Mười mẹo bảo mật hàng đầu cho người dùng không có kỹ thuật

Tôi sẽ thuyết trình vào cuối tuần này cho các nhân viên tại công ty nơi tôi làm việc. Mục tiêu của bài thuyết trình là phục vụ như một người bồi dưỡng / người nhắc lại các thực hành tốt có thể giúp giữ an toàn cho mạng của chúng tôi. Khán giả được tạo thành từ cả lập trình viên và nhân viên phi kỹ thuật, vì vậy bài thuyết trình hướng đến người dùng không có kỹ thuật.

Tôi muốn một phần của bài trình bày này là một danh sách hàng đầu của "mẹo". Danh sách cần phải ngắn (để khuyến khích bộ nhớ) và phải cụ thể và phù hợp với người dùng.

Tôi có năm mục sau đây cho đến nay:

• Không bao giờ mở tệp đính kèm mà bạn không mong đợi
• Chỉ tải xuống phần mềm từ một nguồn đáng tin cậy, như download.com
• Không phân phối mật khẩu khi được yêu cầu qua điện thoại hoặc email
• Hãy cảnh giác với kỹ thuật xã hội
• Không lưu trữ dữ liệu nhạy cảm trên máy chủ FTP

Một số làm rõ:

• Đây là cho mạng lưới công việc của chúng tôi
• Đây cần phải là những mẹo "thực hành tốt nhất" cho người dùng cuối, không phải chính sách CNTT
• Chúng tôi có bản sao lưu, bản vá hệ điều hành, tường lửa, AV, v.v., tất cả được quản lý tập trung
• Đây là một doanh nghiệp nhỏ (dưới 25 người)

Tôi có hai câu hỏi:

1. Bạn có đề nghị bất kỳ mục bổ sung?
2. Bạn có đề xuất bất kỳ thay đổi cho các mục hiện có?

Có vẻ như bạn có thể là một người bên ngoài CNTT đang cố gắng giáo dục các đồng nghiệp của bạn. Mặc dù đây là một điều tốt và là điều tôi khuyến khích, bộ phận CNTT của bạn nên điều khiển các tiêu chuẩn và chính sách bảo mật.

Khóa đào tạo này sẽ phục vụ như một phương tiện để thực thi lại và giáo dục về các lý do đằng sau các chính sách bảo mật đã có. Nếu không có một tài liệu chính sách bảo mật bằng văn bản, thì nên có.

Nhiều thứ bạn liệt kê không nên nằm trong tầm kiểm soát của người dùng cuối. Ví dụ, người dùng cuối ít kỹ thuật trung bình sẽ không thể cài đặt phần mềm trên máy trạm của họ. Tôi nghi ngờ có nhiều vấn đề về hỗ trợ, cấu hình và phần mềm độc hại trong công ty có thể dễ dàng bị ngăn chặn bởi chính sách nếu có thể.

Nếu các nguyên tắc cơ bản chưa được viết và thi hành bởi chính sách CNTT, đây là những vấn đề cần được giải quyết trước khi cố gắng giáo dục người dùng. Một số chính sách tập trung vào người dùng cuối bao gồm:

• Đặc quyền tối thiểu cần thiết để thực hiện chức năng công việc
• Cập nhật phần mềm tự động được thực hiện với sự chú ý đến rủi ro bảo mật
• Các tiêu chuẩn bảo mật được thi hành bởi chính sách (IE. Cài đặt trình duyệt web)
• Mật khẩu hết hạn (90 ngày)
• Thực thi mật khẩu (Chữ và số, trường hợp hỗn hợp, 9+ ký tự, et cetera)
• Không thể sử dụng 5 mật khẩu mới nhất
• Mã hóa lưu trữ thiết bị di động (máy tính xách tay)
• Chính sách phân loại dữ liệu
• Chính sách ra lệnh xử lý dữ liệu bị hạn chế và bí mật như được xác định trong chính sách phân loại.
• Chính sách xử lý dữ liệu
• Chính sách truy cập dữ liệu
• Chính sách thiết bị di động

Có vô số chính sách và thủ tục bổ sung áp dụng cho cả phát triển kỹ thuật và bảo trì kỹ thuật trong các nhóm cơ sở hạ tầng. (Thay đổi kiểm soát, xem xét mã, tiêu chuẩn hệ thống và nhiều hơn nữa.)

Sau khi tất cả các nền tảng được đưa ra, nhân viên nên được cung cấp các bản sao của chính sách bảo mật bằng văn bản và đào tạo xung quanh chính sách đó cũng sẽ phù hợp. Điều này sẽ bao gồm các thực tiễn tốt nhất của người dùng cuối cả về mặt kỹ thuật và thực thi. Một số trong số này bao gồm:

• Xử lý thông tin hạn chế và bí mật như là một phần của kinh doanh.
  • Không gửi e-mail hoặc truyền không được mã hóa, xử lý đúng cách, et cetera.
• Xử lý mật khẩu.
  • Đừng để lại dưới bàn phím, trên bài viết ghi chú, chia sẻ, et cetera.
• Không chia sẻ tài khoản hoặc dữ liệu xác thực. (Lần nữa)
• Không để máy trạm được mở khóa hoặc tài sản của công ty (dữ liệu) không được bảo đảm (máy tính xách tay)
• Đừng chạy phần mềm mà không xem xét
  • Chẳng hạn như tập tin đính kèm e-mail.
• Rủi ro và kịch bản xung quanh kỹ thuật xã hội
• Xu hướng phần mềm độc hại hiện tại áp dụng cho doanh nghiệp hoặc ngành công nghiệp.
• Chính sách và rủi ro cụ thể cho doanh nghiệp hoặc ngành công nghiệp.
• Giáo dục chung về cách thức (nếu) họ được theo dõi
• Làm thế nào CNTT thực thi các chính sách bảo mật về mặt kỹ thuật và hành chính.

Các PCI DSS nhiều ví dụ thực hành tốt nhất liên quan đến chính sách bảo mật. Ngoài ra, cuốn sách Thực hành Hệ thống và Quản trị mạng bao gồm các thực tiễn cơ bản nhất về bảo mật CNTT.

Mẹo hàng đầu của tôi (mà tôi đang dần quản lý để dạy mọi người) là một biến thể của # 1 của bạn:

Biết cách kiểm tra email thực sự đến từ đâu và kiểm tra bất kỳ thư nào ít lạ nhất.

Đối với Outlook, điều đó có nghĩa là biết cách hiển thị các tiêu đề Internet và các dòng Nhận từ có nghĩa là gì.

Đối với nhân viên phi kỹ thuật, việc tải xuống và cài đặt phần mềm không phải là một tùy chọn, họ không nên có quyền truy cập quản trị viên để cài đặt phần mềm. Ngay cả đối với các lập trình viên mà chúng tôi cấp quyền truy cập cho quản trị viên, chúng tôi rất khuyến khích họ kiểm tra CNTT trước khi tải xuống và cài đặt.

Đối với mật khẩu, tôi luôn nhắc lại lời khuyên của Bruce Schneier: mật khẩu phải đủ mạnh để làm tốt và để giải quyết khó khăn khi nhớ chúng, bạn có thể viết chúng ra một tờ giấy và giữ trong ví của bạn - hãy đối xử với thẻ mật khẩu của bạn như thẻ tín dụng và biết cách hủy (thay đổi) chúng nếu bạn mất ví.

Tùy thuộc vào số lượng máy tính xách tay của bạn và cách bạn sao lưu chúng, tôi sẽ bao gồm một mẹo về việc giữ an toàn dữ liệu trên máy tính xách tay. Nếu bạn không có hệ thống để sao lưu / sao chép dữ liệu trên máy tính xách tay vào mạng của mình, bạn nên và nếu bạn có một hệ thống, bạn nên đảm bảo rằng người dùng máy tính xách tay biết cách hoạt động của nó. Một máy tính xách tay bị mất hoặc bị đánh cắp đầy dữ liệu là - ít nhất là - một nỗi đau ở mông.

Xác định mật khẩu yếu và mạnh là gì và cung cấp cho họ một số cách hay để tìm và nhớ mật khẩu mạnh.

Điểm thứ hai của bạn dường như cho thấy rằng người dùng được phép cài đặt phần mềm trên máy tính của họ. Tôi muốn nói rằng đó là một vấn đề trong hầu hết các trường hợp. Nhưng nếu họ được phép cài đặt phần mềm thì đó là một điểm tốt để che đậy.

Hãy chắc chắn rằng bạn có ví dụ về kỹ thuật xã hội. Điều này giúp họ biết những gì cần tìm và sợ họ một chút để hoang tưởng hơn. Tôi muốn yêu cầu mọi người nghĩ về những gì họ sẽ làm nếu họ tìm thấy một ổ USB trên vỉa hè ngay bên ngoài văn phòng. Hầu hết những người trung thực sẽ nhặt nó lên và cắm nó vào máy tính của họ để xem liệu thứ gì đó trên ổ đĩa sẽ xác định ai là chủ sở hữu. Hầu hết những người không trung thực sẽ làm điều tương tự ... nhưng có lẽ chỉ để xem liệu có bất cứ điều gì tốt trên nó trước khi xóa nó để sử dụng nó. Cả hai trường hợp thông qua autorun, pdf độc hại, v.v ... đó là một cách khá dễ dàng để sở hữu một máy tính trong một công ty bạn chọn, cài đặt một bộ ghi chép gõ phím, v.v.

Thế còn

• Luôn cập nhật hệ điều hành và ứng dụng của bạn. Điều này bao gồm các phiên bản chính quá, ít nhất một lần một phiên bản chính đã có một vài tháng để trưởng thành. XP SP3 được vá hoàn toàn chạy IE6 được vá hoàn toàn vẫn kém an toàn hơn nhiều so với Windows 7 chạy IE8 (hoặc tốt hơn là Chrome).
• Tránh các hệ điều hành và ứng dụng phổ biến - chúng có nhiều khả năng bị khai thác hơn. Nếu bạn có thể tránh các sản phẩm chính của Microsoft (Windows, IE, Outlook, Office, WMP), Apple (iTunes, Quicktime) và Adobe (Flash, PDF reader), bạn sẽ ít bị ảnh hưởng bởi đại đa số khai thác tích cực ngoài kia.
• Luôn cập nhật phần mềm chống vi-rút (bộ chống phần mềm độc hại) và quét thường xuyên.
• Giữ tường lửa cá nhân của bạn cập nhật và chạy.
• Sử dụng các giao thức email an toàn (nghĩa là đảm bảo POP / IMAP / SMTP của bạn được bảo mật SSL).
• Không bật chia sẻ tệp Windows (SMB) hoặc sshd (đó là hai cổng bị tấn công nhiều nhất).
• Kích hoạt mã hóa WPA2 trên mạng Wi-Fi tại nhà của bạn.
• Thậm chí không truy cập các trang web không đáng tin cậy.

Bạn có một khởi đầu tốt, nhưng như những người khác đã đề cập, bạn sẽ bắt đầu bất lợi nếu người dùng có thể cài đặt phần mềm. Tôi sẽ không đề xuất sử dụng download.com; thay vào đó, người dùng nên yêu cầu IT cho một chương trình giải quyết vấn đề của họ thay vì cố gắng tự tìm một chương trình (trừ khi hầu hết là các nhà phát triển hoặc khá hiểu biết). Loại bỏ quyền quản trị giải quyết vấn đề này.

Bổ sung:

1. Sử dụng các mật khẩu khác nhau cho hầu hết các trang web và sử dụng một số loại Mật khẩu an toàn để theo dõi chúng (KeePass, PWSafe, v.v.). Xem qua cách email của MediaDefender bị hack và hỏi người dùng những biện pháp nào có thể ngăn chặn sự xâm nhập. Không bao giờ sử dụng mật khẩu miền công việc của bạn ở bất kỳ nơi nào khác và không chuyển tiếp thư / lưu lượng truy cập của công ty qua các hệ thống không tin cậy.
2. Chọn mật khẩu phức tạp. Thực hiện bẻ khóa trực tiếp bằng cách sử dụng John the Ripper trên hàm băm mật khẩu mẫu (đảm bảo được phép sử dụng các công cụ bẻ khóa trong VIẾT từ công ty trước, trong trường hợp mọi người phản ứng thái quá). Hiển thị cho người dùng rằng 'PRISCILLA1' bị bẻ khóa trong <2 giây là một công cụ mở mắt. Chúng tôi sử dụng Trình thực thi chính sách mật khẩu của Anixis tại đây để đảm bảo mật khẩu tệ hại không xâm nhập.
3. Đừng cắm bất cứ thứ gì mà CNTT không cung cấp cho bạn. Minh họa điểm này bằng cách cắm vào USB Keylogger hoặc tự động kích hoạt một Trojan (tự động tắt sẽ bị vô hiệu hóa, nhưng đó là một câu chuyện khác).
4. Giả sử tất cả lưu lượng truy cập trên tất cả các mạng được theo dõi và ghi lại ở cả hai đầu, ngay cả khi được mã hóa để ngăn chặn các cuộc tấn công MitM. WikiScanner là một ví dụ điển hình về việc sử dụng địa chỉ IP cho ngón tay đã thực hiện các chỉnh sửa "ẩn danh".