เคล็ดลับความปลอดภัยสิบอันดับแรกสำหรับผู้ใช้ที่ไม่ใช่ด้านเทคนิค

ฉันจะมอบงานนำเสนอให้กับเจ้าหน้าที่ของ บริษัท ที่ฉันทำงานในสัปดาห์นี้ เป้าหมายของงานนำเสนอคือการทำหน้าที่เป็นผู้ทบทวน / ทบทวนแนวทางปฏิบัติที่ดีที่สามารถช่วยให้เครือข่ายของเราปลอดภัย ผู้ชมประกอบด้วยทั้งโปรแกรมเมอร์และเจ้าหน้าที่ที่ไม่ใช่ด้านเทคนิคดังนั้นงานนำเสนอจึงเหมาะสำหรับผู้ใช้ที่ไม่ใช่ด้านเทคนิค

ฉันต้องการให้ส่วนหนึ่งของงานนำเสนอนี้เป็นรายการ "เคล็ดลับ" ยอดนิยม รายการจะต้องสั้น (เพื่อส่งเสริมหน่วยความจำ) และมีความเฉพาะเจาะจงและเกี่ยวข้องกับผู้ใช้

ฉันมีห้ารายการต่อไปนี้:

• อย่าเปิดไฟล์แนบที่คุณไม่คาดหวัง
• ดาวน์โหลดเฉพาะซอฟต์แวร์จากแหล่งที่เชื่อถือได้เช่น download.com
• อย่าแจกจ่ายรหัสผ่านเมื่อมีการร้องขอทางโทรศัพท์หรืออีเมล
• ระวังวิศวกรรมสังคม
• อย่าเก็บข้อมูลที่สำคัญบนเซิร์ฟเวอร์ FTP

คำอธิบายบางอย่าง:

• นี่สำหรับเครือข่ายงานของเรา
• ต้องเป็นเคล็ดลับ "แนวทางปฏิบัติที่ดีที่สุด" สำหรับผู้ใช้ปลายทางไม่ใช่นโยบาย IT
• เรามีการสำรองข้อมูลแพตช์ระบบปฏิบัติการไฟร์วอลล์ AV และอื่น ๆ ทั้งหมดได้รับการจัดการจากส่วนกลาง
• สำหรับธุรกิจขนาดเล็ก (น้อยกว่า 25 คน)

ฉันมีสองคำถาม:

1. คุณแนะนำรายการเพิ่มเติมใด ๆ
2. คุณแนะนำการเปลี่ยนแปลงรายการที่มีอยู่หรือไม่?

ดูเหมือนว่าคุณอาจเป็นบุคคลนอกฝ่ายไอทีที่พยายามให้ความรู้กับเพื่อน ขณะนี้เป็นสิ่งที่ดีและสิ่งที่ฉันจะสนับสนุนแผนกไอทีของคุณควรขับรถมาตรฐานและนโยบายความปลอดภัย

การฝึกอบรมนี้ควรใช้เป็นวิธีการบังคับใช้และให้ความรู้เกี่ยวกับเหตุผลที่อยู่เบื้องหลังนโยบายความปลอดภัยที่มีอยู่แล้ว หากไม่มีเอกสารนโยบายความปลอดภัยเป็นลายลักษณ์อักษรควรมี

หลายสิ่งที่คุณทำรายการไม่ควรอยู่ในการควบคุมของผู้ใช้ปลายทาง ตัวอย่างเช่นผู้ใช้ปลายทางทางเทคนิคที่น้อยกว่าโดยเฉลี่ยไม่ควรติดตั้งซอฟต์แวร์บนเวิร์กสเตชันของตน ฉันสงสัยว่ามีปัญหาเกี่ยวกับการสนับสนุนการกำหนดค่าและมัลแวร์จำนวนมากใน บริษัท ที่สามารถป้องกันได้โดยนโยบายหากทำได้

หากพื้นฐานยังไม่ได้ถูกเขียนและบังคับใช้โดยนโยบายไอทีปัญหาเหล่านี้ควรได้รับการแก้ไขก่อนที่จะพยายามให้ความรู้แก่ผู้ใช้ นโยบายที่มุ่งเน้นของผู้ใช้บางส่วน ได้แก่ :

• สิทธิพิเศษที่จำเป็นในการทำงาน
• การอัพเดตซอฟต์แวร์ดำเนินการโดยอัตโนมัติโดยคำนึงถึงความเสี่ยงด้านความปลอดภัย
• มาตรฐานความปลอดภัยบังคับใช้ตามนโยบาย (IE. การตั้งค่าเว็บเบราว์เซอร์)
• รหัสผ่านหมดอายุ (90 วัน)
• การบังคับใช้รหัสผ่านที่รัดกุม (ตัวอักษรและตัวเลขตัวพิมพ์ผสมตัวอักษร 9+ ตัวและอื่น ๆ )
• ไม่สามารถใช้รหัสผ่าน 5 ตัวล่าสุด
• การเข้ารหัสที่เก็บข้อมูลอุปกรณ์พกพา (แล็ปท็อป)
• นโยบายการจำแนกข้อมูล
• นโยบายกำหนดจัดการข้อมูลที่ถูก จำกัด และเป็นความลับตามที่กำหนดไว้ในนโยบายการจำแนกประเภท
• นโยบายการกำจัดข้อมูล
• นโยบายการเข้าถึงข้อมูล
• นโยบายอุปกรณ์พกพา

มีนโยบายและขั้นตอนเพิ่มเติมมากมายที่ใช้กับการพัฒนาที่เหมาะสมและการบำรุงรักษาทางเทคนิคภายในกลุ่มโครงสร้างพื้นฐาน (เปลี่ยนการควบคุมการตรวจสอบโค้ดมาตรฐานระบบและอื่น ๆ อีกมากมาย)

หลังจากที่วางรากฐานทั้งหมดแล้วพนักงานควรได้รับสำเนานโยบายความปลอดภัยเป็นลายลักษณ์อักษรและการฝึกอบรมรอบ ๆ นโยบายนั้นก็จะเหมาะสมเช่นกัน สิ่งนี้จะครอบคลุมถึงแนวปฏิบัติที่ดีที่สุดของผู้ใช้ปลายทางทั้งทางด้านเทคนิคและไม่บังคับใช้ บางส่วนของเหล่านี้รวมถึง:

• การจัดการข้อมูลที่ถูก จำกัด และเป็นความลับซึ่งเป็นส่วนหนึ่งของธุรกิจ
  • อย่าส่งอีเมลหรือส่งข้อมูลที่ไม่ได้เข้ารหัสเข้ารหัสอย่างถูกต้องและอื่น ๆ
• การจัดการรหัสผ่าน
  • อย่าปล่อยให้เขียนไว้ใต้แป้นพิมพ์โพสต์โน้ตแบ่งปันและอื่น ๆ
• อย่าแชร์บัญชีหรือข้อมูลการตรวจสอบสิทธิ์ (อีกครั้ง)
• อย่าปลดล็อคเวิร์กสเตชันหรือทรัพย์สินของ บริษัท (ข้อมูล) ที่ไม่ปลอดภัย (แล็ปท็อป)
• อย่าเรียกใช้ซอฟต์แวร์โดยไม่พิจารณา
  • เช่นไฟล์แนบอีเมล
• ความเสี่ยงและสถานการณ์แวดล้อมวิศวกรรมสังคม
• แนวโน้มของมัลแวร์ปัจจุบันที่ใช้กับธุรกิจหรืออุตสาหกรรม
• นโยบายและความเสี่ยงเฉพาะสำหรับธุรกิจหรืออุตสาหกรรม
• การศึกษาทั่วไปเกี่ยวกับวิธีการ (ถ้า) พวกเขาจะถูกตรวจสอบ
• IT บังคับใช้นโยบายความปลอดภัยทางเทคนิคและการบริหารอย่างไร

PCI DSSตัวอย่างมากมายปฏิบัติที่ดีที่สุดเกี่ยวกับนโยบายด้านความปลอดภัย นอกจากนี้หนังสือแนวปฏิบัติของระบบและการบริหารเครือข่ายครอบคลุมแนวปฏิบัติพื้นฐานที่ดีที่สุดเกี่ยวกับความปลอดภัยด้านไอที

เคล็ดลับยอดนิยมของฉัน (ที่ฉันกำลังค่อยๆสอนคนอื่น) เป็นรูปแบบที่คุณ # 1:

รู้วิธีตรวจสอบว่าอีเมลมาจากไหนและตรวจสอบข้อความใดที่แปลกน้อยที่สุด

สำหรับ Outlook นั่นหมายถึงการรู้วิธีแสดงส่วนหัวอินเทอร์เน็ตและบรรทัดที่ได้รับจากความหมาย

สำหรับพนักงานที่ไม่ได้ทำงานด้านเทคนิคการดาวน์โหลดและติดตั้งซอฟต์แวร์ไม่ใช่ (และฉันบอกว่าไม่ควร ) ตัวเลือกพวกเขาไม่ควรมีสิทธิ์การเข้าถึงของผู้ดูแลระบบในการติดตั้งซอฟต์แวร์ แม้สำหรับโปรแกรมเมอร์ที่เราให้สิทธิ์การเข้าถึงแก่ผู้ดูแลระบบเราขอแนะนำให้พวกเขาตรวจสอบกับไอทีก่อนที่จะดาวน์โหลดและติดตั้ง

สำหรับรหัสผ่านฉันมักจะทำซ้ำคำแนะนำของ Bruce Schneier: รหัสผ่านควรแข็งแรงพอที่จะทำดีและจัดการกับความยากลำบากในการจดจำรหัสผ่านคุณสามารถเขียนลงในกระดาษและเก็บไว้ในกระเป๋าของคุณ - ปฏิบัติตามบัตรรหัสผ่านของคุณเช่น บัตรเครดิตและทราบวิธีการยกเลิก (เปลี่ยนแปลง) หากคุณทำกระเป๋าเงินหาย

ขึ้นอยู่กับจำนวนแล็ปท็อปที่คุณมีและวิธีสำรองข้อมูลฉันจะใส่เคล็ดลับเกี่ยวกับการเก็บข้อมูลไว้ในแล็ปท็อปที่ปลอดภัย หากคุณไม่มีระบบสำรอง / จำลองข้อมูลบนแล็ปท็อปไปยังเครือข่ายของคุณคุณควรและถ้าคุณมีระบบคุณควรตรวจสอบให้แน่ใจว่าผู้ใช้แล็ปท็อปรู้วิธีการทำงาน แล็ปท็อปที่สูญหายหรือถูกขโมยซึ่งเต็มไปด้วยข้อมูลคืออย่างน้อยที่สุดความเจ็บปวดในตูด

กำหนดว่ารหัสผ่านที่อ่อนแอและแข็งแกร่งคืออะไรและให้วิธีที่ดีในการหาและจดจำรหัสผ่านที่คาดเดายาก

ดูเหมือนว่าจุดที่สองของคุณจะระบุว่าผู้ใช้ได้รับอนุญาตให้ติดตั้งซอฟต์แวร์บนคอมพิวเตอร์ของพวกเขา ฉันจะบอกว่านั่นเป็นปัญหาในกรณีส่วนใหญ่ แต่ถ้าพวกเขาได้รับอนุญาตให้ติดตั้งซอฟต์แวร์แล้วมันเป็นจุดที่ดีที่จะครอบคลุม

ทำให้แน่ใจว่าคุณมีตัวอย่างของวิศวกรรมสังคม สิ่งนี้จะช่วยให้พวกเขารู้ว่าจะมองหาอะไรและทำให้พวกเขาหวาดกลัวนิดหน่อย ฉันชอบขอให้ผู้คนคิดเกี่ยวกับสิ่งที่พวกเขาจะทำถ้าพวกเขาพบธัมบ์ไดรฟ์ USB บนทางเท้านอกสำนักงาน คนที่ซื่อสัตย์ส่วนใหญ่จะหยิบมันขึ้นมาและเสียบมันเข้ากับคอมพิวเตอร์เพื่อดูว่ามีอะไรในไดรฟ์จะระบุว่าใครเป็นเจ้าของ คนที่ไม่ซื่อสัตย์ส่วนใหญ่จะทำสิ่งเดียวกัน ... แต่อาจจะดูว่ามีอะไรที่ดีในนั้นก่อนที่จะลบเพื่อใช้ ไม่ว่าจะผ่านการทำงานอัตโนมัติ, ไฟล์ PDF ที่เป็นอันตราย ฯลฯ เป็นวิธีที่ง่ายมากในการเป็นเจ้าของคอมพิวเตอร์ภายใน บริษัท ที่คุณเลือกติดตั้งเครื่องบันทึกการกดแป้นพิมพ์ ฯลฯ

เกี่ยวกับอะไร

• ทำให้ระบบปฏิบัติการและแอพของคุณทันสมัยอยู่เสมอ ซึ่งรวมถึงเวอร์ชันหลักด้วยอย่างน้อยหนึ่งครั้งเวอร์ชันหลักจะใช้เวลาสองสามเดือนกว่าจะครบกำหนด XP SP3 ที่ได้รับการติดตั้งอย่างสมบูรณ์ที่ใช้ IE6 ที่ได้รับการติดตั้งอย่างสมบูรณ์นั้นยังคงมีความปลอดภัยน้อยกว่า Windows 7 ที่ใช้ IE8 (หรือดีกว่า Chrome)
• หลีกเลี่ยงระบบปฏิบัติการและแอพยอดนิยม - พวกมันมีแนวโน้มที่จะถูกนำไปใช้ประโยชน์ หากคุณสามารถหลีกเลี่ยงผลิตภัณฑ์ Microsoft (Windows, IE, Outlook, Office, WMP), Apple (iTunes, Quicktime) และ Adobe (Flash, PDF reader) คุณจะมีโอกาสน้อยที่จะถูกบุกรุกโดยคนส่วนใหญ่ หาช่องโหว่ที่ใช้งานได้ที่นั่น
• ปรับปรุงโปรแกรมป้องกันไวรัส (ชุดป้องกันมัลแวร์) ให้ทันสมัยอยู่เสมอและทำการสแกนเป็นประจำ
• รักษาไฟร์วอลล์ส่วนบุคคลของคุณให้ทันสมัยและใช้งานอยู่
• ใช้โปรโตคอลอีเมลที่ปลอดภัย (เช่นให้แน่ใจว่า POP / IMAP / SMTP ของคุณปลอดภัยด้วย SSL)
• อย่าเปิดใช้งานการแชร์ไฟล์ Windows (SMB) หรือ sshd (เป็นพอร์ตที่ถูกโจมตีมากที่สุดสองพอร์ต)
• เปิดใช้งานการเข้ารหัส WPA2 บนเครือข่าย Wi-Fi ในบ้านของคุณ
• อย่าแม้แต่ไปที่เว็บไซต์ที่ไม่น่าเชื่อถือ

คุณเริ่มต้นได้ดี แต่อย่างที่คนอื่นพูดถึงคุณจะเริ่มเสียเปรียบถ้าผู้ใช้สามารถติดตั้งซอฟต์แวร์ได้ ฉันจะไม่แนะนำให้ใช้ download.com; ผู้ใช้ควรถามโปรแกรมที่แก้ปัญหาแทนที่จะพยายามค้นหาด้วยตนเอง (เว้นแต่ส่วนใหญ่จะเป็นนักพัฒนาซอฟต์แวร์หรือผู้ที่เข้าใจค่อนข้างดี) การลบสิทธิ์ของผู้ดูแลระบบจะแก้ไขปัญหานี้ได้

เพิ่ม:

1. ใช้รหัสผ่านที่แตกต่างกันสำหรับไซต์ส่วนใหญ่และใช้รหัสผ่านที่ปลอดภัยสำหรับบางประเภทในการติดตามพวกเขา (KeePass, PWSafe ฯลฯ ) ทำตามวิธีที่อีเมลของ MediaDefender ถูกแฮ็กและถามผู้ใช้ว่ามาตรการป้องกันการบุกรุกได้อย่างไร ไม่เคยใช้รหัสผ่านโดเมนที่ทำงานของคุณที่อื่นและอย่าส่งต่อจดหมาย / ปริมาณการใช้งานของ บริษัท ผ่านระบบที่ไม่น่าเชื่อถือ
2. เลือกรหัสผ่านที่ซับซ้อนอย่างเหมาะสม ทำการถอดรหัสแบบสดโดยใช้ John the Ripper บนแฮชของรหัสผ่านตัวอย่าง (ตรวจสอบให้แน่ใจว่าได้รับอนุญาตให้ใช้เครื่องมือถอดรหัสในการเขียนจาก บริษัท ก่อน แสดงผู้ใช้ว่า 'PRISCILLA1' มีรอยร้าวใน <2 วินาทีเป็นเครื่องเปิดตา เราใช้นโยบายรหัสผ่านของ Anixis ที่นี่เพื่อให้แน่ใจว่ารหัสผ่านที่มีหมัดไม่เข้า
3. อย่าเสียบอะไรก็ตามที่ไม่ได้จัดเตรียมไว้ให้โดยฝ่ายไอที แสดงให้เห็นถึงจุดโดยเสียบปลั๊ก Keylogger USB หรือหนึ่งการทำงานอัตโนมัติของโทรจัน (ควรเปิดใช้งานการทำงานอัตโนมัติ แต่นั่นเป็นอีกเรื่องหนึ่ง)
4. สมมติว่าทราฟฟิกทั้งหมดในเครือข่ายทั้งหมดถูกติดตามและบันทึกที่ปลายทั้งสองด้านแม้ว่าจะเข้ารหัสเพื่อป้องกันการโจมตีของ MitM WikiScannerเป็นตัวอย่างที่ดีของการใช้ที่อยู่ IP กับนิ้วที่แก้ไข "ไม่ระบุชื่อ"