Лучшие десять советов по безопасности для нетехнических пользователей

10

Позже на этой неделе я делаю презентацию для сотрудников компании, в которой я работаю. Целью презентации является повышение информированности / напоминания о передовой практике, которая может помочь обеспечить безопасность нашей сети. Аудитория состоит из программистов и нетехнического персонала, поэтому презентация предназначена для нетехнических пользователей.

Я хочу, чтобы часть этой презентации была топ-листом «советов». Список должен быть коротким (для поддержки памяти) и быть конкретным и актуальным для пользователя.

У меня есть следующие пять пунктов:

  • Никогда не открывайте вложение, которое вы не ожидали
  • Загружайте программное обеспечение только из надежного источника, например download.com
  • Не распространяйте пароли при запросе по телефону или электронной почте
  • Остерегайтесь социальной инженерии
  • Не храните конфиденциальные данные на FTP-сервере

Некоторые уточнения:

  • Это для нашей сети работы
  • Это должны быть советы «передового опыта» для конечного пользователя, а не политика ИТ
  • У нас есть резервные копии, исправления ОС, брандмауэр, AV и т. Д., Централизованно управляемые
  • Это для малого бизнеса (менее 25 человек)

У меня есть два вопроса:

  1. Вы предлагаете какие-либо дополнительные предметы?
  2. Предлагаете ли вы какие-либо изменения в существующие предметы?
networking security desktop-management Джастин
источник
1
Этот вопрос принадлежит на superuser.com - и, по крайней мере, это должна быть Вики сообщества
Марк Хендерсон
Предполагая, что это является частью политики безопасности ИТ-отдела, я не согласен. Мой отдел информационных технологий написал некоторые материалы и обучил обучающего персонала ежегодному обучению конечных пользователей безопасности.
Warner
3
По крайней мере, это просто еще одна версия "Your Favorite (x)", которая действительно должна быть вики сообщества
Марк Хендерсон
@ Farseeker: я согласен.
@Farseeker - это не вопрос superuser.com. Это для рабочей сети.
Джастин

Ответы:

7

Похоже, что вы можете быть человеком за пределами ИТ, пытающимся обучать своих сверстников. Хотя это хорошо, и я бы рекомендовал это сделать, ваш ИТ-отдел должен руководствоваться стандартами и политиками безопасности.

Это обучение должно служить средством для усиления и обучения по причинам, лежащим в основе политик безопасности, которые уже существуют. Если нет письменного документа о политике безопасности, он должен быть.

Многие вещи, которые вы перечисляете, не должны находиться под контролем конечных пользователей. Например, средний менее технический конечный пользователь не должен иметь возможность устанавливать программное обеспечение на свою рабочую станцию. Я подозреваю, что в компании существует множество проблем с поддержкой, настройкой и вредоносными программами, которые могут быть легко предотвращены политикой, если они смогут.

Если основные принципы еще не написаны и не применяются ИТ-политикой, это проблемы, которые необходимо решить, прежде чем пытаться обучать пользователей. Некоторые из политик, ориентированных на конечного пользователя, включают:

  • Наименьшие привилегии, необходимые для выполнения функции работы
  • Обновления программного обеспечения выполняются автоматически с учетом угрозы безопасности
  • Стандарты безопасности, установленные политикой (IE. Настройки веб-браузера)
  • Срок действия пароля (90 дней)
  • Надежность пароля (буквенно-цифровой, смешанный регистр, 9+ символов и так далее)
  • Невозможно использовать последние 5 паролей
  • Шифрование портативного устройства (ноутбука)
  • Политика классификации данных
  • Политика, предписывающая обработку ограниченных и конфиденциальных данных в соответствии с политикой классификации.
  • Политика удаления данных
  • Политика доступа к данным
  • Политика переносимых устройств

Существует множество дополнительных политик и процедур, которые применяются как для правильной разработки, так и для технического обслуживания в рамках групп инфраструктуры. (Контроль изменений, проверка кода, системные стандарты и многое другое.)

После того, как все основы созданы, сотрудникам должны быть предоставлены копии письменной политики безопасности, и обучение, связанное с этой политикой, также будет уместным. Это будет охватывать лучшие практики конечного пользователя, как с технической точки зрения, так и без. Некоторые из них включают в себя:

  • Обработка ограниченной и конфиденциальной информации как части бизнеса.
    • Не отправляйте по электронной почте и не передавайте в незашифрованном виде, утилизируйте должным образом и так далее.
  • Обработка паролей.
    • Не оставляйте написанное под клавиатурой, размещайте заметки, делитесь и так далее.
  • Не делитесь учетными записями или данными аутентификации. (Очередной раз)
  • Не оставляйте рабочие станции открытыми или собственность компании (данные) незащищенными (ноутбуки)
  • Не запускайте программное обеспечение без рассмотрения
    • Например, вложения электронной почты.
  • Риски и сценарии социальной инженерии
  • Текущие тенденции вредоносного ПО, применимые к бизнесу или отрасли.
  • Политика и риски, специфичные для бизнеса или отрасли.
  • Общее образование о том, как (если) они контролируются
  • Как ИТ обеспечивает соблюдение политик безопасности с технической и административной точек зрения.

В PCI DSS приведены примеры передового опыта в отношении политик безопасности. Кроме того, книга «Практика системного и сетевого администрирования» охватывает фундаментальные рекомендации по безопасности ИТ.

сигнализатор
источник
Почему за это проголосовали?
Warner
Спасибо за вдумчивый ответ. У нас есть хорошие политики и т. Д., Которые подписаны. Чтобы было ясно, я ищу хороший список советов, которые помогут развить поведение, повышающее безопасность конечных пользователей. ( У нас нет вредоносных вопросов вирусов / и т.д. Я не понимаю , все суета о том , локальным администратором Как из статьи , которую я прочитал несколько лет назад это значение по умолчанию , как MSFT АМФ.)
Джастин
Неверное голосование было моей ошибкой, но я не могу ее изменить. Я думаю, что если вы измените свой ответ (добавьте пробел или что-то), я могу это исправить.
Джастин
Ах, круто, спасибо. Это было немного обескураживающе! Я потратил некоторое время на мой ответ. Что касается местных администраторов, я с вами несколько согласен. Это зависит от компании и технологической среды. Было показано, что конечным пользователям иногда хорошо с админом в технических компаниях или высокотехнологичных группах. Я видел обе стороны работы спектра. Мой коллега отвечает за интранет, в состав которого входят сотрудники, не обладающие техническими навыками, а бизнес требует наличия администратора, где он регулярно сталкивается с проблемами вредоносного ПО в различных масштабах.
Warner
Не беспокойтесь, я исправил это :)
l0c0b0x
2

Мой главный совет (которому я медленно учу людей) - это вариант вашего № 1:

Знайте, как проверить, откуда на самом деле приходит электронное письмо, и проверить любое сообщение, которое наименее странно.

Для Outlook это означает знание того, как отображать заголовки Интернета и что означают строки «Получено».

Для нетехнического персонала загрузка и установка программного обеспечения не является (и я бы сказал, что это не так ) вариантом, у них не должно быть прав администратора для установки программного обеспечения. Даже для программистов, которым мы предоставляем доступ администратора, мы настоятельно рекомендуем им проверить это перед загрузкой и установкой.

Что касается паролей, я всегда повторяю совет Брюса Шнайера: пароли должны быть достаточно надежными, чтобы делать что-то хорошее, и чтобы справиться с трудностями их запоминания, вы можете записать их на листе бумаги и сохранить это в своем кошельке - относитесь к своей карточке пароля как кредитной карты и знать, как отменить (изменить) их, если вы потеряете свой кошелек.

В зависимости от того, сколько у вас ноутбуков и как вы их создаете, я бы включил совет о том, как хранить данные на ноутбуках в безопасности. Если у вас нет системы для резервного копирования / репликации данных на ноутбуках в вашу сеть, вам следует, и если у вас есть система, вы должны убедиться, что пользователи ноутбука знают, как она работает. Потерянный или украденный ноутбук, полный данных, - как минимум - боль в заднице.

Уорд - Восстановить Монику
источник
Спасибо. У нас есть хорошие резервные копии на месте. Мы собираемся развернуть общие ресурсы TrueCrypt для защиты данных на ноутбуках. Надежные пароли + примеры, безусловно, стоит упомянуть. Спасибо.
Джастин
Если вы хотите убедить меня в подлинности электронного письма, включите в текст текст, чтобы я мог связать его с вами.
Дэвид Торнли
2

Определите, что такое слабый и надежный пароль, и дайте им несколько хороших способов придумать и запомнить надежные пароли.

Ваше второе замечание указывает на то, что пользователям разрешено устанавливать программное обеспечение на свои компьютеры. Я бы сказал, что это проблема в большинстве случаев. Но если им разрешено устанавливать программное обеспечение, то это хороший момент для обсуждения.

Убедитесь, что у вас есть примеры социальной инженерии. Это помогает им узнать, что искать, и немного пугает, чтобы они стали более параноидальными. Мне нравится просить людей подумать о том, что они будут делать, если они найдут флэш-накопитель USB на тротуаре рядом с офисом. Самые честные люди подберут его и подключат к своему компьютеру, чтобы узнать, будет ли что-то на диске идентифицировать, кто является владельцем. Большинство нечестных людей сделают то же самое ... но, вероятно, просто чтобы увидеть, есть ли что-то хорошее, прежде чем стирать это, чтобы использовать это. В любом случае через автозапуск, вредоносные PDF-файлы и т. Д. Это довольно простой способ владеть компьютером внутри выбранной вами компании, установить регистратор нажатий клавиш и т. Д.

3dinfluence
источник
Ваш пример с USB-ключом хороший, предупреждение об использовании и неправильном использовании USB-ключей должно быть одним из его советов.
Опека - Восстановите Монику
Спасибо. Re: примеры социальных инженеров, да, я обычно люблю говорить о буфере обмена + рабочий комбинезон-невидимка. USB является отличным примером.
Джастин
2

Что о

  • Держите вашу ОС и приложения в актуальном состоянии. Это касается и основных версий, по крайней мере, однажды у основной версии было несколько месяцев для созревания. Полностью исправленная XP SP3 с полностью исправленной IE6 все еще намного менее безопасна, чем Windows 7 с IE8 (или, что еще лучше, Chrome).
  • Избегайте популярных ОС и приложений - они с большей вероятностью будут использованы. Если вы сможете избежать ключевых продуктов Microsoft (Windows, IE, Outlook, Office, WMP), Apple (iTunes, Quicktime) и Adobe (Flash, PDF Reader), вы будете гораздо реже подвергаться риску со стороны подавляющего большинства активные подвиги там.
  • Регулярно обновляйте антивирус (набор антивирусных программ) и регулярно проверяйте его.
  • Поддерживайте ваш персональный брандмауэр в актуальном состоянии и работайте.
  • Используйте безопасные протоколы электронной почты (т.е. убедитесь, что ваш POP / IMAP / SMTP защищен SSL).
  • Не включайте общий доступ к файлам Windows (SMB) или sshd (это два наиболее уязвимых порта).
  • Включите шифрование WPA2 в домашней сети Wi-Fi.
  • Даже не посещайте ненадежные сайты.
Spiff
источник
Я предполагаю, что вопрос касается корпоративной сети, поэтому обновления, настройки AV, беспроводной связи и брандмауэра должны быть проблемой ИТ, а не пользователя.
Что ж, похоже, это корпоративная сеть, где они позволяют пользователям загружать / устанавливать свое собственное программное обеспечение, учитывая подсказку «Загружать только программное обеспечение из надежного источника, такого как download.com» в оригинальном Вопросе. Поэтому я думаю, что мой совет по обновлению вашего программного обеспечения важен. Кроме того, многие корпуса позволяют ноутбукам, принадлежащим корпорации, отправляться домой (и путешествовать) с пользователями, поэтому безопасность домашней сети также действует.
Spiff
Это наша рабочая сеть, да. Патчи, брандмауэры, резервные копии и т. Д. Заботятся об уровне команды GPO / IT. Обновления для их собственного программного обеспечения, тем не менее, важны. Я упомяну это.
Джастин
+ Ненадежный веб-сайт - хороший.
Джастин
1

У вас хорошее начало, но, как уже упоминали другие, вы начинаете с невыгодного положения, если пользователи могут устанавливать программное обеспечение. Я бы не советовал использовать download.com; вместо этого пользователи должны спрашивать ИТ-специалистов о программе, которая решает их проблему, а не пытаться найти ее самостоятельно (если большинство из них не являются разработчиками или достаточно опытными). Удаление прав администратора решает эту проблему.

дополнения:

  1. Используйте разные пароли для большинства сайтов и используйте какой-либо пароль для их отслеживания (KeePass, PWSafe и т. Д.). Узнайте, как взломали электронную почту MediaDefender, и спросите пользователей, какие меры предотвратили бы вторжение. Никогда и нигде не используйте свой пароль рабочего домена и не пересылайте почту / трафик компании через ненадежные системы.
  2. Выбирайте прилично сложные пароли. Сделайте реальный взлом, используя John the Ripper на примере хэша пароля (сначала убедитесь, что вы получили разрешение на использование инструментов взлома В ПИСЬМЕ от компании, в случае, если люди слишком остро реагируют). Показывать пользователям, что «PRISCILLA1» взломан в течение <2 секунд, является откровением. Мы используем Enixis Password Policy Enforcer, чтобы пароли не входили.
  3. Не включайте ничего, что не предоставлено вам ИТ-отделом. Проиллюстрируйте это, подключив USB-флешку Keylogger или один автозапуск троянца (автозапуск должен быть отключен, но это уже другая история).
  4. Предположим, что весь трафик во всех сетях отслеживается и регистрируется на обоих концах, даже если он зашифрован для предотвращения атак MitM. WikiScanner - хороший пример использования IP-адресов для выявления «анонимных» правок.
hurfdurf
источник
Мы небольшой бизнес, поэтому у нас нет штатного ИТ-отдела. Хорошие советы, хотя. Спасибо.
Джастин