Да защитим информацията като предпазим служителите от самите тях
В предишна статия – за “Social engineering”, споменах за начини по които служтилите могат да бъдат атакувани и че е наше основно задължение да им обясним много подробно защо трябва да се спазват определени политики за сигурност. Една секретарка много по-лесно ще запомни правилата за поведение в мрежата ако и се покаже компрометиране на компютър на живо или на видео, отколкото ако и се даде да прочете 100-страничната политика за сигурност на компанията. (едно такова видео можете да видите на http://www.offensive-security.com/movies/ani/ani.html) Вместо правила от типа “недей”, опитайте да изработите такива от типа “недей, защото”. Знам че е по-лесно просто да въведете правилата за ISO сертификация по сигурността, но тази допълнителна стъпка ще е страхотна инвестиция в собствените ви служители и тяхното поведение.
Освен явната нужда от едно по-активно и различно обучение, ясно се очертава (поне от това което аз съм видял) нуждата и от различен подход при самото имплементиране на политиките за сигурност.
Знам за случаи (от много близък опит) когато служител нарушава политики за сигурност и причинява загуби, само защото не му е било обяснено на човешки език какви негови действия до какви последствия за компанията могат да доведат. Да, по-лесно е просто да му дадем принтираната политика, но не е ефективно. Един разговор на прекия началник с всеки новопостъпил не само ще укрепи доверието и уважението на служителя в началството, но и ще му даде допълнителен стимул да пази фирмените активи. Това би предотвратило огромен процент от инциденти свързани със сигурността и определено си заслужава “загубеното” време.
Друг много добър подход, особено от страна на ИТ мениджмънта, е да се покаже много ясно че за никой няма изключения – нито за висшия мениджмънт, нито за обикновения мрежови администратор – ако има правило да се работи основно с Guest акаунт, не може да има недосегаеми за правилата които постоянно работят като локални администратори. Няма човек който да има нужда да инсталира софтуер толкова често на компютъра си, че да не може да използва Run As, особено след като има програми които улесняват тази сложна последователност от действия.
Ако за всички правилото е “Никакви торенти, порнография, Skype и гледане на филми”, но въпреки всичко хората въвели това правило го нарушават, те самите трябва да поемат отговорност за действията си. Например, да подпишат допълнение под договора си за работа, че ако нарушат политиката за сигурност на компанията и от това последват загуби на информация или други щети, те ще поемат цялата отговорност, включително и финансова. Защото ако някой реши да атакува дадена компания и знае, че всички секретарки работят с Guest акаунт и не могат да правят промени по системата си, естествено няма да праща вируси на тях, а на хората които имат пълен достъп до мрежата! Администраторите би трябвало да знаят по-добре и да не допускат такива пробиви, но практиката показва точно обратното. Ако има дупка в сигурността, никой няма да се опитва да си бие главата в стената, когато може просто да се възползва от предоставената му възможност – широко отворената врата на момчето от ИТ отдела… Просто не мога да поставя достатъчно ударение върху това: администраторите и хората с власт са първите атакувани, винаги! Пазете системите до които имат достъп!
Прекалено много станаха сайтовете възползващи се в уязвимости във всички популярни браузъри пощенски клиенти, за да продължим да си позволяваме лукса на изключенията.
Обикновено системите за защита от спам блокират мейли, съдържащи приложения или архиви, както и връзки към сайтове за виагра и тн. Всеки може да прецени дали има нужда и от допълнителна защита – софтуер следящ за IP адреси зад хиперлинкове в HTML, както и за това откъде идва писмото – т.нар. gray или blacklisting.
Освен защитата на изходяща и входяща поща, (дано не прозвучи като реклама) – искрено бих препоръчал софтуер от рода на WebSense – колкото и да търся, не намерих по-добра алтернатива на уеб прокси зад което стои сериозна организация, денонощно обновяваща базите си данни с опасни сайтове. Освен това, такава система щи ви позволи да контролирате навиците на браузване в компанията – например, никокой няма да може да чете вицове повече от 30 минути на ден, да не говорим за подробни репорти за това кой как се държи в мрежата.
Като алтернатива, повечето компании за които знам ползват SQUID – безплатно решение с отворен код, което обаче трябва ръчно да се настройва за всеки сайт който не искате потребителите ви да посещават. Отново – никой не би трябвало да има валидна причина да достъпва IP адрес през http протокол без този адрес да е асоцииран с домейн – затова, директно блокирайте директен достъп до IP адреси през браузър (за които не е поискан резолвинг) чрез regex настройка на squid.
Aко аз избирах политика за сигурност бих препоръчал следното: всеки URL който потребител въведе и за който няма запис в базата от позволени сайтове, се изпраща за одобрение на администратора на уеб проксито – и само след това този адрес ще може да бъде достъпен от вътрешната мрежа. Изглежда сложно, но не е – изисква 1-2 седмици работа, а резултата от гледна точка на сигурността и продуктивността на служителите, е просто красив! Същото може да се отнесе и до защитната стена – в повечето организации, тя позволява всички връзки отвътре навън, но забранява всичко отвън навътре, с малки изключения (каквито не би трябвало да има изобщо, ако се използва port knocking и други подобни техники). По-добро решение е да се забраняват и всички връзки отвътре навън, като се позволяват само изключения – говорим за абсолютно всички протоколи във всеки OSI слой. Един обикновен PING навън може да изнася по 64 килобайта данни в секунда през covert channel… затова, само предварително одобрени изключения само за одобрени адреси.
Всеки може да донесе USB устройство и да изнесе ценни данни от компанията – освен за служители за които е абсолютно необходимо, това действие може да се забрани с Active Directory политика, както и със специализиран софтуер – първият вариант е широко описан в Интернет, ще трябва просто да създадете собствени политики в AD които по default не са налични.
Тези които трябва да използват USB устройства за запис, имат нужда от инструктаж за използване на програми за криптиране, като безплатната TrueCrypt. Ясно е, че ако някой проникне през системите за физически контрол чрез tailgating и не бъде спрян от служител играта приключва, но това все пак са само 1% от всички атаки – останалите 99% от случаите на загуба и компрометиране на информация са причинени от служители.
За да предотвратите случаи на tailgating, инструктирайте служителите да не пропускат никой през системите за контрол (такива с RFID карти и подобни), независимо дали човекът носи табла пълна с кафета или кашони заемащи ръцете му – ако някой иска да влезе и ръцете му за заети, всеки който му отвори вратата е длъжен да го изпрати до мястото за където се е запътил и да му поиска пропуск. Ако няма пропуск, задължително се екскортира до отдела по сигурността – не до охраната. Защо? Защото охраната просто ще го пусне, а вие не искате да пропуснете възможността да попитате нарушителя кой го праща, нали така? Всеки отворил вратата пред човек без пропуск, или пропуснал го със своя пропуск, или пропуснал го пред/зад себе си – би трябвало да бъде глобен, а всеки който поиска легитимация при опит за влизане без пропуск трябва да получи награда за това. След първите 2-3 тренировъчни опита и двама-трима наградени и наказани, цялата организация ще осъзнае важността на системите за физическа сигурност. Този 1% инциденти свързани с пробив на сигурността отвън, има потенциала да донесе загуби колкото и останалите 99% инциденти свързани с вътрешни хора. Още едно допълнение: този 1% за който говоря, са доказани пробиви в сигурността. Какво е доказан пробив? Проваленият пробив. Колко са недоказаните? Никой не знае, просто същността на информацията е такава, че колкото и копия да направиш, оригиналът остава непокътнат. Затова, физическите пробиви в сигурността, както и случаите в които служител чрез неправилно поведение довежда до компрометиране на информация (отваряне на линк със заразен сайт, атачмънт, или нелоялно поведение) трябва да се сведат до абсолютен минимум. Отново, ако някой достъпи вътрешната мрежа чрез вирус или експлоатира електронните системи за сигурност и проникне в мрежата през Интернет, той все пак може да бъде спрян чрез грамотно изготвени политики и настройки на всяко устройство във вътрешната мрежа. Но ако някой получи физически достъп до мрежата – GAME OVER.