Лучшие десять советов по безопасности для нетехнических пользователей

Позже на этой неделе я делаю презентацию для сотрудников компании, в которой я работаю. Целью презентации является повышение информированности / напоминания о передовой практике, которая может помочь обеспечить безопасность нашей сети. Аудитория состоит из программистов и нетехнического персонала, поэтому презентация предназначена для нетехнических пользователей.

Я хочу, чтобы часть этой презентации была топ-листом «советов». Список должен быть коротким (для поддержки памяти) и быть конкретным и актуальным для пользователя.

У меня есть следующие пять пунктов:

• Никогда не открывайте вложение, которое вы не ожидали
• Загружайте программное обеспечение только из надежного источника, например download.com
• Не распространяйте пароли при запросе по телефону или электронной почте
• Остерегайтесь социальной инженерии
• Не храните конфиденциальные данные на FTP-сервере

Некоторые уточнения:

• Это для нашей сети работы
• Это должны быть советы «передового опыта» для конечного пользователя, а не политика ИТ
• У нас есть резервные копии, исправления ОС, брандмауэр, AV и т. Д., Централизованно управляемые
• Это для малого бизнеса (менее 25 человек)

У меня есть два вопроса:

1. Вы предлагаете какие-либо дополнительные предметы?
2. Предлагаете ли вы какие-либо изменения в существующие предметы?

Похоже, что вы можете быть человеком за пределами ИТ, пытающимся обучать своих сверстников. Хотя это хорошо, и я бы рекомендовал это сделать, ваш ИТ-отдел должен руководствоваться стандартами и политиками безопасности.

Это обучение должно служить средством для усиления и обучения по причинам, лежащим в основе политик безопасности, которые уже существуют. Если нет письменного документа о политике безопасности, он должен быть.

Многие вещи, которые вы перечисляете, не должны находиться под контролем конечных пользователей. Например, средний менее технический конечный пользователь не должен иметь возможность устанавливать программное обеспечение на свою рабочую станцию. Я подозреваю, что в компании существует множество проблем с поддержкой, настройкой и вредоносными программами, которые могут быть легко предотвращены политикой, если они смогут.

Если основные принципы еще не написаны и не применяются ИТ-политикой, это проблемы, которые необходимо решить, прежде чем пытаться обучать пользователей. Некоторые из политик, ориентированных на конечного пользователя, включают:

• Наименьшие привилегии, необходимые для выполнения функции работы
• Обновления программного обеспечения выполняются автоматически с учетом угрозы безопасности
• Стандарты безопасности, установленные политикой (IE. Настройки веб-браузера)
• Срок действия пароля (90 дней)
• Надежность пароля (буквенно-цифровой, смешанный регистр, 9+ символов и так далее)
• Невозможно использовать последние 5 паролей
• Шифрование портативного устройства (ноутбука)
• Политика классификации данных
• Политика, предписывающая обработку ограниченных и конфиденциальных данных в соответствии с политикой классификации.
• Политика удаления данных
• Политика доступа к данным
• Политика переносимых устройств

Существует множество дополнительных политик и процедур, которые применяются как для правильной разработки, так и для технического обслуживания в рамках групп инфраструктуры. (Контроль изменений, проверка кода, системные стандарты и многое другое.)

После того, как все основы созданы, сотрудникам должны быть предоставлены копии письменной политики безопасности, и обучение, связанное с этой политикой, также будет уместным. Это будет охватывать лучшие практики конечного пользователя, как с технической точки зрения, так и без. Некоторые из них включают в себя:

• Обработка ограниченной и конфиденциальной информации как части бизнеса.
  • Не отправляйте по электронной почте и не передавайте в незашифрованном виде, утилизируйте должным образом и так далее.
• Обработка паролей.
  • Не оставляйте написанное под клавиатурой, размещайте заметки, делитесь и так далее.
• Не делитесь учетными записями или данными аутентификации. (Очередной раз)
• Не оставляйте рабочие станции открытыми или собственность компании (данные) незащищенными (ноутбуки)
• Не запускайте программное обеспечение без рассмотрения
  • Например, вложения электронной почты.
• Риски и сценарии социальной инженерии
• Текущие тенденции вредоносного ПО, применимые к бизнесу или отрасли.
• Политика и риски, специфичные для бизнеса или отрасли.
• Общее образование о том, как (если) они контролируются
• Как ИТ обеспечивает соблюдение политик безопасности с технической и административной точек зрения.

В PCI DSS приведены примеры передового опыта в отношении политик безопасности. Кроме того, книга «Практика системного и сетевого администрирования» охватывает фундаментальные рекомендации по безопасности ИТ.

Мой главный совет (которому я медленно учу людей) - это вариант вашего № 1:

Знайте, как проверить, откуда на самом деле приходит электронное письмо, и проверить любое сообщение, которое наименее странно.

Для Outlook это означает знание того, как отображать заголовки Интернета и что означают строки «Получено».

Для нетехнического персонала загрузка и установка программного обеспечения не является (и я бы сказал, что это не так ) вариантом, у них не должно быть прав администратора для установки программного обеспечения. Даже для программистов, которым мы предоставляем доступ администратора, мы настоятельно рекомендуем им проверить это перед загрузкой и установкой.

Что касается паролей, я всегда повторяю совет Брюса Шнайера: пароли должны быть достаточно надежными, чтобы делать что-то хорошее, и чтобы справиться с трудностями их запоминания, вы можете записать их на листе бумаги и сохранить это в своем кошельке - относитесь к своей карточке пароля как кредитной карты и знать, как отменить (изменить) их, если вы потеряете свой кошелек.

В зависимости от того, сколько у вас ноутбуков и как вы их создаете, я бы включил совет о том, как хранить данные на ноутбуках в безопасности. Если у вас нет системы для резервного копирования / репликации данных на ноутбуках в вашу сеть, вам следует, и если у вас есть система, вы должны убедиться, что пользователи ноутбука знают, как она работает. Потерянный или украденный ноутбук, полный данных, - как минимум - боль в заднице.

Определите, что такое слабый и надежный пароль, и дайте им несколько хороших способов придумать и запомнить надежные пароли.

Ваше второе замечание указывает на то, что пользователям разрешено устанавливать программное обеспечение на свои компьютеры. Я бы сказал, что это проблема в большинстве случаев. Но если им разрешено устанавливать программное обеспечение, то это хороший момент для обсуждения.

Убедитесь, что у вас есть примеры социальной инженерии. Это помогает им узнать, что искать, и немного пугает, чтобы они стали более параноидальными. Мне нравится просить людей подумать о том, что они будут делать, если они найдут флэш-накопитель USB на тротуаре рядом с офисом. Самые честные люди подберут его и подключат к своему компьютеру, чтобы узнать, будет ли что-то на диске идентифицировать, кто является владельцем. Большинство нечестных людей сделают то же самое ... но, вероятно, просто чтобы увидеть, есть ли что-то хорошее, прежде чем стирать это, чтобы использовать это. В любом случае через автозапуск, вредоносные PDF-файлы и т. Д. Это довольно простой способ владеть компьютером внутри выбранной вами компании, установить регистратор нажатий клавиш и т. Д.

Что о

• Держите вашу ОС и приложения в актуальном состоянии. Это касается и основных версий, по крайней мере, однажды у основной версии было несколько месяцев для созревания. Полностью исправленная XP SP3 с полностью исправленной IE6 все еще намного менее безопасна, чем Windows 7 с IE8 (или, что еще лучше, Chrome).
• Избегайте популярных ОС и приложений - они с большей вероятностью будут использованы. Если вы сможете избежать ключевых продуктов Microsoft (Windows, IE, Outlook, Office, WMP), Apple (iTunes, Quicktime) и Adobe (Flash, PDF Reader), вы будете гораздо реже подвергаться риску со стороны подавляющего большинства активные подвиги там.
• Регулярно обновляйте антивирус (набор антивирусных программ) и регулярно проверяйте его.
• Поддерживайте ваш персональный брандмауэр в актуальном состоянии и работайте.
• Используйте безопасные протоколы электронной почты (т.е. убедитесь, что ваш POP / IMAP / SMTP защищен SSL).
• Не включайте общий доступ к файлам Windows (SMB) или sshd (это два наиболее уязвимых порта).
• Включите шифрование WPA2 в домашней сети Wi-Fi.
• Даже не посещайте ненадежные сайты.

У вас хорошее начало, но, как уже упоминали другие, вы начинаете с невыгодного положения, если пользователи могут устанавливать программное обеспечение. Я бы не советовал использовать download.com; вместо этого пользователи должны спрашивать ИТ-специалистов о программе, которая решает их проблему, а не пытаться найти ее самостоятельно (если большинство из них не являются разработчиками или достаточно опытными). Удаление прав администратора решает эту проблему.

дополнения:

1. Используйте разные пароли для большинства сайтов и используйте какой-либо пароль для их отслеживания (KeePass, PWSafe и т. Д.). Узнайте, как взломали электронную почту MediaDefender, и спросите пользователей, какие меры предотвратили бы вторжение. Никогда и нигде не используйте свой пароль рабочего домена и не пересылайте почту / трафик компании через ненадежные системы.
2. Выбирайте прилично сложные пароли. Сделайте реальный взлом, используя John the Ripper на примере хэша пароля (сначала убедитесь, что вы получили разрешение на использование инструментов взлома В ПИСЬМЕ от компании, в случае, если люди слишком остро реагируют). Показывать пользователям, что «PRISCILLA1» взломан в течение <2 секунд, является откровением. Мы используем Enixis Password Policy Enforcer, чтобы пароли не входили.
3. Не включайте ничего, что не предоставлено вам ИТ-отделом. Проиллюстрируйте это, подключив USB-флешку Keylogger или один автозапуск троянца (автозапуск должен быть отключен, но это уже другая история).
4. Предположим, что весь трафик во всех сетях отслеживается и регистрируется на обоих концах, даже если он зашифрован для предотвращения атак MitM. WikiScanner - хороший пример использования IP-адресов для выявления «анонимных» правок.