CoCoSys Endpoint Protector vs fuga de datos

Hoy me gustaría hablar de un programa de control de dispositivos USB, prevención de fuga de datos (DLP), y control de contenidos (Content Aware).

La fuga de datos es algo con lo que tienes que luchar si estas al frente de un Dpto de Sistemas, y es una doble batalla, con 2 frentes bien declarados, La empresa y los usuarios, Desde el frente de la empresa puedes tener 2 opciones diferentes.

  1. Que gerencia no este concienciada sobre la existencia de este grabe problema en la empresa, teniendo en cuenta que hoy por hoy los servicio en la nube, no son una nube, sino mas bien una niebla, por que muchas veces no sabemos que se oculta detrás y no tenemos consciencia de quien accede a nuestros archivos y que esta haciendo con ellos.
    De este modo nos encontramos con terceras personas utilizando cualquier servicio en la nube, para subir información empresarial y por consiguiente confidencial.
  2. Que gerencia si que este concienciada,  pero debas asesorar correctamente para que no se quieran poner puertas al campo, tampoco es bueno pasarse en exceso e intentar abarcar lo inabarcable.

El otro frente que debes librar es el de los usuarios, siempre, y digo siempre, se quejaran, te pondrán pegas, criticaran las soluciones y juraran que todo eso repercute negativamente es su actividad laboral diaria. Obviamente tu labor es conseguir el equilibrio entre seguridad y funcionalidad y al menos personalmente me decanto por sacrificar funcionalidad que seguridad, pero eso es otra historia.

Así que, sufriendo alguno de estos casos en mis propias carnes, llevo algo mas de un año probando el software Endpoint protector 4 de CoCoSys.

A grandes Rasgos y sin profundizar mucho es sus funcionalidades, lo que permite es:

  1.  Securizar los ordenadores, controlando todos los dispositivos que se conectan a ellos a través de los puertos USB.
  2. Cifrar dispositivos de almacenamiento USB, y definir si se puede acceder a ellos o no y en que grado.
  3. Controlar, hasta cierto punto, las transferencias de archivos (una lista editable y personalizable) a través de navegadores y la ejecución de algunos programas (los que están en su base de datos) dentro de los ordenadores gestionados.
  4. Gestión de dispositivos móviles, muy pero que muy básica y que prácticamente no he probado.

he encontrado este vídeo explicativo

 

Centrándome en los 2 primeros puntos que son los que tengo implementados actualmente he de decir que como herramienta no esta nada mal.
A nivel de hardware, el servidor que controla todo esto esta basado en linux, concretamente Ubuntu, y podemos desplegarlo como un appliance de VMware, algo rápido y francamente sencillo y con 4gb de RAM va mas que de sobra para 100 equipos.
El acceso a la configuración del sistema es en modo web y el entorno es bastante amigable, por lo tanto la gestión es bastante intuitiva, pero a veces no es sencilla por que hay que volver hacia atrás en algún paso. (pero sin mas complicación, algunos clics de mas)

Y te preguntas que como funciona todo esto, bueno, pues lo de siempre hay un agente instalado en el equipo que se conecta con el servidor y recibe las políticas de seguridad que tu vayas haciendo.
En mi caso el agente como tal es extremadamente restrictivo, si no se configura correctamente, (algo bastante común en la mayoría de software de este estilo, afinar la puntería es un obligación) teniendo en cuenta que a veces tarda muchísimo en recibir las actualizaciones de las políticas ( hay posibilidad de forzar la sincronización del cliente a 5 segundos con lo cual el problema de replicación se soluciona).

Otro problema que le encuentro es sobre una de las funcionalidades del cliente, con el software podemos establecer, si hay conexión por cable bloquee la tarjeta de red Wifi y así evitamos estar conectados a la misma red a traves de dos conexiones (por ejemplo red de cable de empresa y red Wifi de la empresa, la idea es buena) con lo cual nos quitamos problemas de sincronizaciones, errores etc…

Pero esta funcionalidad va un poco mal, el cliente tarda a veces una eternidad en detectar la falta de conexión cableada y permitir el acceso, (puede que no sea el cliente como tal sino la comunicación entre el servicio de windows y el cliente de endpoint, pero a veces se hace eterno y al final opte por desactivar dicha funcionalidad ya que me causaba bastantes quejas de los usuarios, llegando incluso a pensar que la propia wifi funcionaba mal. Lo que si que es cierto es que no se si era al 100% por el cliente mas la suma del tipo de red wifi que tengo (con certificados) añadido a esto los equipos lenovo (que a veces tanta guerra me dan con su maldito software preinstalado de gestión de las redes).

Por otro lado hablemos del sistema de control de dispositivos USB, esto va bien, muy bien,  con la configuración estándar pero si buscamos por ejemplo hacer un grupo de dispositivos permitidos, no es posible, es decir, si tienes 20 BlackBerrys, deberás dar permiso a cada una de las BlackBerrys, o si quieres permitir que un fabricante de dispositivos USB siempre este accesible con el permiso de escritura, deberás hacerlo para cada uno de los USB Algo contraproducente y muy tedioso. ( Esto se solventa con las clases personalizadas, permitiendo crear una clase especifica de dispositivos según el ID del fabricante del producto y del Numero de serie.) Lo cual permitirá el acceso a todos los dispositivos del Fabricante una vez introducidos en la aplicación.

Vayamos a otra parte importante del software, el cifrado de los dispositivos USB. La idea principal de cifrar un dispositivo USB es que cuando accedas a ese dispositivo USB siempre te pida contraseña, en el trabajo, en casa, donde sea, y esta regla de oro, no se cumple correctamente.
A la hora de configurar un dispositivo USB, puedes darle permiso de lectura, escritura (completo) o escritura solo si esta cifrado.

Yo lo que hago es lectura para todos los dispositivos USB, es decir leer todo lo que tienen dentro (pero no puedo guardar nada) y escritura para los que están cifrados con su utilidad, el EasyLock, herramienta que aun esta en pañales, al menos desde mi punto de vista.
Para cifrar un dispositivos arrancas el EasyLock desde la unidad a cifrar y sigues los pasos hasta terminal.
Hasta aquí todo normal, pero…. ahora vas a tu equipo empresarial (que tiene el agente instalado) te detecta el USB cifrado y bloquea el acceso directo al dispositivo (no puedes acceder a la unidad a través del explorador de windows, magnifico así nadie guarda nada a nivel de raíz) y al bloquearlo se abre automáticamente el EasyLock, esto es en teoría, por que en la practica falla bastante lo cual se convierte en un completo engorro y convierte la herramienta en algo dificil de utilizar  y que repercute negativamente en la actividad laboral diaria.

Solución, meter y sacar, meter y sacar en distintos USB (suena mal, pero es así…) hasta que por fin lo detecta y arranca el programa de manera automática, por que no se puede arrancar de manera manual ni siquiera en el entorno empresarial.

Pero lo peor de todo esto, es que ahora vas al ordenador de tu casa, cliente etc.. enchufas el USB y claro accedes al USB como tal, y..¿Qué hace todo el mundo? copiar y pegar directamente en el USB, sin arrancar el EsayLock, por lo tanto luego vuelves a tu ordenador de empresa y como tienes bloqueado el acceso al USB con el explorador de windows no puedes acceder a la información que te dejo tu cliente, tu amigo o quien sea.

Esto hay que pulirlo, no puede ser que un USB este cifrado a medias, y el software que gestiona el USB permita el acceso directo a dicho USB de manera no segura. El software siempre debe ser el único punto de acceso a ese dispositivo independientemente del lugar donde este conectado.

Desde CoCosys me han informado que están solventado este problema y en futuras versiones de Easylock los USB a través de políticas serán de solo lectura, así nos evitamos el problema descrito. (MUY BIEN)

Parece que no estoy dejando títere con cabeza, pero no es mi intención, son algunos puntos negativos que tiene el software, espero que lo vayan afinando (DE HECHO LO ESTÁN HACIENDO), y estoy seguro que ira mejorando, eso no quita que no sea un buen producto para entornos pequeños, es importante destacar que la gestión de dispositivos es muy completa, la ultima versión que tenia en producción de abril de 2015 ya permitía crear accesos temporales a ciertos dispositivos, durante minutos, horas, días semanas etc… esta era una gran mejora y ademas generar por ejemplo un código de acceso temporal para todo un equipo permitiendo el acceso a todos los dispositivos conectados, algo también muy útil.

Con las ultimas actualizaciones incluso el entorno web se ha vuelto mas sencillo y proporciona mas información algo que se agradece enormemente.

Tiene buena base y puede ser un producto muy bueno, pero como todo debe seguir avanzando.

 

Actualización de la Entrada: 16 de Junio de 2015

Alfonso López

Alfonso López

Instagram

MBA Dirección de Sistemas de Información.
Grado Ingeniería Informática.
Ingeniero Técnico Informática sistemas.
CISM - LPIC1 - SUSE SCA - MCSE
___________________________________________

Alfonso López

También te podría gustar...

Di lo que piensas

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies , pinche el enlace para mayor información.Mas información sobre las cookies

ACEPTAR
Aviso de cookies