener un procedimiento de control de calidad / control de calidad en el que se evalúe la seguridad del código / configuración / otro cambio.
Vale la pena señalar que la red de desarrollo que contiene las máquinas de desarrollo nunca verá ningún dato de producción. Si se deben proteger los datos de producción (por ejemplo, para la privacidad del paciente como en HIPAA), debe anonimizar todos los datos en las configuraciones de desarrollo / prueba. Tener un entorno de producción seguro y luego descargar los datos de producción en una red no segura sería una tontería.
La única forma en que puede estar relativamente seguro de que Tor no está en uso en la red es inspeccionar cada dispositivo en la red y asegurarse de que Tor no esté instalado o ejecutándose en ninguno de ellos. Esto podría requerir tantas horas de trabajo que podría ser imposible. Y puede que te lo pierdas de todos modos.
Puede intentar detectar el uso de Tor observando el tráfico a cualquiera de autoridades de directorio codificadas , a las que todos los clientes de Tor siempre se conectarán (con una excepción, ver más abajo). Por lo general, hay menos de una docena de estos.
También puede intentar detectar tráfico en cualquiera de los miles de nodos de protección, pero eso puede poner mucha tensión en su IDS. Detectar el tráfico de autoridad de directorio requiere observar solo unas pocas direcciones IP y habrá tráfico a estas autoridades incluso para clientes inactivos.
La gran excepción es cuando Tor se ha configurado para usar un puente. Estos están diseñados explícitamente para que Tor no se comunique directamente con cualquiera de los nodos Tor normales o las autoridades de directorio. En su lugar, se comunican con una dirección de puente no publicada. Los estados nacionales tienen dificultades para detectar estas conexiones; si uno está en uso en su red, no tiene muchas posibilidades.
Lo que deberías estar haciendo en su lugar es controlar más cuidadosamente el acceso desde y hacia la red en general. Solo el tráfico que realmente se necesita debe permitirse desde y hacia cualquier dispositivo donde se pueda acceder o almacenar la PHI. Esto significa que debe denegar por defecto en ambas direcciones, entrantes y salientes, y también segregar las redes donde está presente la PHI de otras redes. Parece que su política de egreso del cortafuegos actual es la opción predeterminada, y el bloqueo de las cosas en una configuración predeterminada de la autorización es como hacer agujeros en el cielo.
Evitar que el usuario instale / use software que no haya sido aprobado por la compañía, aplicando las políticas de software en la máquina de los empleados será suficiente, combinado con la autenticación de la red, ya que solo las máquinas que cumplen con las políticas pueden acceder a la red. Esto hace que la estación de trabajo sea casi una simple máquina kiosk . En la industria de las finanzas y la atención médica, no debe considerarse inapropiado hacer cumplir un modo de quiosco para los empleados operativos.
La incapacidad de ejecutar un software que pueda conectarse a Tor es la clave para evitar que los usuarios utilicen Tor, si el navegador (por ejemplo, onion.to proxying) no es parte de la amenaza. Pero normalmente tendría una lista de sitios disponibles en una lista blanca en entornos protegidos.
Esto, en el mundo real, a menudo choca con las necesidades del personal de TI. En la mayoría de las empresas, la capacidad de las TI, que no son necesariamente desarrolladores / ingenieros de software , para ejecutar cualquier software o escribir scripts personalizados es un requisito. En aras de la discusión, supongamos que ese es el caso.
Por supuesto, no puede impedir que su administrador del sistema ejecute Tor y tampoco puede bloquear su máquina en un quiosco solo por esa "amenaza", de lo contrario evitará actividades extraordinarias fuera del proceso, como solucionar problemas con las máquinas o red. En este caso, recomendaría emplear una política como las máquinas de administrador de sistemas con configuración de software privilegiada que normalmente están conectadas a una red no sensible y, finalmente, a Internet. Si un administrador del sistema necesita acceder a la red sensible donde se almacena la información protegida, entonces él / ella deberá conectar físicamente su computadora portátil a un enchufe diferente y registrar el evento en un registro de auditoría. Dicha auditoría también puede realizarse mediante un comentario en un ticket de soporte "Estoy obteniendo acceso a la máquina 10.100.200.10 para completar la tarea".
En pocas palabras, evitar que cualquiera use Tor es un requisito estricto que es difícil de cumplir, sin embargo, una reinterpretación razonable del requisito debe satisfacer a cualquier regulador al adoptar el principio de seguridad que los usuarios debe poder ejecutar solo el conjunto mínimo mínimo de programas de software para cumplir con sus tareas (una variación del principio de privilegios mínimos mínimos).
Y, de todos modos, Tor en sí no es una amenaza, es un medio que puede ser objeto de abuso por parte de comerciantes de información privilegiada u otros empleados infieles o puede suponer un riesgo para los empleados sin capacitación existentes.
Tor es por diseño difícil de bloquear. Las medidas de Yorick mantendrán honestos a los empleados honestos. Iría por esa ruta a menos que HIPAA exija más * Agregar detección a las medidas de bloqueo significa que puede identificar a los usuarios de Tor y pasar por la administración para disciplinarlos. En mi humilde opinión, prohibir este tipo de comportamiento debe estar en la certificación anual de políticas comerciales del empleado y en parte de su programa de capacitación en seguridad.
Si debe descartar con un puño de hierro, bloquear todo de forma predeterminada e instalar un proxy de intercepción es un método común. Esto significa que estará interceptando, descifrando, inspeccionando, categorizando y volviendo a cifrar todo el tráfico TLS del cliente. Esto es común en bancos e instituciones seguras ... junto con todas las implicaciones de privacidad, complejidad de implementación y problemas de rendimiento.
* (No sé ... No he hecho HIPAA)
Dado que el título hace referencia a la detección de dicha actividad, configuraría una regla de firewall para registrar pero no bloquear las conexiones a los servicios / servidores de anonimización conocidos de varios tipos. Obviamente, esto significa que alguien debe monitorear los registros del firewall o algún tipo de sistema de marcado.
Existe un ligero riesgo de que los datos salgan, pero si alguien encuentra un bloqueo, es probable que encuentre otros métodos / servicios (para los cuales es posible que no haya iniciado sesión) para obtener datos de su sistema.
Permitir una cantidad limitada de salida de datos le brinda objetivos dentro de su red que le permiten auditar el acceso a sus sistemas y descubrir qué están haciendo realmente, como intentar acceder a material que está fuera de su ámbito de trabajo.
Esto también le permite evitar cualquier problema de BYOD en entornos que les permitan acceder a los datos confidenciales que aún necesitarían su autenticación (inicio de sesión, etc.) para que pueda ver qué está en riesgo.
La desventaja de este enfoque es que los riesgos son proporcionales a la cercanía con la que se monitorean los cortafuegos y los indicadores en los que se actúa, por lo que realmente depende de los recursos disponibles.
Lea otras preguntas en las etiquetas tor