Защита пользователей от самих себя

Published on Февраль 2, 2009 by   ·   Комментариев нет

Будучи ИТ администратором, советником безопасности и компьютерным специалистом, в вашем списке должно быть совсем небольшое количество проблемных моментов для сегодняшней работы в сети, которые важнее безопасности. На борьбу с проблемами безопасности, несущими угрозу нашим сетям, сегодня тратятся огромные ресурсы, миллионы долларов, тысячи человек/часов и уйма времени на настройку компьютеров. К сожалению, ничего кроме реальности не сможет заставить вас задуматься о том, как на самом деле работает хорошее решение. Недавние исследования доказали, что хотя безопасность стала ключевым моментом для ИТ персонала, пользователи все еще находят способы того, как нарушить эту безопасность. Для всех этих проблем есть решения, а вы применяете их?

Как ваши пользователи относятся к безопасности

В конце 2007 года компания RSA проводила исследование. Опрос проводился специалистами-технологами на улицах Бостона и Вашингтона. Опрашивались обычные корпоративные пользователи Америки, им задавались обычные рутинные вопросы по поводу того, как они относятся к безопасности и о пользовательской практике обеспечения безопасности в офисах. Поскольку Бостон и Вашингтон являются большими городами с большим количеством огромных корпораций, количество которых превышает количество государственных учреждений, для исследования было набрано достаточное количество голосов. Исследование, в первую очередь, было сконцентрировано на том, как пользователи используют и получают доступ к корпоративным данным, и как они подходят к физическому доступу к компьютерам и ресурсам компании. Результаты опроса показаны в таблице 1.

Таблица 1: Результаты опроса пользователей по поводу безопасности в офисе
Тема вопроса Процент сотрудников предприятий Процент сотрудников правительства
Доступ к рабочему почтовому ящику через общественные беспроводные хот-споты 64 37
Потеря ноутбука, смартфона или USB флеш-накопителя 8 8
Отправка рабочих документов на личный почтовый ящик, чтобы иметь доступ к ним из дома 61 68
Внутренние беспроводные сети для использования на конференциях и гостевых офисах, оставленные открытыми для использования без логина 19 0
Держали дверь открытой на работе для кого-то, кого они не узнали 32 35
Забыли свою ключ-карту и были впущены в здание кем-то, кто их не знает 42 34
Замечали незнакомых лиц, работающих в пустом офисе на территории здания 21 41
Спрашивали удостоверение или рассказывали о незнакомых лицах 28 63
Сменили должность в рамках одного предприятия и до сих пор имеют доступ к учетным записям и ресурсам, в которых для них больше нет необходимости 33 34
Выходили в ту область корпоративной сети, к которой, по их мнению, не должны иметь доступа 20 29

Как видно из результатов этого опроса, количество денег, времени и усилий, затраченных на обучение сотрудников технологии безопасности и ресурсов, не приносят желаемых результатов. Однако если применять корректные физические, логические и прописные политики, многих из этих проблем можно будет избежать, даже если пользователь решает игнорировать соответствующие процедуры безопасности.

Физическая безопасность

Каждый профессионал в сфере ИТ понимает, что если физическая безопасность компании скомпрометирована, ресурсы, находящиеся под защитой, могут быть подвержены угрозе гораздо быстрее. Учитывая вопросы, заданные в исследовании, вот некоторые решения, способные помочь искоренить проблемы, связанные с физической безопасностью.

Держали дверь открытой на работе для незнакомых лиц?Забыли ключ-карту и были впущены в здание лицом, которое их не знает?

  • Используйте идентификационные карты сотрудников.
  • Используйте политику в письменном виде, которая заставит сотрудников носить и предъявлять свои ID карты постоянно.
  • Устанавливайте считывающие устройства ID карт на каждом входе в здание, а также двери с ключами внутри здания.
  • Поставьте охранника на главном входе для проверки ID карт.
  • Установите камеры у всех внешних дверей, а также внутри здания у дверей, для которых требуется ключ-карта.

Заметили незнакомых лиц работающих в пустом офисе на территории здания? Попросили предъявить удостоверение или другим способом представиться?

  • Всех посетителей, равно как и сотрудников, необходимо принуждать носить беджи ID на протяжении всего времени пребывания в здании.
  • Если сотрудники и посетители будут иметь удостоверения, будет значительно проще отслеживать лиц, которые незаконно находятся в здании.
  • Сотрудники должны иметь стимул сообщать о незнакомых лицах в здании и заставлять их носить идентификационные беджи.
  • Знаки, напоминания, памятки и т.д. должны быть повсеместно, чтобы постоянно напоминать всем о том, что они должны носить ID карты.

Логическая безопасность

Даже учитывая такой огромный наплыв спама, вредоносного ПО, вирусов, Троянов и т.д., которые ассоциируются с электронной почтой, сотрудники все еще не обращают внимания на негативные последствия злоупотребления электронной почтой. Внедрение более строгих условий безопасности для электронной почты и прочего сетевого доступа поможет защитить сеть от пользователей, которые не используют хорошие методы безопасности.

Входите на рабочий почтовый ящик через общественные беспроводные хот-споты?

  • Не предоставляйте никакого доступа к e-mail за пределами компании, если он не использует VPN или защищенное соединение.
  • Настройте почтовый сервер на проверку и использование аутентификации только для локальной сети.
  • Не позволяйте пользователям подключаться к своим рабочим компьютерам удаленно, если только они сначала не используют VPN.

Отправляют рабочие документы на личный почтовый ящик, чтобы иметь к ним доступ из дома?

  • Используйте шифрование на все исходящие сообщения.
  • Настройте фильтры уровня прикрепленных документов для всех исходящих сообщений. Это может не пропускать определенные типы файлов, а также содержимое прикрепленных документов.
  • Блокируйте на корпоративных брандмауэрах принятие POP3, IMAP и прочие методы принятия электронной почты, входящей из-за пределов почтового сайта сотрудника.
  • Внедряйте прописную политику, запрещающую пользователям использовать личные почтовые ящики в рабочее время.
  • Используйте наглядные обучающие методы о том, какую угрозу для компании могут представлять собой внешние почтовые сайты.

Внутренняя беспроводная сеть, используемая для конференций и гостевых офисов компании, осталась открытой для доступа без логина?

  • Настройте все беспроводные точки доступа на использование одного или лучше всех нижеприведенных пунктов: — Не передавать SSID, — Использовать фильтрацию MAC адресов, — Использовать более высокий уровень безопасности, такой как WPA и WPA2, — Применять RADIUS сервер для аутентификации, как показано на рисунке 1 (пример для одной точки доступа).
  • Использовать смарт-карты для любого доступа беспроводной сети.

    Какую угрозу представляет открытая беспроводная сеть?

    Рисунок 1: Безопасность беспроводной сети может использовать предварительно переданные ключи и RADIUS сервер для аутентификации

Поменяли должность в рамках компании и все еще имеют доступ к ресурсам компании, в которых для них больше нет необходимости?

  • Используйте процедуры найма и смены работы, которые будут принуждать владельцев ресурсов предоставлять информацию о доступе сотрудников к ресурсам.
  • Используйте группы с ограниченным доступом, локальных пользователей и групп в групповой политике, чтобы контролировать принадлежность сотрудников к группам, как показано на рисунке 2.
  • Используйте делегирование администрации в Active Directory, чтобы ограничивать уровень прав администрирования членов групп.
  • Выполняйте регулярный аудит принадлежности к группам безопасности.

    Защита от самого себя

    Рисунок 2: Принадлежностью к локальным группам можно управлять с помощью PolicyMaker, в Windows Server 2008 или Windows Vista SP1

Вышли в ту область корпоративной сети, к которой у них не должно быть доступа?

  • Используйте стимулирующие программы для продвижения методик безопасности, например, области сети, настроенные некорректно.
  • Убедитесь, что NTFS разрешения настроены на всех сетевых ресурсах так, чтобы включать только соответствующие группы безопасности.
  • Используйте только проверенные методы пользователей и групп в Active Directory. Как правило, пользовательские учетные записи помещаются в группы с присвоенными именами и используемыми для группировки однотипных пользователей, расположенных в Active Directory. Затем эти группы помещаются в другие группы с присвоенными именами и используемыми для назначения разрешений, расположенных в Active Directory или локальные группы, расположенные на сервере с ресурсами. Наконец, ресурс настраивается в соответствии с группами, используемыми для назначения разрешений.
  • Используйте Access Based Enumeration (перечисление на основе доступа) для всех серверов Windows Server 2003, на которых хранятся данные.

Резюме

Многие из этих мер и решений ориентированы на прописную политику. Прописная политика должна быть строгой и четкой касаемо возможных нарушений и последствий несоответственного поведения. Для внедрения безопасности с помощью технических средств некоторые решения потребуют изменения того, как пользователи получают доступ к сети и данным. Безопасность никогда не была простой, веселой и без жалоб. Однако если ей вовремя не уделить внимания, многие компании закончат так же, как и те, что показаны на рисунке 1, который указывает на практически полное отсутствие безопасности.

Источник www.windowsecurity.com


Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]