Пользователь и его компьютер - одна из главных угроз! Чеклист по защите “пользователя”
Процесс создания комплексной системы защиты компании пугает своим объемом и сложностью. Но если разложить его на отдельные “кирпичики”, то из них легко сложить паззл и получить по-настоящему работающую безопасность.
Чеклисты понятны для реализации, по ним легко пройтись и выбрать необходимое, отметить то, что уже реализовано, а что не актуально для своей модели угроз, не боясь, что что-то будет забыто.
В этом чеклисте разбираем одну из самых важных составляющих любой ИТ системы компании - защита конечных точек или персональных компьютеров пользователей. Вектор атаки через пользователей в настоящее время самый популярный, его боятся все компании.
Например, в одной компании, которая разрабатывала и продавала программное обеспечение для управления проектами по всему миру, однажды обнаружили, что система была взломана, а злоумышленники получили доступ к конфиденциальной информации о проектах и будущих разработках.
Подробное расследование показало, что причиной взлома стало отсутствие должной защиты компьютеров менеджеров, которые активно использовали электронную почту и запустили вредоносный файл из фишингового письма потенциального клиента. Запустившись, вирус обеспечил хакерам удаленный доступ к корпоративной сети компании, где конфиденциальная информация хранилась также с нарушениями по разделению доступа. Последствия - штрафы, потеря репутации и контрактов от действующих клиентов.
- Антивирусная защита — программное обеспечение для обнаружения и удаления вредоносных программ. Не даст простейшим вирусам запуститься на компьютере. Must have!
- EPP (EndPoint Protection) с IPS, Web фильтрацией - можно сказать, что это расширенный антивирус с персональным МСЭ (межсетевой экран) — устройство или программа для фильтрации сетевого трафика на компьютере. Отлично подходит для персонального использования или совсем небольших стартапов, но требует подготовки (обучения) сотрудника. Для средних и крупных компаний рекомендуется использовать полноценное отдельное устройство для контроля трафика сразу всех компьютеров, которые будут собраны в общий пользовательский сегмент - NGFW обязательная защита на уровне сети!
- Шифрование диска — технология защиты данных на жёстком диске с помощью шифрования. Спасет в том случае, если конфиденциальная информация хранится на переносных устройствах для командировок, презентаций и есть риск их потери или кражи. В случае наличия шифрования злоумышленники не смогут восстановить данные.
- Резервное копирование — процесс создания копий важных данных на случай их потери или повреждения. Рекомендуется иметь несколько уровней резервных копий - локальная, общая сетевая, а также облачный вариант. Должно работать по регулярному процессу - минимум 1 раз в месяц. А вообще все важные документы должны хранится централизованно и их перемещение должно отслеживаться DCAP агентами.
- DLP (Data Loss Prevention) — система предотвращения утечек данных, которая отслеживает и контролирует перемещение конфиденциальной информации. Также система мониторит деятельность пользователя на устройстве и позволяет бороться с инсайдерами - внутренними нарушителями, а также мошенническими схемами и сговором.
- Контроль программ и настроек операционной системы при удалённых подключениях к ресурсам компании — механизм проверки и ограничения запуска программ на компьютерах сотрудников при удалённом доступе. Обычно реализуется на базе NAC (а также может быть встроен в PAM / SSL VPN).
- Двухфакторная аутентификация при удалённых подключениях — дополнительный уровень защиты, требующий подтверждения личности пользователя с помощью второго фактора (например, кода из SMS или push уведомления).
- следование лучшим практикам при настройке компьютера - например, обновление программ (и самой ОС), отказ от работы под привилегированной учетной записью (использование UAC и подобных механизмов повышения привилегий), базовая настройка безопасности (hardening) компьютера, изменение названия учеток по умолчанию, отключение ненужных служб, регулярная оптимизация и чистка от ненужных файлов, программ и данных.
- Обучение (awareness) в области информационной безопасности для сотрудников. Как минимум: борьба с фишингом, правила выполнения требований регуляторов, соблюдения внутренних инструкций и политик. Например:
- обязательная блокировка компьютера сотрудниками, особенно в общих помещениях, где есть “открытый доступ” (open space), когда они отходят от него, не оставлять запущенные программы.
- Работа с почтой — обучение правилам безопасного использования электронной почты, включая защиту от спама и фишинга.
- Сообщение об инцидентах безопасности - что делать, если компьютер ведет себя странно или попалось подозрительное письмо от как будто-то клиента.
- Удалённый доступ — регламенты безопасного удалённого доступа к ресурсам компании.
- Работа в интернете — обучение правилам безопасного поведения в интернете, включая защиту от онлайн-мошенничества, вирусов, соблюдения требований внутреннего распорядка… и др.
Постарались сделать этот перечень исчерпывающим, чтобы охватить все основные аспекты безопасности при защите рабочих мест. Если у вас есть добавления или дополнения - напишите об этом нам на почту или оставьте заявку для обратной связи!