Teknik olmayan kullanıcılar için en iyi on güvenlik ipucu

10

Bu hafta ileride çalıştığım şirketteki personele bir sunum yapıyorum. Sunumun amacı ağımızı güvende tutmaya yardımcı olabilecek iyi uygulamaların tazelenmesi / hatırlatıcısı olarak hizmet vermektir. İzleyici hem programcılardan hem de teknik olmayan personelden oluşur, bu nedenle sunum teknik olmayan kullanıcılar için hazırlanmıştır.

Bu sunumun bir kısmının "ipuçları" nın en iyi listesi olmasını istiyorum. Listenin kısa olması (hafızayı özendirmek için) ve kullanıcıya özel ve alakalı olması gerekir.

Şimdiye kadar aşağıdaki beş öğeye sahibim:

  • Asla beklemediğiniz bir eki açmayın
  • Yazılımı yalnızca güvenilir bir kaynaktan indirin, örneğin download.com
  • Telefon veya e-posta yoluyla istendiğinde şifreleri dağıtmayın
  • Sosyal mühendisliğe karşı dikkatli olun
  • Hassas verileri bir FTP sunucusunda saklamayın

Bazı açıklamalar:

  • Bu bizim iş ağımız için
  • Bunlar, BT politikası için değil, son kullanıcı için "en iyi uygulamalar" ipuçları olmalıdır
  • Tüm merkezi olarak yönetilen yedeklemeler, işletim sistemi yamaları, güvenlik duvarı, AV vb.
  • Bu küçük işletmeler içindir (25 kişiden az)

İki sorum var:

  1. Ek ürün öneriliyor musunuz?
  2. Mevcut öğelerde herhangi bir değişiklik öneriyor musunuz?
networking  security  desktop-management 
Justin
kaynak
1
Bu soru superuser.com'da yer alıyor - ve en azından Topluluk Wiki'si olmalı
Mark Henderson
Bunun BT departmanı güvenlik politikasının bir parçası olduğunu varsayarsak, katılmıyorum. BT departmanım materyalin bir kısmını yazdı ve eğitim elemanını yıllık son kullanıcı güvenliği eğitimi için eğitti.
Warner
3
En azından "Favori (x)" in başka bir versiyonu, gerçekten topluluk wiki olmalı
Mark Henderson
@ Farekeker: Katılıyorum.
@ Farseeker - bu bir superuser.com sorusu değil. Bu bir iş ağı içindir.
Justin

Yanıtlar:

7

IT dışında, meslektaşlarınızı eğitmeye çalışan bir kişi olabilirsiniz. Bu iyi bir şey ve teşvik ettiğim bir şey olsa da, BT departmanınız güvenlik standartlarını ve politikalarını yönlendiriyor olmalıdır.

Bu eğitim, halihazırda yürürlükte olan güvenlik politikalarının ardındaki nedenleri yeniden uygulamaya ve eğitmeye yönelik bir araç olmalıdır. Yazılı bir güvenlik politikası belgesi yoksa olmalıdır.

Listelediğiniz şeylerin çoğu son kullanıcıların kontrolü dahilinde olmamalıdır. Örneğin, ortalama daha az teknik son kullanıcı iş istasyonlarına yazılım yükleyememelidir. Şirket içinde, mümkünse politika tarafından kolayca önlenebilecek çok sayıda destek, yapılandırma ve kötü amaçlı yazılım sorunu olduğundan şüpheleniyorum.

Temel bilgiler BT politikası tarafından henüz yazılmamış ve uygulanmıyorsa, bunlar kullanıcıları eğitmeye çalışmadan önce ele alınması gereken sorunlardır. Son kullanıcı odaklı politikalardan bazıları şunlardır:

  • İş işlevini yerine getirmek için en düşük ayrıcalıklar
  • Güvenlik riskine dikkat edilerek otomatik olarak yapılan yazılım güncellemeleri
  • Politika tarafından uygulanan güvenlik standartları (IE. Web tarayıcı ayarları)
  • Parolanın geçerlilik süresi (90 gün)
  • Parola gücü uygulaması (Alfasayısal, karışık harf, 9+ karakter, et cetera)
  • Son 5 şifre kullanılamıyor
  • Taşınabilir aygıt (dizüstü bilgisayar) depolama şifrelemesi
  • Veri sınıflandırma politikası
  • Sınıflandırma politikasında tanımlanan kısıtlı ve gizli verilerin işlenmesini dikte eden politika.
  • Veri bertaraf politikası
  • Veri erişim politikası
  • Taşınabilir cihaz politikası

Altyapı gruplarında hem uygun geliştirme hem de teknik bakım için geçerli olan sayısız ek politika ve prosedür vardır. (Kontrolü, kod incelemesini, sistem standartlarını ve çok daha fazlasını değiştirin.)

Tüm vakıf kurulduktan sonra, çalışanlara yazılı güvenlik politikasının bir kopyası sağlanmalı ve bu politikaya ilişkin eğitim de uygun olacaktır. Bu, hem teknik olarak uygulanan hem de olmayan son kullanıcı en iyi uygulamalarını kapsayacaktır. Bunlardan bazıları:

  • Kısıtlı ve gizli bilgilerin işin bir parçası olarak ele alınması.
    • E-posta göndermeyin veya şifrelenmemiş olarak göndermeyin, uygun şekilde imha etmeyin, vb.
  • Şifrelerin kullanımı.
    • Klavyenin altında yazılı olarak bırakmayın, notları paylaşın, paylaşın, vb.
  • Hesapları veya kimlik doğrulama verilerini paylaşmayın. (Tekrar)
  • İş istasyonlarını açık bırakmayın veya şirket mülkünü (veri) güvenli değil (dizüstü bilgisayarlar)
  • Yazılımı dikkate almadan çalıştırmayın
    • E-posta ekleri gibi.
  • Sosyal mühendisliği çevreleyen riskler ve senaryolar
  • İşletme veya endüstri için geçerli güncel kötü amaçlı yazılım eğilimleri.
  • İşletmeye veya sektöre özgü politikalar ve riskler.
  • Nasıl izlendiklerine (eğer) ilişkin genel eğitim
  • BT'nin güvenlik politikalarını teknik ve idari olarak nasıl uyguladığı.

PCI DSS örnekler güvenlik politikaları ile ilgili birçok iyi uygulamaları. Ayrıca, Sistem Uygulamaları ve Ağ Yönetimi kitabı , BT güvenliği ile ilgili temel en iyi uygulamaları da içermektedir.

Warner
kaynak
Bu neden oy kullanıldı?
Warner
Düşünceli cevap için teşekkürler. İmzalanmış iyi politikalarımız vb. Var. Açık olmak gerekirse, son kullanıcılarda güvenliği artıran davranışların geliştirilmesine yardımcı olacak en iyi ipuçlarının bir listesini arıyorum. (Kötü amaçlı yazılım / virüs sorunumuz yok, vb. Yerel yönetici olma konusundaki tüm karışıklıkları anlamıyorum. Birkaç yıl önce okuduğum bir makaleden bu MSFT corp olarak varsayılan ayardır.)
Justin
Aşağı oylama benim hatamdı, ama değiştiremiyorum. Cevabınızı düzenlerseniz (boşluk veya başka bir şey eklerseniz) bunu düzeltebilirim.
Justin
Ah güzel, teşekkürler. Biraz cesaret kırıcı oldu! Cevabımda biraz zaman geçirdim. Yerel yönetici ile ilgili olarak, size biraz katılıyorum. Şirkete ve teknoloji ortamına bağlıdır. Son kullanıcıların bazen teknik şirketlerde veya yüksek teknik gruplarda yönetici ile iyi oldukları gösterilmiştir. Spektrum çalışmasının her iki tarafını da gördüm. Bir meslektaşım, teknik beceriye sahip olmayan çalışanlardan oluşan bir intranetten sorumludur ve iş, düzenli olarak değişen ölçeklerde kötü amaçlı yazılım sorunlarıyla uğraşması gereken yönetici sahibi olmasını gerektirir.
Warner
Endişeye gerek yok, ben düzelttim :)
l0c0b0x
2

En iyi ipucum (yavaş yavaş insanlara öğretmeyi yönettiğim), # 1'inizin bir varyasyonudur:

Bir e-postanın gerçekte nereden geldiğini ve en az garip olan mesajları kontrol etmeyi öğrenin.

Outlook için, bu, İnternet başlıklarının nasıl görüntüleneceğini ve Alınan Kimden satırlarının ne anlama geldiğini bilmek anlamına gelir.

Teknik olmayan personelin için indirme ve yükleme yazılımı (ve söyleyebilirim değildir olmamalıdır olmak) bir seçenek, onlar yazılımı yüklemek için yönetici erişimi olmamalıdır. Yönetici erişimi verdiğimiz programcılar için bile, indirip yüklemeden önce BT ile kontrol etmelerini şiddetle tavsiye ederiz.

Parolalar için her zaman Bruce Schneier'in tavsiyesini tekrarlarım: parolalar iyi olacak kadar güçlü olmalı ve onları hatırlamakta zorluklarla başa çıkmak için bunları bir kağıda yazabilir ve cüzdanınızda tutabilirsiniz - parola kartınıza benzer şekilde davranın kredi kartınızı kullanın ve cüzdanınızı kaybederseniz bunları nasıl iptal edeceğinizi (değiştireceğinizi) bilin.

Sahip olduğunuz dizüstü bilgisayar sayısına ve bunları nasıl yedeklediğinize bağlı olarak, dizüstü bilgisayarlardaki verileri güvende tutma hakkında bir ipucu ekleyeceğim. Dizüstü bilgisayarınızdaki verileri ağınıza yedeklemek / çoğaltmak için bir sisteminiz yoksa, bir sisteminiz varsa, dizüstü bilgisayar kullanıcılarının nasıl çalıştığını bildiklerinden emin olmalısınız. Veri dolu kayıp veya çalınan bir dizüstü bilgisayar - en azından kıçta bir acıdır.

Bölüm Ward - Monica.
kaynak
Teşekkürler. Yerinde iyi yedeklemeler var. Dizüstü bilgisayarlardaki verileri korumak için TrueCrypt paylaşımlarını dağıtacağız. Güçlü şifreler + örnekler kesinlikle kayda değer. Teşekkürler.
Justin
Beni bir e-postanın gerçek olduğuna ikna etmek istiyorsanız, gövdeye bazı metinler ekleyin, böylece sizinle bağlantı kurabilirim.
David Thornley
2

Zayıf ve güçlü bir parolanın ne olduğunu tanımlayın ve onlara güçlü parolalar bulup hatırlamak için iyi yollar verin.

İkinci noktanız, kullanıcıların bilgisayarlarına yazılım yüklemelerine izin verildiğini gösteriyor. Çoğu durumda bunun bir sorun olduğunu söyleyebilirim. Ancak yazılım yüklemelerine izin verilirse, kapsaması iyi bir noktadır.

Sosyal mühendislik örneklerine sahip olduğunuzdan emin olun. Bu, neyi arayacaklarını bilmelerine yardımcı olur ve daha paranoyak olmaları için onları korkutur. İnsanlardan ofis dışında hemen kaldırımda bir USB flaş sürücü bulduklarında ne yapabileceklerini düşünmelerini istiyorum. En dürüst insanlar onu alıp sürücüdeki bir şeyin sahibinin kim olduğunu belirleyip belirlemeyeceğini görmek için bilgisayarlarına takarlardı. Çoğu sahtekâr insan aynı şeyi yapar ... ama muhtemelen sadece kullanmak için silmeden önce üzerinde iyi bir şey olup olmadığını görmek için. Her iki durumda da otomatik çalıştırma, kötü amaçlı pdf'ler vb. Aracılığıyla, seçtiğiniz bir şirket içinde bir bilgisayara sahip olmak, bir tuş kaydedici vb.

3dinfluence
kaynak
USB anahtar örneğiniz iyi, USB anahtarların kullanımı ve yanlış kullanımı hakkında bir uyarı muhtemelen ipuçlarından biri olmalıdır.
Ward - Monica'yı
Teşekkürler. Re: sosyal enginerring örnekleri, evet, ben genellikle pano + iş tulum görünmezlik hakkında konuşmak istiyorum. USB harika bir örnektir.
Justin
2

Ne dersin

  • İşletim sisteminizi ve uygulamalarınızı tamamen güncel tutun. Bu, büyük sürümleri de içerir, en azından büyük bir sürümün olgunlaşması için birkaç ay geçirdikten sonra. Tamamen yamalı bir IE6 çalıştıran tam yamalı bir XP SP3, IE8 (veya daha iyisi Chrome) çalıştıran Windows 7'den daha az güvenlidir.
  • Popüler işletim sistemlerinden ve uygulamalardan kaçının - bunlardan yararlanma olasılığı daha yüksektir. Önemli Microsoft (Windows, IE, Outlook, Office, WMP), Apple (iTunes, Quicktime) ve Adobe (Flash, PDF okuyucu) ürünlerinden kaçınabiliyorsanız, orada aktif istismarlar.
  • Virüsten koruma yazılımınızı (kötü amaçlı yazılımdan koruma yazılımı) güncel tutun ve düzenli olarak tarayın.
  • Kişisel güvenlik duvarınızı güncel ve çalışır durumda tutun.
  • Güvenli e-posta protokolleri kullanın (ör. POP / IMAP / SMTP'nizin SSL güvenli olduğundan emin olun).
  • Windows dosya paylaşımını (SMB) veya sshd'yi (en çok saldırıya uğrayan iki bağlantı noktasıdır) etkinleştirmeyin.
  • Ev Wi-Fi ağınızda WPA2 şifrelemesini etkinleştirin.
  • Güvenilmez web sitelerini bile ziyaret etmeyin.
Spiff
kaynak
Sorunun bir şirket ağı ile ilgili olduğunu varsayıyorum, bu yüzden güncellemeler, AV, Kablosuz ve güvenlik duvarı ayarları kullanıcının değil BT'nin sorunu olmalı.
Aslında, orijinal Sorudaki "Yalnızca güvenilir bir kaynaktan, download.com gibi bir yazılımı indirin" ipucu verildiğinde, kullanıcıların kendi yazılımlarını indirmelerine / yüklemelerine izin verdikleri kurumsal bir ağ gibi görünüyor. Bu yüzden, yazılımınızı güncel tutmaya ilişkin ipucumun önemli olduğunu düşünüyorum. Ayrıca, birçok birlik, şirkete ait dizüstü bilgisayarların kullanıcılarla eve gitmesine (ve seyahat etmesine) izin verir, bu nedenle ev ağı güvenliği de geçerlidir.
Mart'ta Spiff
Bu bizim iş ağımız, evet. Yamalar, güvenlik duvarı, yedeklemeler, vb. GPO / BT ekibi düzeyinde gerçekleştirilir. Bununla birlikte, kendi yazılımları için güncellemeler önemlidir. Bundan bahsedeceğim.
Justin
+ Güvenilmez web sitesi iyi bir web sitesidir.
Justin
1

İyi bir başlangıç ​​yaptınız, ancak diğerlerinin de belirttiği gibi, kullanıcılar yazılım yükleyebilirlerse dezavantajlı bir şekilde başlıyorsunuz. Ben download.com kullanmanızı tavsiye etmem; bunun yerine, kullanıcılar BT'yi kendileri bulmaya çalışmak yerine problemlerini çözen bir program istemelidir (çoğu geliştirici veya oldukça bilgili olmadıkça). Yönetici haklarını kaldırmak bu sorunu çözer.

İlaveler:

  1. Çoğu site için farklı şifreler kullanın ve bunları takip etmek için bir çeşit Güvenli Şifre kullanın (KeePass, PWSafe vb.). MediaDefender'ın e-postasının nasıl saldırıya uğradığını inceleyin ve kullanıcılara hangi önlemlerin izinsiz girişi önleyeceğini sorun. Çalışma alanı parolanızı asla başka hiçbir yerde kullanmayın ve şirket postalarını / trafiğini güvenilir olmayan sistemler üzerinden iletmeyin.
  2. Oldukça karmaşık şifreler seçin. Örnek bir şifre karması üzerinde John the Ripper'ı kullanarak canlı bir çatlak yapın (insanların aşırı tepki göstermesi durumunda önce şirketten YAZMAKTA çatlama araçlarını kullanma iznini aldığınızdan emin olun). Kullanıcılara '2 saniyede' PRISCILLA1 'ın kırıldığını göstermek göz açıcıdır. Burada kötü şifrelerin girmediğinden emin olmak için Anixis'in Şifre Politikası Uygulayıcısını kullanıyoruz.
  3. BT tarafından size sağlanmayan hiçbir şeyi takmayın. Bir Keylogger USB çubuğu veya bir Truva Atı'nı otomatik olarak kapatarak noktayı gösterin (otomatik çalıştırma devre dışı bırakılmalıdır, ancak bu başka bir hikaye).
  4. MitM saldırılarını önlemek için şifrelenmiş olsa bile, tüm ağlardaki tüm trafiğin her iki uçta da izlendiğini ve günlüğe kaydedildiğini varsayın. WikiScanner , "anonim" düzenlemeler yapan parmaklara IP adreslerinin kullanılmasına iyi bir örnektir.
hurfdurf
kaynak
Küçük bir işletmeyiz, bu yüzden tam zamanlı bir BT departmanımız yok. Gerçi iyi ipuçları. Teşekkürler.
Justin
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.