Dziesięć najważniejszych wskazówek bezpieczeństwa dla nietechnicznych użytkowników

10

W tym tygodniu prowadzę prezentację dla pracowników firmy, w której pracuję. Celem prezentacji jest odświeżenie / przypomnienie dobrych praktyk, które mogą pomóc w utrzymaniu bezpieczeństwa naszej sieci. Publiczność składa się zarówno z programistów, jak i personelu nietechnicznego, więc prezentacja skierowana jest do użytkowników nietechnicznych.

Chcę, aby część tej prezentacji była pierwszą listą „wskazówek”. Lista musi być krótka (aby zachęcić pamięć) oraz musi być szczegółowa i odpowiednia dla użytkownika.

Do tej pory mam pięć następujących elementów:

  • Nigdy nie otwieraj załącznika, którego się nie spodziewałeś
  • Pobieraj oprogramowanie tylko z zaufanego źródła, takiego jak download.com
  • Nie rozpowszechniaj haseł na żądanie przez telefon lub e-mail
  • Uważaj na socjotechnikę
  • Nie przechowuj wrażliwych danych na serwerze FTP

Kilka wyjaśnień:

  • To jest dla naszej sieci pracy
  • Muszą to być „najlepsze praktyki” dla użytkownika końcowego, a nie polityka IT
  • Mamy kopie zapasowe, poprawki systemu operacyjnego, zapory ogniowej, AV itp., Wszystkie centralnie zarządzane
  • To jest dla małej firmy (mniej niż 25 osób)

Mam dwa pytania:

  1. Czy sugerujesz jakieś dodatkowe przedmioty?
  2. Czy sugerujesz jakieś zmiany w istniejących elementach?
networking security desktop-management Justin
źródło
1
To pytanie należy do superuser.com - a przynajmniej powinna to być Wiki Wiki
Mark Henderson
Zakładając, że jest to część polityki bezpieczeństwa działu IT, nie zgadzam się. Mój dział IT napisał niektóre materiały i przeszkolił osobę szkolącą do corocznego szkolenia bezpieczeństwa użytkowników końcowych.
Warner
3
Przynajmniej jest to po prostu kolejna wersja „Your Favorite (x)”, która naprawdę powinna być wiki społeczności
Mark Henderson
@Farseeker: Zgadzam się.
@Farseeker - to nie jest pytanie superuser.com. To jest dla sieci służbowej.
Justin

Odpowiedzi:

7

Wygląda na to, że możesz być osobą spoza działu IT próbującą edukować swoich rówieśników. Chociaż jest to dobra rzecz i coś, co zachęcam, Twój dział IT powinien kierować się standardami i zasadami bezpieczeństwa.

Szkolenie to powinno służyć jako środek do egzekwowania i informowania o przyczynach już istniejących zasad bezpieczeństwa. Jeśli nie ma pisemnego dokumentu polityki bezpieczeństwa, powinno być.

Wiele rzeczy, które wymieniasz, nie powinno podlegać kontroli użytkowników końcowych. Na przykład przeciętny mniej techniczny użytkownik końcowy nie powinien mieć możliwości instalowania oprogramowania na swojej stacji roboczej. Podejrzewam, że w firmie istnieje wiele problemów związanych z obsługą, konfiguracją i złośliwym oprogramowaniem, którym można łatwo zapobiec dzięki polityce, jeśli to możliwe.

Jeśli podstawy nie są jeszcze napisane i egzekwowane przez zasady IT, są to kwestie, które należy rozwiązać przed podjęciem próby edukowania użytkowników. Niektóre zasady ukierunkowane na użytkownika końcowego obejmują:

  • Najmniej uprawnień niezbędnych do wykonywania funkcji zadania
  • Aktualizacje oprogramowania są wykonywane automatycznie z uwzględnieniem ryzyka bezpieczeństwa
  • Standardy bezpieczeństwa egzekwowane przez zasady (IE. Ustawienia przeglądarki internetowej)
  • Wygaśnięcie hasła (90 dni)
  • Wymuszanie siły hasła (alfanumeryczne, mieszane, 9+ znaków itp.)
  • Nie można użyć ostatnich 5 haseł
  • Szyfrowanie pamięci urządzenia przenośnego (laptopa)
  • Polityka klasyfikacji danych
  • Polityka dyktująca przetwarzanie danych zastrzeżonych i poufnych zgodnie z definicją w polityce klasyfikacji.
  • Polityka usuwania danych
  • Polityka dostępu do danych
  • Zasady dotyczące urządzeń przenośnych

Istnieje mnóstwo dodatkowych zasad i procedur, które dotyczą zarówno właściwego rozwoju, jak i utrzymania technicznego w ramach grup infrastruktury. (Kontrola zmian, przegląd kodu, standardy systemowe i wiele innych).

Po utworzeniu wszystkich fundamentów pracownicy powinni otrzymać kopie pisemnej polityki bezpieczeństwa i odpowiednie byłoby również szkolenie dotyczące tej polityki. Obejmowałoby to najlepsze praktyki użytkowników końcowych, zarówno egzekwowane technicznie, jak i nie. Niektóre z nich obejmują:

  • Postępowanie z zastrzeżonymi i poufnymi informacjami w ramach działalności gospodarczej.
    • Nie wysyłaj wiadomości e-mail ani nie przesyłaj niezaszyfrowanych, usuwaj je we właściwy sposób itp.
  • Obsługa haseł.
    • Nie zostawiaj napisane pod klawiaturą, na postach zauważa, udostępnia itp.
  • Nie udostępniaj kont ani danych uwierzytelniających. (Jeszcze raz)
  • Nie pozostawiaj odblokowanych stacji roboczych lub niezabezpieczonej własności firmy (danych) (laptopy)
  • Nie uruchamiaj oprogramowania bez uwzględnienia
    • Takich jak załączniki do wiadomości e-mail.
  • Ryzyko i scenariusze związane z inżynierią społeczną
  • Obecne trendy złośliwego oprogramowania mające zastosowanie w firmie lub branży.
  • Zasady i ryzyko specyficzne dla firmy lub branży.
  • Edukacja ogólna dotycząca tego, jak (jeśli) są monitorowani
  • Jak IT egzekwuje zasady bezpieczeństwa pod względem technicznym i administracyjnym.

W PCI DSS przykłady wielu najlepszych praktyk w zakresie polityki bezpieczeństwa. Ponadto książka „Praktyka administracji systemami i sieciami” obejmuje podstawowe najlepsze praktyki dotyczące bezpieczeństwa IT.

Warner
źródło
Dlaczego zostało to przegłosowane?
Warner
Dzięki za miłą odpowiedź. Mamy dobre zasady itp., Które są podpisane. Dla jasności szukam dobrej listy najlepszych wskazówek, które pomogą w zachowaniu, które zwiększa bezpieczeństwo użytkowników końcowych. (Nie mamy problemów ze złośliwym oprogramowaniem / wirusami itp. Nie rozumiem całego zamieszania związanego z byciem lokalnym administratorem. W artykule, który czytałem kilka lat temu, jest to ustawienie domyślne jako MSFT corp.)
Justin
Głosowanie w dół było moim błędem, ale nie mogę tego zmienić. Myślę, że jeśli edytujesz swoją odpowiedź (dodaj spację lub coś), mogę to naprawić.
Justin
Ach fajnie, dzięki. To było trochę rozczarowujące! Spędziłem trochę czasu na odpowiedzi. Jeśli chodzi o lokalną administrację, zgadzam się z tobą. To zależy od firmy i środowiska technologicznego. Okazało się, że użytkownicy końcowi czasami nie mają problemów z administracją w firmach technicznych lub grupach wysoce technicznych. Widziałem, jak działają obie strony spektrum. Mój kolega jest odpowiedzialny za intranet, na który składają się pracownicy nieposiadający umiejętności technicznych, a firma wymaga od nich administratora, w którym regularnie ma do czynienia z problemami złośliwego oprogramowania w różnych skalach.
Warner
Nie martw się, naprawiłem to :)
l0c0b0x
2

Moja najważniejsza wskazówka (której powoli uczę ludzi) to odmiana twojego nr 1:

Wiedz, jak sprawdzić, skąd tak naprawdę pochodzi wiadomość e-mail, i sprawdzić każdą najmniej dziwną wiadomość.

W przypadku programu Outlook oznacza to umiejętność wyświetlania nagłówków internetowych i znaczenia linii Odebrane od.

Dla personelu nietechnicznego pobieranie i instalowanie oprogramowania nie jest (i powiedziałbym, że nie powinno ) być opcją, nie powinni mieć dostępu administratora do instalowania oprogramowania. Nawet programiści, którym udostępniamy uprawnienia administratora, zdecydowanie zachęcamy ich do skontaktowania się z działem IT przed pobraniem i zainstalowaniem.

W przypadku haseł zawsze powtarzam radę Bruce'a Schneiera: hasła powinny być wystarczająco mocne, aby zrobić coś dobrego, a aby poradzić sobie z trudnością ich zapamiętania, możesz zapisać je na kartce papieru i zachować w portfelu - traktuj kartę hasła jak kartę kredytową i umieć je anulować (zmienić), jeśli stracisz portfel.

W zależności od tego, ile posiadasz laptopów i jak je tworzysz, zamieściłem wskazówkę dotyczącą bezpiecznego przechowywania danych na laptopach. Jeśli nie masz systemu do tworzenia kopii zapasowych / replikacji danych na laptopach w sieci, powinieneś, a jeśli masz system, upewnij się, że użytkownicy laptopów wiedzą, jak to działa. Zgubiony lub skradziony laptop pełen danych to - przynajmniej - ból w dupie.

Totem - Przywróć Monikę
źródło
Dzięki. Mamy dobre kopie zapasowe. Zamierzamy wdrożyć udziały TrueCrypt, aby chronić dane na laptopach. Zdecydowanie warto wymienić silne hasła i przykłady. Dzięki.
Justin
Jeśli chcesz mnie przekonać, że wiadomość e-mail jest prawdziwa, dołącz tekst w treści, aby mógł się z tobą połączyć.
David Thornley
2

Zdefiniuj słabe i silne hasło i daj im kilka dobrych sposobów na wymyślenie i zapamiętanie silnych haseł.

Drugi punkt wydaje się wskazywać, że użytkownicy mogą instalować oprogramowanie na swoich komputerach. Powiedziałbym, że w większości przypadków jest to problem. Ale jeśli wolno im instalować oprogramowanie, warto to omówić.

Upewnij się, że masz przykłady inżynierii społecznej. To pomaga im wiedzieć, czego szukać i trochę ich przeraża, aby być bardziej paranoikiem. Lubię prosić ludzi, aby zastanowili się, co zrobiliby, gdyby znaleźli pamięć USB na chodniku tuż przed biurem. Większość uczciwych ludzi podniosłaby go i podłączyła do komputera, aby sprawdzić, czy coś na dysku zidentyfikuje właściciela. Większość nieuczciwych ludzi zrobi to samo ... ale prawdopodobnie po to, aby sprawdzić, czy jest coś dobrego przed usunięciem, aby go użyć. Niezależnie od tego, czy jest to autorun, złośliwe pliki PDF itp., Jest to dość prosty sposób na posiadanie komputera w wybranej firmie, zainstalowanie rejestratora naciśnięć klawiszy itp.

3dinfluence
źródło
Twój przykład klucza USB jest dobry, ostrzeżenie przed użyciem i niewłaściwym użyciem kluczy USB powinno być jedną z jego wskazówek.
Totem - Przywróć Monikę
Dzięki. Re: przykłady inżynierii społecznej, tak, zwykle lubię mówić o schowku + niewidoczności kombinezonu roboczego. USB jest świetnym przykładem.
Justin
2

Co powiesz na

  • Dbaj o pełną aktualizację systemu operacyjnego i aplikacji. Dotyczy to także głównych wersji, przynajmniej raz, gdy główna wersja miała kilka miesięcy na dojrzewanie. W pełni załatany XP SP3 z w pełni załatanym IE6 jest wciąż znacznie mniej bezpieczny niż Windows 7 z IE8 (lub jeszcze lepiej, Chrome).
  • Unikaj popularnych systemów operacyjnych i aplikacji - są one o wiele bardziej prawdopodobne. Jeśli możesz uniknąć kluczowych produktów Microsoft (Windows, IE, Outlook, Office, WMP), Apple (iTunes, Quicktime) i Adobe (Flash, czytnik PDF), znacznie mniej prawdopodobne jest, że zostaniesz narażony na szwank przez zdecydowaną większość aktywne exploity tam.
  • Aktualizuj swój program antywirusowy (pakiet anty-malware) i regularnie skanuj.
  • Dbaj o aktualność i działanie zapory osobistej.
  • Używaj bezpiecznych protokołów e-mail (tzn. Upewnij się, że Twój POP / IMAP / SMTP jest zabezpieczony SSL).
  • Nie włączaj udostępniania plików Windows (SMB) ani sshd (są to dwa najczęściej atakowane porty).
  • Włącz szyfrowanie WPA2 w domowej sieci Wi-Fi.
  • Nie odwiedzaj nawet niewiarygodnych stron internetowych.
Spiff
źródło
Zakładam, że pytanie dotyczy sieci korporacyjnej, więc aktualizacje, ustawienia AV, sieci bezprzewodowej i zapory powinny być problemem IT, a nie użytkownika.
Wygląda na to, że jest to sieć korporacyjna, w której użytkownicy mogą pobierać / instalować własne oprogramowanie, biorąc pod uwagę wskazówkę „Tylko pobieraj oprogramowanie z zaufanego źródła, np. Download.com” w pierwotnym pytaniu. Dlatego uważam, że moja rada dotycząca aktualizowania oprogramowania jest ważna. Ponadto wiele korpusów pozwala laptopom będącym własnością korporacji wracać do domu (i podróżować) z użytkownikami, więc bezpieczeństwo sieci domowej jest również ważne.
Spiff
To nasza sieć pracy, tak. Poprawki, zapora ogniowa, kopie zapasowe itp. Są obsługiwane na poziomie zespołu GPO / IT. Ważne są jednak aktualizacje własnego oprogramowania. Wspomnę o tym.
Justin
+ Niezaufana strona internetowa jest dobra.
Justin
1

Masz dobry początek, ale jak wspomnieli inni, zaczynasz w niekorzystnej sytuacji, jeśli użytkownicy mogą zainstalować oprogramowanie. Nie sugerowałbym korzystania z download.com; zamiast tego użytkownicy powinni poprosić dział IT o program, który rozwiązuje ich problem, zamiast próbować samodzielnie go znaleźć (chyba że większość z nich jest programistami lub jest dość bystra). Usunięcie uprawnień administratora rozwiązuje ten problem.

Wzbogacenie:

  1. Używaj różnych haseł do większości witryn i używaj pewnego rodzaju Bezpiecznych haseł, aby je śledzić (KeePass, PWSafe itp.). Zobacz, jak włamano się do wiadomości e-mail MediaDefender i zapytaj użytkowników, jakie środki zapobiegłyby włamaniu. Nigdy nie używaj swojego hasła do domeny służbowej nigdzie indziej i nie przesyłaj poczty / ruchu firmowego przez niezaufane systemy.
  2. Wybierz dość złożone hasła. Wykonaj crack na żywo za pomocą John the Ripper na przykładowym haszu hasła (upewnij się, że najpierw uzyskasz pozwolenie na używanie narzędzi do crackowania PISEMNIE od firmy, na wypadek, gdyby ludzie zareagowali nadmiernie). Pokazanie użytkownikom, że „PRISCILLA1” pęka w ciągu <2 sekund, jest atrakcyjnym wyborem. Używamy tutaj Anixis 'Password Policy Enforcer, aby upewnić się, że kiepskie hasła się nie dostają.
  3. Nie podłączaj niczego, co nie zostało Ci dostarczone przez IT. Zilustruj tę kwestię, podłączając pamięć USB Keylogger lub autorautora trojana (autorun powinien być wyłączony, ale to inna historia).
  4. Załóżmy, że cały ruch we wszystkich sieciach jest śledzony i rejestrowany na obu końcach, nawet jeśli jest szyfrowany, aby zapobiec atakom MitM. WikiScanner jest dobrym przykładem użycia adresów IP do palca, który dokonał „anonimowych” edycji.
hurfdurf
źródło
Jesteśmy małą firmą, więc nie mamy pełnoetatowego działu IT. Jednak dobre wskazówki. Dzięki.
Justin