Как упорядочить защиту
4 августа 2020
В качестве затравки – цитата со специализированного форума:
Недавно у меня появились новые обязанности, обеспечивать информационную безопасность.
И в качестве первой задачи, я получил такую:
"обеспечить безопасность, точнее недоступность информации в файлах word от сотрудников имеющих административные права на компьютере с сохранением возможности удалённого подключения для оказания срочной помощи".
Что посоветуете?
И новость:
Огромное количество самых звездных акканутов Твиттера вчера было взломано (Ким Кардашьян, Илон Маск, Джеф Безос, Билл Гейтс, Барак Обама, Уоррен Баффет и другие). От их лица было опубликовано объявление о раздаче биткоинов небывалой щедрости.
На текущий момент на кошелёк злоумышленников было отправлено 11 биткоинов — чуть больше 100 тысяч долларов.
Как-то без особой фантазии: всего лишь раздача криптовалюты. Думаем, если бы от лица Трампа выложили файл с компроматом, а Ким пообещала бы приобнажиться за определенную сумму, успех был бы куда бо́льшим.
Собственно, эта новость не заслуживала бы никакого внимания (что мы, взломов аккаунтов соцсетей не видели?), если бы не один нюанс:
Владелец биржи Gemini Кэмерон Уинклвосс отмечает, что на аккаунте была включена двухфакторная авторизация и использовался сильный пароль.
В этот раз мошенники получили доступ к аккаунтам не из-за слабого пароля. Первоначально утверждалось, что произошел взлом внутренних учетных записей сотрудников компании. Ниже мы приводим скриншот и ссылку. На данный момент они уже, к сожалению, недоступны.
Затем появились версии о шантаже и подкупе. Так или иначе, администраторы сети имели возможность доступа к данным клиентов. И, кстати, пользовались этим.
Сотрудники сервиса микроблогов Twitter на протяжении нескольких лет взламывали профили известных людей, используя свое положение в компании и внутренние инструменты, недоступные обычным пользователям.
«Хакеры» использовали корпоративное ПО, изначально предназначавшееся для сброса паролей к профилям и регистрации нарушений правил Twitter. Они быстро поняли, что его можно применять и для слежки за владельцами микроблогов, и их внимание привлекли аккаунты селебрити.
Это позволяло «хакерам» иметь легкий доступ к личным данным знаменитостей и даже отслеживать их местоположение, хотя и с определенной погрешностью. Текущее место дислокации той или иной селебрити они могли вычислить по IP-адресу, с которого они подключались к аккаунту.
Со временем «игра», которую затеяли контрактные сотрудники Twitter, приобрела массовый характер. Они стали отслеживать не только знаменитостей, но также политиков и бывших возлюбленных.
Причина взлома – администраторы сети, имевшие доступ к данным. В случае соцсетей и разного рода форумов наличие такого доступа логично: они обязаны фильтровать записи, удалять их в случае несоответствия своим требованиям:
В общем, было бы странно, если бы сама компания владелец сервиса не имела возможности редактировать и писать что-то.
Но в других случаях это выглядит неразумно. В вашей компании информация хранится в базе данных, и доступ пользователей возможен только к конкретным записям? Администратор в любом случае имеет доступ ко всей базе данных. Вы разместили данные в дата-центре? Отлично, теперь еще и сотрудники датацентра могут получить к ним доступ. Мы не говорим, что все до одного админы плохие, но, как говорится, в семье не без урода и, бывает, тянет обменяться «прикольной фоткой». Скандалы на эту тему были.
Однако админ – это не только человек, это еще и учетная запись с соответствующими правами. И именно к ней чаще всего рвутся злоумышленники. Слабый пароль, открытое на рабочей машине письмо с вирусом, отсутствие обновлений или украденный ноутбук, где не использовалось шифрование – вот от чего зависят компании и их бизнес.
Любой администратор с привилегированным доступом к данным системы обмена сообщениями (будь то живые данные и/или данные резервного копирования) может поставить систему под угрозу. Случаев непредумышленного удаления данных – даже не вагон, а целый состав.
Центр Microsoft Security опубликовал Десять непреложных законов безопасности.
Закон № 6: Компьютер безопасен на столько, на сколько администратор заслуживает доверия.
Закон № 9: Абсолютная анонимность практически не достижима, онлайн или оффлайн.
Закон № 10: Технология не панацея.
Как можно защитить корпоративные данные от удаления, несанкционированного доступа и/или изменений?
Если не брать в расчет криминал типа кейлоггеров и прочие методы неправомерного получения доступа к данным, то шифрование ИМХО вполне себе решает проблему. Ключи хранятся у пользователя информации, никто посторонний к ним доступ не имеет.
Если говорить конкретно, то для офисных документов есть фактически штатное средство - Microsoft Information Rights Management, поддерживается начиная с Office 2003, в новом Office 2013 (Office 365) на этот функционал делается большая ставка. Вот например, статьи можно почитать.
Кроме того, если говорить о защите документов, то стоит перво-наперво прошерстить ПК на предмет:
- расшаренных папок (какой толк от криптоконтейнера, если он расшарен всейсети с правами полного доступа всем. Смешно, но я такое видел.
- всякие "облачные хранилища" начиная с Яндекс.Диск и drobox, если ими пользуются юзеры, то ни о какой конфиденциальности речи быть не может.
- флешки. Если пользователи могут копировать документы - они будут их копировать.
- передача документов почтой, через Инет...
Но начинать надо с другого:
- Необходим пакет документов:
- положение об отделе безопасности, где прописаны функции отдела, включая функции ИБ.
- должностные инструкции специалиста по ИБ. Где четко сказаны его права и обязанности (чтобы потом ИТ не могли сказать - "а что это он сюда нос сует" ?!).
- положение о коммерческой тайне. Без него вообще неясно, что именно мы защищаем и зачем. Положение доводится до всех под роспись, создается комиссия (возможно с участием ИТ), которая решает, что конкретно относить к КТ, а что нет. На документах появляется гриф... это все дает основу к том, чтобы шировать, не допускать утечек и карать в случае ее выявления
- концепция обеспечения ИБ, набор политик и регламент использования информационных ресурсов. Регламент всем пользователя под роспись, а вот политики - саоме интересное. В политиках в том числе расписываются роли - что должны/имеют право/обязаны делать ИТ, что должны/имеют право/обязаны делать ИБ для обеспечения того-то…, что не так - ИТ по башке.
- если применяется ПО мониторинга, некие спец. средства типа DLP или криптографии и т.п., то
- пользователь должен быть уведомлен о том, что за его действиями могут следить и эти самые действия могут протоколироваться и использоваться затем для его привлечения к ответственности. И за это пользователь обязан расписаться. Более того, если например пользователь работает с конфиденциальными документами, то он должен расписаться в том, что он обязан соблюдать заданные правила работы с этими документами, в идеале вопросы ИБ должны быть пунктом в договоре.
- в регламентах должно быть прописано, что управляет средствами мониторинга и защиты ИБ, и любая попытка противодействовать работе этих средств с стороны пользователя или ИТ наказуема. В такой ситуации "затребовали пароль" будет звучать смешно.
- в некоторых случаях требования о знании пароля оправдано, например на случай, если накая система работает, а управляющего ей безопасника внезапно задавит трамвай. Вопрос - как быть ?! Смех смехом, но ситуация дурацкая. Выход есть: пароли записаны на бумажку, бумажка в конверте, конверт - в сейфе безопасности, сейф заперт на ключ, копия ключа у руководства. В итоге пароли как-бы есть на случай чего, но какбы их и нет.
- Из практики - любая попытка "ударного закручивания гаек", в особенности без четких регламентирующих документов приведет к противодействию пользователей, И т. п.
#взлом #защита_от_потери_данных #корпоративная_безопасность #соцсети #ущерб
Антивирусная правДА! рекомендует
Начинайте с административных мер. Если каждый будет знать свою ответственность, это уже благо – людям есть чего бояться. Далее – ограничение прав. Привязка данных к «железу». Шифрование. Методов много. Главное – не пускать дело на самотек.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Sasha50
15:54:27 2020-08-05
Людмила
14:53:36 2020-08-05
Пaвeл
14:07:37 2020-08-05
Lia00
13:42:38 2020-08-05
Вячeслaв
10:13:52 2020-08-05
kokuxo
02:08:55 2020-08-05
По поводу Трампа не уверен а вот на Ким бы скинулись :))
Геральт
22:02:34 2020-08-04
Шалтай Александр Болтай
21:48:35 2020-08-04
Альфа
21:35:16 2020-08-04
Toma
21:24:22 2020-08-04
orw_mikle
20:05:45 2020-08-04
L1t1um
19:58:47 2020-08-04
yuraorc
19:54:22 2020-08-04
dyadya_Sasha
19:14:38 2020-08-04
dyadya_Sasha
19:10:04 2020-08-04
ЗА двумя руками. Только кто же будет грамотно без воды составлять эти документы. Здесь то же талант нужен. А пока всё по шаблонам. А по шаблону - значит здесь читаю, здесь пропускаю, это - важно, а это - вода. А с водой младенца то и выплескивают.
marisha-san
19:09:29 2020-08-04
Татьяна
17:49:51 2020-08-04
admin_29
17:22:51 2020-08-04
anatol
14:51:37 2020-08-04
Masha
14:48:03 2020-08-04
Sergey
14:31:21 2020-08-04
Людмила
13:53:23 2020-08-04
"по любому надо проводить служебное расследование "
кстати, именно на эту тему мы будем проводить веб-конференцию 19 августа. как и когда проводить расследования КИ, как подготовить компанию к КИ - приглашаем послушать нашего докладчика. новость будет в четверг.
vinnetou
13:51:42 2020-08-04
Людмила
13:51:25 2020-08-04
мы выяснили ответ на вопрос где. это не ЦИК. там, где произошла утечка, стоит ....да, не Dr.Web!
Sergey
13:34:57 2020-08-04
Dvakota
12:54:57 2020-08-04
Korney
12:49:37 2020-08-04
Dmur
12:25:49 2020-08-04
Людмила
12:13:40 2020-08-04
но ответа на вопрос где она произошла пока нет
Неуёмный Обыватель
11:56:24 2020-08-04
Slava90
11:48:12 2020-08-04
Alexander
11:46:46 2020-08-04
Сколько регламентов, руководств и положений уже разработано для обеспечения информационной безопасности, сохранения тайн и приватности?! А "утечек", инсайдов и откровенной торговли секретами становится всё больше...
Вот и примеры в статье и по первой ссылке, и по последней, - тоже, отсылают нас аж к 2012 году... Вишь, а проблема актуальна до сих пор! Интересно, сколько ещё поколений будут её изучать и учиться решать?!
Ведь правильно говорят, что "на каждую защиту есть своя отмычка"... ну хотя бы для того, чтобы сделать профилактику надёжности этой "непробиваемой" защиты. И организационные меры совершенствования структуры безопасности ("золотое сечение), и административные ("кнут"), и финансовые ("пряник"), - они все для персонала, сотрудников, людей. А любой человек имеет уязвимости, о которых, иногда, и сам не догадывается.
По сути, нет никакой разности, одно-, двух- или десяти- шаговая защита установленная. Да, добавляется необходимость знания всех от одного до десяти "ключей". Но ведь в этой цепочке эшелонов защиты есть ещё и "наиболее слабое звено", разрывая которое, как известно, избавляешься от всей цепи. И это слабое звено – чаще, всё тот же непредсказуемый индивид с присущим ему "человеческим фактором".
А системный администратор - это не просто Человек, но Человечище с огромными привилегиями в части доступа к информации и секретам о системе её охраны. Трудно, бывает, сохранить стойкость духа, преданность делу и не поддаться личному соблазну...
P.S. Абсолютно верная рекомендация Dr.Web "Главное - не пускать дело на самотек". Обеспечение защиты - это постоянный и непрерывный "бег с препятствиями". Из рекомендаций "Центра Microsoft Security" меня привлекли два утверждения, расположить которые, на мой взгляд, для уравновешивания необходимо на двух чашах весов. Это восьмая и десятая рекомендации: "Не обновленный антивирус лишь немногим лучше, чем отсутствие антивируса вообще" (8); а с другой стороны, - "Технология не панацея"!!!
P.P.S. И всё же, Dr.Web Security Space надо и постоянно обновлять, и правильно настраивать, ухаживать за ним, и постоянно подстраивать (юстировать) под свои особенности работы на компьютере.
Денисенко Павел Андреевич
11:41:56 2020-08-04
kozinka.ru
11:26:23 2020-08-04
Любитель пляжного футбола
11:14:46 2020-08-04
deepsmr
11:08:53 2020-08-04
Да, контролировать всё невозможно. В конце концов мы самые обыкновенные человеки, со своими слабостями и пороками.
Пословицу - Своя рубашка ближе к телу - никто, никогда не отменит. И хоть 100500 правил, миллиард подписей о неразглашении... Это, конечно, не означает, что эти правила бесполезны, но всё опять сведется к человеческим страстям. ... И опять по кругу, и опять извечный вопрос: КТО виноват и ЧТО делать... :))
EvgenyZ
10:56:19 2020-08-04
Людмила
10:15:20 2020-08-04
действительно хороший пример.
1. подтверждения факта утечки пока ни от кого нет. именно "ни от кого", а не от ЦИК. потому что
2. ГДЕ была утечка - если была - тоже не известно.
ждем дополнительной информации.
3. от ЦИК в «Доктор Веб» не поступали обращения, в которых бы упоминалась хоть какая-то утечка.
Родриго
10:07:37 2020-08-04
Zserg
09:48:28 2020-08-04
Sergey
09:35:51 2020-08-04
Между прочим работа Центральной Избирательной Комиссии РФ и системы ГАС «Выборы» защищены комплексным продуктом безопасности Dr.Web Enterprise Security Suite. Кто тут виноват? Человеческий фактор или антивирусная защита?
GREEN
09:20:49 2020-08-04
Но можно (и нужно!) повысить уровень ИБ до max, для чего следует хотя бы воспользоваться данным выпуском АП.
Пaвeл
09:08:54 2020-08-04
Vlad X
08:46:56 2020-08-04
На что КГБ была закрытая система,а предателей оказалось
не мало.Человеческий фактор.
runikot
08:09:36 2020-08-04
ka_s
07:11:23 2020-08-04
Sergey
06:46:46 2020-08-04
tigra
04:37:57 2020-08-04
achemolganskiy
03:44:31 2020-08-04