В неотдавнашен доклад австралийското министерство на отбраната заявява, че 85% от целевите нарушения са могли да бъдат предотвратени чрез прилагането на само четири контролни механизма(http://www.asd.gov.au/infosec/mitigationstrategies.htm).
Цитирам доклада:
Най-малко 85% от целенасочените кибератаки, на които реагира Австралийската дирекция за сигнали (ASD), могат да бъдат предотвратени, ако се следват 4-те основни стратегии за смекчаване на последиците, изброени в нашите Стратегии за смекчаване на последиците от целенасочени кибератаки:
- използвате бял списък на приложенията, за да предотвратите стартирането на злонамерен софтуер и неодобрени програми.
- пач приложения като Java, PDF браузъри, Flash, уеб браузъри и Microsoft Office.
- поправяне на уязвимости на операционната система
- ограничаване на административните привилегии на операционните системи и приложенията въз основа на задълженията на потребителите.
Точно върху това се фокусира тази книга, заедно с някои допълнителни мерки, които трябва да ви помогнат да намалите до… ще бъда смел и ще кажа 98% от атаките, с които може да се сблъскате.
От съществено значение е да защитите правилно възлите в мрежата – сървъри и крайни точки. Колкото по-строги са политиките за това какво, как и къде може да се използва, толкова по-трудно е да се въведе злонамерен елемент и да се наруши сигурността на операциите ви.
Установете някои основни правила, първото и най-важното от които трябва да бъде извършването на ежедневни задачи във всяка операционна система като ограничен акаунт. Това се отнася за всички потребители, но най-вече за ИТ администраторите.
Политиките трябва да бъдат настроени така, че да предотвратяват изпълнението и инсталирането на неизвестни изпълними файлове/софтуер, когато се работи с ограничен акаунт. А когато работи като администратор, на административния потребител трябва да бъде забранен достъпът до интернет на ниво прокси сървър.
Не бива да има ИЗКЛЮЧЕНИЯ от горното правило, независимо колко бунтове и оплаквания ще получите – от опит мога да потвърдя, че ИТ администраторите могат да свикнат да работят по този начин и наистина свикват – след време не само го приемат, но ако си свършите работата и обясните причините по подходящ начин, те ще го наложат на своите неспазващи и непокорни колеги.
Причината за това е противоречива, но честна. Потребителите с администраторски права се смятат за знаещи и опитни – затова са получили администраторски права, нали? Грешка. Често администраторите са прекалено самоуверени и сърфират в интернет като администратори, без да имат представа за рисковете от сърфирането. След това някои от тях изтеглят приложения, “за да улеснят живота си”, и въвеждат зловреден софтуер в компанията. Оттук произтича необходимостта от ограничаване на достъпа до интернет за административните акаунти и необходимостта администраторите да работят като ограничени потребители. Ако трябва да изтеглят и изпълнят нещо, те могат да го изтеглят като малък акаунт и да го стартират като администратор.
Правило номер две: не се допускат никакви външни устройства, освен издадени от компанията, криптирани и разрешени чрез идентификатор на устройство, съотнесен към идентификатор на потребител. Свързването на смартфон или таблет към корпоративен лаптоп за прехвърляне на файлове би трябвало да е невъзможно.
Изпълнението на код от външни устройства трябва да бъде забранено от правилата. Копирането на изпълними файлове от външно устройство на локалния диск трябва да бъде незабавно засечено, ако е разрешено – и ако това се случи, трябва да се изпрати предупреждение до административния екип на ИТ, последвано от създаване на инцидент със сигурността. Деактивирането на функциите AutoPlay/AutoRun би трябвало да е безпроблемно и се предполага, че е въведено отдавна.
Правило номер 3: Папката “Моите документи” на всеки потребител трябва да бъде в мрежов дял. Това усилие има за цел да даде възможност за централизирано архивиране (освен ако не разполагате с други решения) и да предотврати “катастрофата на Sony”, в случай че организацията ви бъде атакувана от разрушителен/криптиращ зловреден софтуер. Ако това се случи, трябва да разполагате с резервно копие, за да възстановите бързо първоначалните версии на криптираните файлове.
Правило номер 4: архивирайте всичко, което можете, колкото се може по-често.
Правило номер 5: Това е по-скоро препоръка, но ако можете, създайте клонинг на стандартна настолна машина, готов за влизане в нея, с автоматично конфигуриране на пощенски клиент и т.н. – въз основа на влезлия в системата потребителски акаунт. Разположете го в Amazon или друг доставчик на облачни услуги, готов да бъде клониран в толкова копия, колкото ви трябват в случай на бедствие. Направете същото и за критичните сървъри. Ако в организацията ви настъпи бедствие, можете бързо да се включите и да работите от облака. Наличието на изключени копия на виртуални машини в облака, готови за клониране и включване, е изключително евтино в сравнение с поддържането на студен, топъл или горещ сайт с физически устройства.
