Tengo una red de aproximadamente 10 computadoras y quiero evitar la pérdida de datos confidenciales y el código fuente. Para lograrlo, me gustaría bloquear todos los archivos subidos / adjuntos.
Me preguntaron sobre tu problema varias veces en varias ocasiones. Lo que lo hace realmente difícil de responder es que, de hecho, esto no es realmente un problema técnico. Es mucho más un problema social / humano.
Hay muchos grandes sistemas de firewall como SonicWall / FortiGate / etc. (También soluciones basadas en máquinas virtuales) que le costarán tal vez solo 500 $. Todos ellos pueden bloquear los protocolos / ports / sites / etc para usted pero ... en mi opinión, tendría que bloquear todos los sitios y todas las conexiones entre la red de control de origen e Internet, porque allí Siempre es una forma de utilizar una conexión establecida para obtener el código fuente de su negocio. Incluso si uno usa algo simple como putty para establecer una conexión ssh a través del puerto 80 y puertos de túnel a través de todo tipo de protocolos como FTP / SMTP / lo que sea.
Mi consejo para ti es que no trates de encontrar una solución técnica costosa cuando realmente es un problema humano y social. Siempre habrá una manera de obtener su código fuente fuera de su lugar. (¿usb, cd's, foto a través del teléfono móvil? Si alguien quiere hacerlo tendrá éxito ...)
Muchas organizaciones tienen este desafío, no solo por el código fuente, sino también por los datos personales, propiedad intelectual, etc., por lo que se ha trabajado mucho en el desarrollo de soluciones.
McAfee, Symantec y varios otros tienen productos muy efectivos en el mercado que se pueden adaptar de manera muy simple (buscando firmas de manera similar a como funciona un analizador antivirus y bloqueando los accesos) hasta la administración completa de datos por clasificación y controles de acceso en cada punto de salida de red, incluidas impresoras, dispositivos USB, correo electrónico, conectividad web, etc.
Dependiendo del valor de los datos y de su tipo, deberá considerar su enfoque. Para datos estructurados como números de seguridad social, números de tarjetas de crédito, etc., un enfoque de firma puede funcionar bien, sin embargo, el código fuente no suele ser tan sencillo.
Una solución completa le permite clasificar cada archivo, documento, aplicación o, de hecho, cualquier cosa en sus sistemas, y luego colocar los controles en la base de datos, el sistema operativo, la red y los niveles de almacenamiento que permitirán / rechazarán / alertarán cuando se haga un intento de moverlos.
Como se ha señalado, también querría restringir los teléfonos móviles con cámaras (pero esta sería una manera realmente incómoda de robar grandes cantidades de código fuente) y tener sus dispositivos USB bloqueados, pero esos ya son estándar en muchas organizaciones.
Una vez que le da a alguien acceso a los datos, es inseguro.
Puede hacer muchas cosas para hacerlo más seguro, como redes múltiples, bloqueo de Internet, etc. Pero siempre habrá una manera de sacar los datos. Dado que el código fuente es texto, hay un número incalculable de formas de obtener el código. Envíelo por correo electrónico, recórtelo y péguelo en sitios web, etc ...
Incluso si fuera a interrumpir la conexión a Internet, los datos pueden fotografiarse en un teléfono y enviarse.
Para agregar a algunas de las respuestas hasta el momento, sugeriría que lo fácil que sería lograrlo depende en gran medida del nivel de acceso que proporcione a sus usuarios.
Si proporciona navegación web sin restricciones, entonces está en problemas reales ya que hay una gran cantidad de sitios que proporcionan transferencia de información, tanto obvios (correo electrónico) como menos obvios (cualquier cosa que permita la entrada de usuarios como foros o sitios de estilo pastebin)
Más allá de eso, todas y cada una de las conexiones salientes que usted permite que sus usuarios realicen (incluidas las no obvias como DNS e ICMP) se pueden utilizar para filtrar datos. Por supuesto, depende de qué tan motivados y conocedores estén sus "atacantes" (en este caso, miembros del personal).
Desde un punto de vista técnico, me inclino a estar de acuerdo con @Riscie, es poco probable que las soluciones técnicas sean de hierro fundido. Pueden ayudar a prevenir fugas accidentales y atacantes poco sofisticados, pero más allá de eso no dependería de ellos.
Todo lo que se dice es que si desea que se le ocurra una idea, ¿qué tal si solo proporciona acceso a Internet a través de una sesión de escritorio remoto y bloquea toda la transferencia de información más allá de la entrada del teclado real (por ejemplo, no copiar y pegar, no hay unidades asignadas, etc.)? Luego, puede colocar el software de registro de claves en la máquina RDP y revisar los registros con regularidad. También deberías bloquear sus PC completamente (lógica y físicamente) para asegurarte de que ninguna otra salida fuera posible.
Es una solución draconiana e impactaría seriamente la productividad de los trabajadores, pero podría resolver su problema :)
La única manera de ir es legal. Si alguien quiere filtrar parte de su código, evitar la conexión no servirá. Todavía será posible copiarlo, pegarlo o copiar los archivos a algún medio extraíble, abriendo una conexión remota a través del puerto 80 a algún servidor privado, o lo que sea que la gente codifique. Y si son programadores, encontrarán la manera.
Lea otras preguntas en las etiquetas firewalls data-leakage dlp