Вы используете устаревший браузер!

Страница может отображаться некорректно.

Правила гигиены

Правила гигиены

Другие выпуски этой рубрики (121)
  • добавить в избранное
    Добавить в закладки

Как упорядочить защиту

Прочитали: 1981 Комментариев: 49 Рейтинг: 59

В качестве затравки – цитата со специализированного форума:

Недавно у меня появились новые обязанности, обеспечивать информационную безопасность.

И в качестве первой задачи, я получил такую:

"обеспечить безопасность, точнее недоступность информации в файлах word от сотрудников имеющих административные права на компьютере с сохранением возможности удалённого подключения для оказания срочной помощи".

Что посоветуете?

Источник

И новость:

Огромное количество самых звездных акканутов Твиттера вчера было взломано (Ким Кардашьян, Илон Маск, Джеф Безос, Билл Гейтс, Барак Обама, Уоррен Баффет и другие). От их лица было опубликовано объявление о раздаче биткоинов небывалой щедрости.

Источник

На текущий момент на кошелёк злоумышленников было отправлено 11 биткоинов — чуть больше 100 тысяч долларов.

Источник

Как-то без особой фантазии: всего лишь раздача криптовалюты. Думаем, если бы от лица Трампа выложили файл с компроматом, а Ким пообещала бы приобнажиться за определенную сумму, успех был бы куда бо́льшим.

Собственно, эта новость не заслуживала бы никакого внимания (что мы, взломов аккаунтов соцсетей не видели?), если бы не один нюанс:

Владелец биржи Gemini Кэмерон Уинклвосс отмечает, что на аккаунте была включена двухфакторная авторизация и использовался сильный пароль.

Источник

В этот раз мошенники получили доступ к аккаунтам не из-за слабого пароля. Первоначально утверждалось, что произошел взлом внутренних учетных записей сотрудников компании. Ниже мы приводим скриншот и ссылку. На данный момент они уже, к сожалению, недоступны.

Затем появились версии о шантаже и подкупе. Так или иначе, администраторы сети имели возможность доступа к данным клиентов. И, кстати, пользовались этим.

Сотрудники сервиса микроблогов Twitter на протяжении нескольких лет взламывали профили известных людей, используя свое положение в компании и внутренние инструменты, недоступные обычным пользователям.

«Хакеры» использовали корпоративное ПО, изначально предназначавшееся для сброса паролей к профилям и регистрации нарушений правил Twitter. Они быстро поняли, что его можно применять и для слежки за владельцами микроблогов, и их внимание привлекли аккаунты селебрити.

Это позволяло «хакерам» иметь легкий доступ к личным данным знаменитостей и даже отслеживать их местоположение, хотя и с определенной погрешностью. Текущее место дислокации той или иной селебрити они могли вычислить по IP-адресу, с которого они подключались к аккаунту.

Со временем «игра», которую затеяли контрактные сотрудники Twitter, приобрела массовый характер. Они стали отслеживать не только знаменитостей, но также политиков и бывших возлюбленных.

Источник

Причина взлома – администраторы сети, имевшие доступ к данным. В случае соцсетей и разного рода форумов наличие такого доступа логично: они обязаны фильтровать записи, удалять их в случае несоответствия своим требованиям:

В общем, было бы странно, если бы сама компания владелец сервиса не имела возможности редактировать и писать что-то.

Источник

Но в других случаях это выглядит неразумно. В вашей компании информация хранится в базе данных, и доступ пользователей возможен только к конкретным записям? Администратор в любом случае имеет доступ ко всей базе данных. Вы разместили данные в дата-центре? Отлично, теперь еще и сотрудники датацентра могут получить к ним доступ. Мы не говорим, что все до одного админы плохие, но, как говорится, в семье не без урода и, бывает, тянет обменяться «прикольной фоткой». Скандалы на эту тему были.

Однако админ – это не только человек, это еще и учетная запись с соответствующими правами. И именно к ней чаще всего рвутся злоумышленники. Слабый пароль, открытое на рабочей машине письмо с вирусом, отсутствие обновлений или украденный ноутбук, где не использовалось шифрование – вот от чего зависят компании и их бизнес.

Любой администратор с привилегированным доступом к данным системы обмена сообщениями (будь то живые данные и/или данные резервного копирования) может поставить систему под угрозу. Случаев непредумышленного удаления данных – даже не вагон, а целый состав.

Центр Microsoft Security опубликовал Десять непреложных законов безопасности.

Закон № 6: Компьютер безопасен на столько, на сколько администратор заслуживает доверия.

Закон № 9: Абсолютная анонимность практически не достижима, онлайн или оффлайн.

Закон № 10: Технология не панацея.

Источник

Как можно защитить корпоративные данные от удаления, несанкционированного доступа и/или изменений?

Если не брать в расчет криминал типа кейлоггеров и прочие методы неправомерного получения доступа к данным, то шифрование ИМХО вполне себе решает проблему. Ключи хранятся у пользователя информации, никто посторонний к ним доступ не имеет.

Если говорить конкретно, то для офисных документов есть фактически штатное средство - Microsoft Information Rights Management, поддерживается начиная с Office 2003, в новом Office 2013 (Office 365) на этот функционал делается большая ставка. Вот например, статьи можно почитать.

Кроме того, если говорить о защите документов, то стоит перво-наперво прошерстить ПК на предмет:

- расшаренных папок (какой толк от криптоконтейнера, если он расшарен всейсети с правами полного доступа всем. Смешно, но я такое видел.

- всякие "облачные хранилища" начиная с Яндекс.Диск и drobox, если ими пользуются юзеры, то ни о какой конфиденциальности речи быть не может.

- флешки. Если пользователи могут копировать документы - они будут их копировать.

- передача документов почтой, через Инет...

Источник

Но начинать надо с другого:

  1. Необходим пакет документов:

    - положение об отделе безопасности, где прописаны функции отдела, включая функции ИБ.

    - должностные инструкции специалиста по ИБ. Где четко сказаны его права и обязанности (чтобы потом ИТ не могли сказать - "а что это он сюда нос сует" ?!).

    - положение о коммерческой тайне. Без него вообще неясно, что именно мы защищаем и зачем. Положение доводится до всех под роспись, создается комиссия (возможно с участием ИТ), которая решает, что конкретно относить к КТ, а что нет. На документах появляется гриф... это все дает основу к том, чтобы шировать, не допускать утечек и карать в случае ее выявления

    - концепция обеспечения ИБ, набор политик и регламент использования информационных ресурсов. Регламент всем пользователя под роспись, а вот политики - саоме интересное. В политиках в том числе расписываются роли - что должны/имеют право/обязаны делать ИТ, что должны/имеют право/обязаны делать ИБ для обеспечения того-то…, что не так - ИТ по башке.

  2. если применяется ПО мониторинга, некие спец. средства типа DLP или криптографии и т.п., то

    - пользователь должен быть уведомлен о том, что за его действиями могут следить и эти самые действия могут протоколироваться и использоваться затем для его привлечения к ответственности. И за это пользователь обязан расписаться. Более того, если например пользователь работает с конфиденциальными документами, то он должен расписаться в том, что он обязан соблюдать заданные правила работы с этими документами, в идеале вопросы ИБ должны быть пунктом в договоре.

    - в регламентах должно быть прописано, что управляет средствами мониторинга и защиты ИБ, и любая попытка противодействовать работе этих средств с стороны пользователя или ИТ наказуема. В такой ситуации "затребовали пароль" будет звучать смешно.

    - в некоторых случаях требования о знании пароля оправдано, например на случай, если накая система работает, а управляющего ей безопасника внезапно задавит трамвай. Вопрос - как быть ?! Смех смехом, но ситуация дурацкая. Выход есть: пароли записаны на бумажку, бумажка в конверте, конверт - в сейфе безопасности, сейф заперт на ключ, копия ключа у руководства. В итоге пароли как-бы есть на случай чего, но какбы их и нет.

  3. Из практики - любая попытка "ударного закручивания гаек", в особенности без четких регламентирующих документов приведет к противодействию пользователей, И т. п.

Источник

#взлом #защита_от_потери_данных #корпоративная_безопасность #соцсети #ущерб

Dr.Web рекомендует

Начинайте с административных мер. Если каждый будет знать свою ответственность, это уже благо – людям есть чего бояться. Далее – ограничение прав. Привязка данных к «железу». Шифрование. Методов много. Главное – не пускать дело на самотек.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей