Десять найкращих порад щодо безпеки для нетехнічних користувачів

Пізніше цього тижня я виступаю з персоналом компанії, де я працюю. Мета презентації - служити освіжувачем / нагадувачем передового досвіду, який може допомогти захистити нашу мережу. Аудиторію складають як програмісти, так і нетехнічний персонал, тому презентація орієнтована на користувачів, які не є технічними.

Я хочу, щоб частина цієї презентації була топ-списком "порад". Список повинен бути коротким (для заохочення пам’яті) та бути конкретним та релевантним для користувача.

Наразі у мене є наступні п'ять пунктів:

• Ніколи не відкривайте вкладення, якого ви не очікували
• Завантажуйте програмне забезпечення лише з надійного джерела, наприклад, download.com
• Не поширюйте паролі, коли це вимагається по телефону або електронною поштою
• Будьте обережні до соціальної інженерії
• Не зберігайте конфіденційні дані на FTP-сервері

Деякі роз’яснення:

• Це для нашої робочої мережі
• Це повинні бути поради щодо «найкращих практик» для кінцевого споживача, а не ІТ-політики
• У нас є резервні копії, виправлення ОС, брандмауер, AV та ін
• Це для малого бізнесу (менше 25 осіб)

У мене є два питання:

1. Ви пропонуєте якісь додаткові речі?
2. Чи пропонуєте ви якісь зміни до існуючих елементів?

Це здається, що ви можете бути людиною, що не входить до ІТ, намагається навчити своїх однолітків. Хоча це хороша річ, і я б закликав вас, ваш ІТ-відділ повинен керуватися стандартами та політикою безпеки.

Ця підготовка повинна слугувати засобом для відновлення та навчання причин, які стоять у політиці безпеки. Якщо немає письмового документа про політику безпеки, воно повинно бути.

Багато речей, які ви перераховуєте, не повинні знаходитись під контролем кінцевих користувачів. Наприклад, середній менш технічний кінцевий користувач не повинен мати змогу встановлювати програмне забезпечення на свою робочу станцію. Я підозрюю, що в компанії є чимало проблем із підтримкою, конфігурацією та зловмисним програмним забезпеченням, які можна легко запобігти політиці, якщо вони зможуть.

Якщо основи вже не написані та не виконуються ІТ-політикою, це питання, які слід вирішити, перш ніж намагатися навчати користувачів. Деякі з політик, орієнтованих на кінцевих користувачів, включають:

• Найменші привілеї, необхідні для виконання функції роботи
• Оновлення програмного забезпечення здійснюється автоматично з урахуванням ризику безпеки
• Стандарти безпеки, що застосовуються політикою (IE. Налаштування веб-браузера)
• Термін дії пароля (90 днів)
• Забезпечення захисту паролем (буквено-цифровий, змішаний регістр, 9+ символів тощо)
• Неможливо використати останні 5 паролів
• Шифрування накопичувача портативного пристрою (ноутбука)
• Політика класифікації даних
• Політика, що диктує обробку обмежених та конфіденційних даних, як визначено в політиці класифікації.
• Політика щодо видалення даних
• Політика доступу до даних
• Політика щодо портативних пристроїв

Існує безліч додаткових політик та процедур, які застосовуються як до належного розвитку, так і до технічного обслуговування в межах інфраструктурних груп. (Змінення контролю, перегляду коду, системних стандартів тощо).

Після того, як буде створено фундамент, працівникам слід надати копії письмової політики безпеки та навчання, що стосуються цієї політики. Це охоплюватиме найкращі практики щодо кінцевих споживачів як технічно, так і не. Деякі з них включають:

• Поводження з обмеженою та конфіденційною інформацією як частина бізнесу.
  • Не користуйтеся електронною поштою та не передайте незашифровані, не утилізуйте належним чином тощо.
• Обробка паролів.
  • Не залишайте написане під клавіатурою, на пошті - це замітки, обмін та ін.
• Не діліться обліковими записами або даними аутентифікації. (Знову)
• Не залишайте незаблокованими робочі станції або власність компанії (дані) (ноутбуки)
• Не запускайте програмне забезпечення без розгляду
  • Наприклад, вкладення електронної пошти.
• Ризики та сценарії, пов'язані з соціальною інженерією
• Поточні тенденції зловмисного програмного забезпечення, що застосовуються до бізнесу чи галузі.
• Політика та ризики, характерні для бізнесу чи галузі.
• Загальна освіта щодо того, як (якщо) вони контролюються
• Як ІТ реалізує політику безпеки технічно та адміністративно.

У PCI DSS приклади багатьох передових методів , що стосуються політики безпеки. Крім того, книга «Практика системного та мережевого адміністрування» охоплює основні найкращі практики щодо ІТ-безпеки.

Моя головна порада (що я повільно вправляю навчати людей) - це варіант вашого №1:

Знайте, як перевірити, звідки насправді надходить електронний лист, і перевірити будь-яке повідомлення, яке є найменш дивним.

Для Outlook це означає знати, як відображати заголовки Інтернету та що означають рядки Received-From.

Для нетехнічного персоналу завантаження та встановлення програмного забезпечення не є (і я б сказав, не повинно бути) варіантом, вони не повинні мати адміністраторського доступу для встановлення програмного забезпечення. Навіть для програмістів, яким ми надаємо доступ адміністратору, ми наполегливо закликаємо їх перевірити ІТ перед завантаженням та встановленням.

Що стосується паролів, я завжди повторюю поради Брюса Шнайєра: паролі повинні бути достатньо міцними, щоб принести користь, і щоб вирішити труднощі з їх запам'ятовуванням, ви можете записати їх на аркуші паперу і зберегти це у своєму гаманці - ставитесь до своєї парольної картки як кредитною карткою і знайте, як їх скасувати (змінити), якщо ви втратите гаманець.

Залежно від того, скільки у вас ноутбуків та як ви створюєте резервні копії, я б включив підказку щодо збереження даних на ноутбуках у безпеці. Якщо у вас немає системи для резервного копіювання / копіювання даних на ноутбуках у вашу мережу, вам слід, а якщо у вас є система, ви повинні переконатися, що користувачі ноутбуків знають, як вона працює. Втрачений або викрадений ноутбук, повний даних, - принаймні, біль у попці.

Визначте, що таке слабкий і надійний пароль, і дайте їм кілька хороших способів придумати та запам'ятати надійні паролі.

Здається, ваш другий пункт вказує на те, що користувачі можуть встановлювати програмне забезпечення на свої комп’ютери. Я б сказав, що це проблема в більшості випадків. Але якщо їм дозволено встановлювати програмне забезпечення, то це хороший момент.

Переконайтеся, що у вас є приклади соціальної інженерії. Це допомагає їм знати, на що їх шукати, і трохи їх лякає, щоб вони були параноїднішими. Мені подобається просити людей подумати над тим, що б вони зробили, якби виявили USB-накопичувач на тротуарі біля офісу. Більшість чесних людей підніме його та підключить до свого комп’ютера, щоб побачити, чи щось на диску може визначити, хто власник. Більшість нечесних людей зроблять те саме ... але, мабуть, просто, щоб побачити, чи є на ньому щось хороше, перш ніж стерти його, щоб використовувати його. У будь-якому випадку за допомогою автозапуску, зловмисного PDF-файлу тощо - це досить простий спосіб володіти комп'ютером у компанії на ваш вибір, встановити реєстратор натискань клавіш тощо.

А як на рахунок

• Постійно оновлюйте ОС та додатки. Сюди входять і основні версії, принаймні один раз, коли основна версія мала дозріти. Повністю виправлений XP SP3, що працює з повністю виправленим IE6, все ще набагато менш безпечний, ніж Windows 7 під керуванням IE8 (або ще краще, Chrome).
• Уникайте популярних ОС та додатків - вони набагато частіше експлуатуються. Якщо ви не зможете уникнути ключових продуктів Microsoft (Windows, IE, Outlook, Office, WMP), Apple (iTunes, Quicktime) та Adobe (Flash, PDF-зчитувач), ви будете набагато рідше зірвані переважною більшістю активні подвиги там.
• Постійно оновлюйте свій антивірус (набір антивірусних програм) та скануйте його.
• Слідкуйте за тим, щоб ваш особистий брандмауер був оновлений та працює.
• Використовуйте захищені протоколи електронної пошти (тобто переконайтеся, що ваш POP / IMAP / SMTP захищений SSL).
• Не вмикайте обмін файлами Windows (SMB) або sshd (це два найбільш атакованих порту).
• Увімкніть шифрування WPA2 у домашній Wi-Fi мережі.
• Навіть не відвідуйте ненадійні веб-сайти.

Ви добре розпочали роботу, але, як уже згадували інші, ви починаєте з недоліків, якщо користувачі можуть встановлювати програмне забезпечення. Я б не пропонував використовувати download.com; натомість користувачі повинні запитати ІТ про програму, яка вирішує їхню проблему, а не намагатися знайти її самі (якщо більшість не є розробниками або досить кмітливими). Видалення прав адміністратора вирішує цю проблему.

Доповнення:

1. Використовуйте різні паролі для більшості сайтів і використовуйте безпечний пароль, щоб слідкувати за ними (KeePass, PWSafe тощо). Пройдіть, як зламався електронний лист MediaDefender, і запитайте користувачів, які заходи могли б запобігти вторгненню. Ніколи ніколи не використовуйте свій пароль робочого домену ніде і не пересилайте поштову інформацію / трафік компанії через ненадійні системи.
2. Вибирайте гідно складні паролі. Зробіть тріщину в реальному часі, використовуючи John The Ripper на зразковому хеші пароля (не забудьте отримати дозвіл на використання інструментів для розлому, ПІДПИСАючи від компанії спочатку, на випадок, якщо люди надмірно реагують). Показати користувачам, що "PRISCILLA1" зламається за <2 секунди, це відкривачка для очей. Ми використовуємо тут Anixis 'Enforcer Policy Enforcer, щоб переконатися, що хижі паролі не потрапляють.
3. Не підключайте нічого, що вам не надає ІТ. Проілюструйте суть, підключивши USB-накопичувач Keylogger або один автозапуску троянця (автозапуск слід вимкнути, але це вже інша історія).
4. Припустимо, весь трафік у всіх мережах відслідковується та реєструється в обох кінцях, навіть якщо він зашифрований для запобігання атак MitM. WikiScanner - хороший приклад використання IP-адрес для пальця, який робив "анонімні" зміни.