Skip to main content
LibreTexts - Ukrayinska

13.4: Вживання заходів

  1. Last updated
  2. Save as PDF
  • Page ID
    9986

    • Anonymous
    • LibreTexts
    \( \newcommand{\vecs}[1]{\overset { \scriptstyle \rightharpoonup} {\mathbf{#1}} } \) \( \newcommand{\vecd}[1]{\overset{-\!-\!\rightharpoonup}{\vphantom{a}\smash {#1}}} \)\(\newcommand{\id}{\mathrm{id}}\) \( \newcommand{\Span}{\mathrm{span}}\) \( \newcommand{\kernel}{\mathrm{null}\,}\) \( \newcommand{\range}{\mathrm{range}\,}\) \( \newcommand{\RealPart}{\mathrm{Re}}\) \( \newcommand{\ImaginaryPart}{\mathrm{Im}}\) \( \newcommand{\Argument}{\mathrm{Arg}}\) \( \newcommand{\norm}[1]{\| #1 \|}\) \( \newcommand{\inner}[2]{\langle #1, #2 \rangle}\) \( \newcommand{\Span}{\mathrm{span}}\) \(\newcommand{\id}{\mathrm{id}}\) \( \newcommand{\Span}{\mathrm{span}}\) \( \newcommand{\kernel}{\mathrm{null}\,}\) \( \newcommand{\range}{\mathrm{range}\,}\) \( \newcommand{\RealPart}{\mathrm{Re}}\) \( \newcommand{\ImaginaryPart}{\mathrm{Im}}\) \( \newcommand{\Argument}{\mathrm{Arg}}\) \( \newcommand{\norm}[1]{\| #1 \|}\) \( \newcommand{\inner}[2]{\langle #1, #2 \rangle}\) \( \newcommand{\Span}{\mathrm{span}}\)

    Цілі навчання

    Після вивчення цього розділу ви зможете зробити наступне:

    1. Визначте критичні кроки для покращення вашої індивідуальної та організаційної інформаційної безпеки.
    2. Будьте порадами, хитрощами та техніками, допомагаючи зробити своїх друзів, сім'ю, колег та організацію більш безпечними.
    3. Визнайте основні проблеми інформаційної безпеки, з якими стикаються організації, а також ресурси, методи та підходи, які можуть допомогти зробити фірми більш безпечними.

  • Вживання дій як користувача

    Найслабшою ланкою безпеки часто є необережний користувач, тому не робіть собі легку позначку. Як тільки ви отримаєте відчуття загрози, ви розумієте види запобіжних заходів, які вам потрібно вжити. Тоді міркування безпеки стають більш здоровим глуздом, ніж високі технології. Ось короткий перелік основних питань для розгляду:

    • Серфінг розумний. Подумайте, перш ніж натиснути посилання на запитання, корпуси, запит на завантаження та цілісність веб-сайтів, які ви відвідуєте. Уникайте підозрілих вкладень електронної пошти та завантажень з Інтернету. Будьте на сторожі фішингу та інших спроб обманювати вас, щоб дозволити зловмисне програмне забезпечення. Перевірте все, що виглядає підозрілим, перш ніж діяти. Уникайте використання загальнодоступних машин (бібліотек, кав'ярень) при доступі до сайтів, які містять ваші фінансові дані або іншу конфіденційну інформацію.
    • Залишайтеся пильними. Соціальна інженерія шахраї та ізгої інсайдери там. Відповідний рівень анкетування стосується не тільки використання комп'ютера, але і до особистих взаємодій, будь то особисто, по телефону або в електронному вигляді.
    • Залишайтеся в курсі. Увімкніть функції оновлення програмного забезпечення для вашої операційної системи та будь-якої програми, яку ви використовуєте (браузери, програми, плагіни та аплети) та вручну перевіряйте наявність оновлень, коли це необхідно. Набори інструментів шкідливих програм спеціально сканують старі, вразливі системи, тому робота з оновленими програмами, які вирішують попередні проблеми, знижує вашу вразливу поверхню атаки.
    • Залишайтеся озброєними. Встановіть повний набір програмного забезпечення безпеки. Багато постачальників пропонують комбінацію продуктів, які надають антивірусне програмне забезпечення, яке блокує зараження, особисті брандмауери, які відбивають небажане вторгнення, сканери шкідливих програм, які шукають поганий код, який може вже вкладеність на вашому ПК, антифішингове програмне забезпечення, яке ідентифікує, якщо ви відвідуєте сумнівні веб-сайти, і багато іншого. Такі інструменти все частіше вбудовуються в операційні системи, браузери, і розгортаються на рівні провайдера або постачальника послуг (фірма електронної пошти, соціальна мережа). Але кожен споживач повинен зробити пріоритетним розуміння сучасного стану особистої охорони. Таким чином, що ви регулярно збалансуєте свій інвестиційний портфель, щоб врахувати економічні зрушення, або взяти свій автомобіль для заміни масла, щоб зберегти його в найкращому робочому стані, робіть пріоритетом періодично сканувати основні торгові преси або обчислювальні сайти кінцевих користувачів для оглядів та коментарів до новітніх інструментів та техніки захисту себе (і своєї фірми).
    • Будьте налаштування розумними. Не вмикайте ризиковані налаштування, такі як необмежений обмін папками, які можуть служити запрошенням хакерів скинути корисне навантаження зловмисного програмного забезпечення. Безпечні домашні мережі з захистом паролем і брандмауером. Шифруйте жорсткі диски, особливо на ноутбуках або інших пристроях, які можуть бути втрачені або вкрадені. Зареєструйте мобільні пристрої для ідентифікації місцезнаходження або віддаленого витирання. Не натискайте на налаштування «Запам'ятати мене» або «Зберегти пароль» на загальнодоступних комп'ютерах або будь-якому пристрої, до якого можуть отримати доступ інші. Так само, якщо ваша машина може використовуватися іншими, вимкніть налаштування браузера, які автоматично заповнюють поля попередніми записами, інакше ви полегшите комусь користуватися цією машиною, щоб відстежувати ваші записи та видавати себе за вас. А при використанні загальнодоступних точок доступу обов'язково ввімкніть програмне забезпечення VPN для шифрування передачі та приховування від мережевих підслуховувачів.
    • Будьте підковані паролем. Змініть пароль за замовчуванням для будь-яких нових продуктів, які ви інсталюєте. Регулярно оновлюйте паролі. Використовуючи вказівки, викладені раніше, вибирайте паролі, які важко здогадатися, але легко вам (і тільки вам) запам'ятати. Об'єднайте свої паролі, щоб ви не використовували однакові коди доступу для найбільш захищених сайтів. Ніколи не зберігайте паролі в незахищених файлах, електронній пошті або записуйте в легко доступних місцях.
    • Будьте розумні в розпорядженні. Шмакуємо особисті документи. Протріть жорсткі диски програмним інструментом промислової міцності перед переробкою, пожертвуванням або викиданням - пам'ятайте, що у багатьох випадках «видалені» файли все ще можуть бути відновлені. Знищити носії, такі як компакт-диски та DVD-диски, які можуть містити конфіденційну інформацію. Стирайте USB-накопичувачі, коли вони більше не потрібні.
    • Резервне копіювання. Найбільш імовірна загроза вашим даними не надходить від хакерів; це пов'язано з апаратним збоєм (Taylor, 2009). Проте більшість користувачів все ще не регулярно створюють резервні копії своїх систем. Це ще один пріоритет «зроби це зараз». Дешеві, плагінні жорсткі диски працюють з більшістю сучасних операційних систем, щоб забезпечити постійне резервне копіювання, дозволяючи швидко відкат до більш ранніх версій, якщо ви випадково зіпсували певну життєво важливу роботу. А такі послуги, як Mozy від EMC, забезпечують щомісячне необмежене резервне копіювання через Інтернет менше, ніж ви, ймовірно, витратили на останній обід (пожежа, крадіжка або подібна подія також може призвести до втрати будь-яких резервних копій, що зберігаються на місці, але послуги резервного копіювання в Інтернеті можуть забезпечити зберігання поза сайтом і доступ, якщо катастрофа страйки).
    • Зверніться до адміністратора. Усі організації, які допомагають вам підключитися до Інтернету — провайдер, фірма чи школа — повинні мати сторінки безпеки. Багато надають безкоштовні засоби захисту програмного забезпечення. Використовуйте їх як ресурси. Пам'ятайте - це в їхніх інтересах, щоб тримати вас у безпеці, теж!

  • Вжиття заходів як організація

  • Фреймворки, стандарти та відповідність вимогам

    Розвиток організаційної безпеки - непросте завдання. Ви перебуваєте в гонці озброєнь з супротивниками, які завзяті і постійно шукають нових подвигів. На щастя, жодна фірма не починається з нуля - інші пішли раніше вас, і багато хто разом працювали над створенням опублікованих найкращих практик.

    Існує кілька рамок, але, мабуть, найвідоміша з цих зусиль походить від Міжнародної організації зі стандартів (ISO) і в цілому називається ISO27k або ISO 27000 серія. Згідно з ISO.org, цей набір стандартів, що розвивається, забезпечує «модель для створення, впровадження, експлуатації, моніторингу, перегляду, підтримки та вдосконалення системи управління інформаційною безпекою».

    Фірми також можуть зіткнутися з вимогами відповідності - юридичні або професійно обов'язкові заходи, які необхідно вжити. Невиконання цього може призвести до штрафу, санкції та інших каральних заходів. На федеральному рівні прикладами є HIPAA (Закон про переносимість та підзвітність медичного страхування), який регулює дані про здоров'я; Закон Грехама-Ліча-Блілі, який регулює фінансові дані; і Закон про захист конфіденційності дітей в Інтернеті, який регулює збір даних про неповнолітніх. Державні установи США також повинні дотримуватися FISMA (Федеральний закон про управління інформаційною безпекою), і існує кілька ініціатив на інших урядових рівнях. До 2009 року деякі закони про порушення державних даних були прийняті більш ніж тридцятьма державами, тоді як транснаціональні компанії стикаються зі зростаючою кількістю статуй у всьому світі. Ваша юридична команда та торгові асоціації можуть допомогти вам зрозуміти ваші внутрішні та міжнародні зобов'язання. На щастя, часто існують рамки та вказівки для надання допомоги у дотриманні вимог. Наприклад, стандарти ISO включають підмножини, орієнтовані на галузі телекомунікацій та охорони здоров'я, а основні фірми з кредитних карток створили стандарти PCI (індустрія платіжних карток). І є кваліфіковані фахівці-консультанти, які можуть допомогти довести фірми до швидкості в цих сферах та допомогти розширити свій організаційний радар у міру розвитку нових питань.

    Ось попередження про рамки та стандарти: відповідність не дорівнює безпеці. Аутсорсинг частини зусиль безпеки без повного, організаційного зобов'язання бути безпечним також може бути небезпечним. Деякі організації просто підходять до комплаєнсу як до необхідного зла: свого роду контрольний список, який може знизити ймовірність позову або іншого карального заходу (Davis, 2009). Хоча ви хочете переконатися, що ви робите все, що у ваших силах, щоб не подати до суду, це не мета. Мета - вжити всіх відповідних заходів для забезпечення безпеки вашої фірми для ваших клієнтів, співробітників, акціонерів та інших осіб. Фреймворки допомагають формувати ваше мислення та розкривати речі, які ви повинні робити, але безпека на цьому не зупиняється - це постійний процес, що розвивається, який повинен проникнути в організацію з набору та ради директорів, аж до працівників передової лінії та потенційно до клієнтів та партнерів. І будьте в курсі питань безпеки, пов'язаних з будь-якими злиттями і поглинаннями. Залучення нових фірм, співробітників, технологій та процедур означає переоцінку середовища безпеки для всіх залучених гравців.

    Порушення Хартленда

    У день інавгурації 2009, процесор кредитних карт Heartland оголосив, що він пережив те, що було одним з найбільших порушень безпеки в історії. Прінстон, штат Нью-Джерсі, на той час була п'ятим за величиною процесором платежів країни. Її бізнес відповідав за обробку переказу коштів та інформації між роздрібними торговцями та фінансовими установами власників карток. Це означає, що проникнення в Хартленд було схоже на проникнення в Форт Нокс.

    Було підраховано, що під час порушення Heartland було скомпрометовано до 100 мільйонів карток, випущених більш ніж 650 компаніями з фінансових послуг. За словами генерального директора фірми, це було «найгірше, що може статися з платіжною компанією, і це сталося з нами» (King, 2009). Уолл-стріт помітив. Акції фірми зросли - протягом місяця її ринкова капіталізація знизилася більш ніж на 75 відсотків, знизившись понад півмільярда доларів у вартості (Claburn, 2009).

    Справа Heartland забезпечує попереджувальне попередження від думки, що безпека закінчується відповідністю. Хартленд фактично пройшов кілька аудитів, включаючи один, проведений за місяць до початку проникнення. Тим не менш, принаймні тринадцять штук шкідливих програм були виявлені на серверах фірми. Відповідність не дорівнює безпеці. Heartland була скаргою, але фірма може бути сумісною і не бути безпечною. Комплаєнс - це не мета, безпека - це.

    З моменту порушення керівники фірми відстоювали зусилля галузі щодо розширення практики безпеки, включаючи шифрування інформації про картки в точці, коли вона проводиться, і забезпечуючи її безпеку через врегулювання. Таке шифрування «від колиски до могили» може допомогти створити середовище, де навіть скомпрометоване мережеве обладнання або перехоплення ретрансляційних систем не зможуть захопити коди (Claburn, 2009; King, 2009). Визнайте, що безпека - це безперервний процес, він ніколи не робиться, і фірмам потрібно прагнути до безпеки з наполегливістю та відданістю.

  • Освіта, аудит та правозастосування

    Безпека стосується людей, процесів та політики, як і технологій.

    З точки зору людей, функція безпеки вимагає декількох рівнів знань. Операційні співробітники залучаються до щоденного моніторингу існуючих систем. Функція R&D групи бере участь у розумінні нових загроз та перегляді, виборі та впровадженні оновлених методів безпеки. Команда також повинна працювати над більш широкими питаннями управління. Ці зусилля повинні включати представників спеціалізованої безпеки та більш широких технологічних та інфраструктурних функцій. До неї також повинні входити представники генеральних радників, аудиту, зв'язків з громадськістю та людських ресурсів. Це означає, що навіть якщо ви нетехнічний співробітник, вас можуть залучити, щоб допомогти твердо вирішити проблеми безпеки.

    Процеси та політика включатимуть освіту та обізнаність — це також справа кожного. Як зазначає віце-президент з розробки продуктів у охоронній фірмі Symantec: «Ми робимо продукти дуже добре, але наступним кроком є освіта. Ми не можемо захистити Інтернет лише за допомогою антивірусного програмного забезпечення» (Goldman, 2009). Компанії повинні підходити до інформаційної безпеки як частину своєї «колективної корпоративної відповідальності... незалежно від того, чи вимагає їх регулювання 1».

    На урок про те, наскільки важлива освіта, дивіться не далі глави ЦРУ. Колишній директор з розвідки США Джон Дойч займався шокуючою вільною поведінкою з цифровими секретами, включаючи щоденний журнал секретної інформації - близько 1,000+ сторінок - на картах пам'яті, які він транспортував у кишені сорочки. Він також завантажував та зберігав інформацію Пентагону, включаючи деталі прихованих операцій, вдома на комп'ютерах, які його сім'я використовувала для звичайного доступу до Інтернету (Lewis, 2000).

    Співробітники повинні знати політику фірми, регулярно навчатися і розуміти, що вони зіткнуться з суворими покараннями, якщо вони не виконають своїх зобов'язань. Політика без очей (аудит) та зубів (правозастосування) не буде сприйнята серйозно. Аудити включають моніторинг використання в режимі реального часу (наприклад, хто отримує доступ до чого, звідки, як і чому; бити тривогу при виявленні аномалії), оголошені аудити та несподівані вибіркові перевірки. Ця функція також може інсценувати демонстраційні атаки білого капелюха - спроби полювати та виявляти слабкі сторони, сподіваємось, перш ніж хакери їх знайдуть. Фреймворки пропонують рекомендації щодо аудиту, але нещодавнє опитування показало, що більшість організацій не документують виконавчі процедури у своїх політиках інформаційної безпеки, що більше третини не перевіряють та не контролюють дотримання користувачами політик безпеки, і що лише 48 відсотків щорічно вимірюють та переглядають ефективність політик безпеки (Матвишин, 2009).

    Процеси розробки та розгортання технологій фірми також повинні інтегруватися з командою безпеки, щоб гарантувати, що з самого початку програми, бази даних та інші системи впроваджуються з урахуванням безпеки. Команда матиме спеціалізовані навички та контролюватиме найновіші загрози та зможе консультувати щодо запобіжних заходів, необхідних для того, щоб переконатися, що системи не скомпрометовані під час встановлення, розробки, тестування та розгортання.

  • Що потрібно захищати і скільки достатньо?

    Всесвітнє дослідження PricewaterhouseCoopers та журналу Chief Security Officer показало, що більшість фірм навіть не знають, що їм потрібно захистити. Лише 33 відсотки керівників відповіли, що їхні організації вели точну інвентаризацію місць та юрисдикцій, де зберігаються дані, і лише 24 відсотки зберігали інвентаризацію всіх третіх осіб, використовуючи дані своїх клієнтів (Matwyshyn, 2009). Це означає, що більшість фірм навіть не мають точного читання про те, де зберігаються їхні цінності, не кажучи вже про те, як їх захистити.

    Тож інформаційна безпека повинна починатися з аудиту в стилі інвентаризації та оцінки ризиків. Технології повертаються до конкретних бізнес-ризиків. Що нам потрібно для захисту? Що ми боїмося, що може статися? І як ми захищаємо його? Безпека є економічною проблемою, яка включає ймовірність атак, витрати та переваги запобігання. Це складні компроміси, які повинні враховувати втрати від крадіжки або ресурсів, пошкодження систем, втрату даних, розкриття власної інформації, відновлення, простою, зниження цін на акції, судові збори, державні штрафи та штрафи за дотримання вимог, а також нематеріальні активи, такі як пошкоджена репутація фірми, втрата клієнта та партнера впевненість, промисловий збиток, просування противника та заохочення майбутніх атак.

    Хоча багато фірм економлять на безпеці, фірми також не хочуть неправильно витрачати, орієнтуючись на подвиги, які не є ймовірними, при недоінвестуванні в легко запобігаються методи, щоб перешкодити загальним методам проникнення. Хакерські конвенції, такі як DefCon, можуть показати деякі дійсно дикі подвиги. Але саме фірма повинна оцінити, наскільки вона вразлива до цих різних ризиків. Місцевий магазин пончиків має набагато інші потреби, ніж військова установка, правоохоронний орган, фінансова установа або фірма, яка розміщує інші високоцінні електронні активи. Кваліфікована команда з оцінки ризиків розгляне ці вразливості та те, які інвестиції в контрзаходи повинні відбуватися.

    Економічні рішення зазвичай також керують поведінкою хакерів. Хоча в деяких випадках напади ґрунтуються на вендетті або особистих міркуваннях, в більшості випадків економіка експлуатування зводиться до

    ROI противника = Вартість активів для супротивника - вартість супротивника.

    Витрати противника включають не тільки ресурси, знання та технології, необхідні для подвигу, але й ризик попастися. Зробіть речі жорсткими, щоб отримати, і лобіювання законодавства, яке накладає суворі покарання на шахраїв може допомогти підвищити витрати супротивника і знизити ймовірність стати жертвою.

  • Роль технології

    Технічні рішення часто передбачають промислові варіанти міцності з раніше обговорюваних питань, які люди можуть використовувати, тому ваша обізнаність вже висока. Крім того, підхід організації часто використовує кілька шарів захисту та включає широкий спектр захисних заходів.

    Патч. Фірми повинні бути особливо пильними, щоб звертати увагу на бюлетені безпеки та встановлювати оновлення програмного забезпечення, які підключають існуючі отвори, (часто їх називають патчами). Фірми, які не підключають відомі проблеми, будуть вразливі до тривіальних і автоматизованих атак. На жаль, багато фірм не оновлюють всі компоненти своїх систем з постійною увагою. Завдяки операційним системам, що автоматизують встановлення оновлень безпеки, хакери перейшли до цілей додатків. Але велике дослідження нещодавно виявило, що організаціям знадобилося принаймні вдвічі більше часу, щоб виправити вразливості додатків, ніж вони вимагають, щоб виправити отвори в операційній системі (Wildstrom, 2009). І пам'ятайте, програмне забезпечення не обмежується звичайними ПК та серверами. Вбудованих систем предостатньо, а підключені, але невиправлені пристрої вразливі. Шкідливе програмне забезпечення заразило все, від незахищених банкоматів (Lilly, 2009) до ресторанних точок продажу систем (McMillan, 2009) до навігаційних систем винищувачів літака (Matysczyk, 2009).

    Як приклад невиправлених вразливостей розглянемо експлойт отруєння кешу DNS, описаний раніше в цьому розділі. Виявлення цієї слабкості було однією з найбільших історій безпеки в рік її виявлення, і експерти з безпеки розглядали це як основну загрозу. Команди програмістів по всьому світу мчалися, щоб забезпечити виправлення для найбільш широко використовуваних версій програмного забезпечення DNS. Проте через кілька місяців після того, як патчі були доступні, приблизно одна чверть всіх серверів DNS все ще були невиправлені та виставлені 2.

    Справедливості заради, не всі фірми затримують патчі з недбалості. Деякі організації мають законні побоювання щодо тестування того, чи буде патч зламати їх систему, чи нова технологія містить зміни, які спричинить проблеми на шляху 3. А бували випадки, коли патчі самі по собі викликали проблеми. Нарешті, багато оновлень програмного забезпечення вимагають, щоб системи були зняті. Фірми можуть мати вимоги до безвідмовної роботи, які ускладнюють негайне виправлення. Але в кінцевому підсумку нелаткові системи є відкритими дверима для проникнення.

    Блокування апаратного забезпечення. Фірми широко варіюються в режимах безпеки, що використовуються для регулювання закупівлі через використання системи утилізації. У той час як деякі великі фірми, такі як Kraft дозволяють співробітникам вибирати своє власне обладнання (Mac або ПК, настільний комп'ютер або ноутбук, iPhone або BlackBerry) (Wingfield, 2009), інші видають стандартні системи, які перешкоджають всім незатвердженим установці програмного забезпечення і змусити збереження файлів до загартованого, резервного копіювання, сканування та моніторингу сервери. Фірми в особливо чутливих галузях, таких як фінансові послуги, можуть регулярно переглядати жорсткий диск ПК кінцевого користувача, повністю замінюючи всі біти на жорсткому диску користувача первозданною, поточною версією - ефективно знищуючи шкідливе програмне забезпечення, яке могло раніше проникнути на ПК користувача. Інші методи блокування можуть вимкнути можливість завантаження знімних носіїв (поширений метод поширення вірусів через вставлені диски або USB), запобігти використанню Wi-Fi або вимагати шифрування VPN, перш ніж дозволити будь-яку передачу в мережу тощо. Хмара допомагає і тут. (Див. Розділ 10 «Програмне забезпечення в потоці: мінлива хмарність, а іноді і вільне».) Роботодавці також можуть вимагати від працівників запускати всі свої корпоративні програми всередині віддаленого робочого столу, де фактичне виконання апаратного та програмного забезпечення знаходиться в іншому місці (ймовірно, розміщується як сеанс віртуальної машини на серверах організації), і користувачеві просто подається образ того, що виконується віддалено. Це запечатує віртуальний ПК таким чином, який можна ретельно контролювати, оновлювати, резервувати та блокувати фірмою.

    У випадку з Kraft керівники стурбовані тим, що раніше обмежувальна технологічна політика фірми заважала працівникам залишатися в ногу з тенденціями. Співробітники, які вибирають систему, повинні підписати угоду, обіцяючи, що вони будуть дотримуватися встановлених процедур безпеки. Тим не менш, фінансовим компаніям, юридичним бюро, постачальникам медичних послуг та іншим компаніям, можливо, доведеться підтримувати більш суворий контроль з юридичних та галузевих причин.

    Блокування мережі. Моніторинг мережі є важливою частиною безпеки, і безліч технічних інструментів можуть допомогти.

    Фірми використовують брандмауери для перевірки трафіку, коли він входить і виходить з мережі, потенційно блокуючи певні типи доступу, дозволяючи при цьому затверджений зв'язок. Системи виявлення вторгнень спеціально шукають несанкціоновану поведінку, подаючи сигнал тривоги та потенційно вживаючи заходів, якщо щось здається неправильним. Деякі фірми розгортають honeypots - фіктивні пропозиції, призначені для відволікання зловмисників. Якщо зловмисники беруть приманку для honeypot, фірми можуть отримати можливість розпізнати подвиги хакера, визначити IP-адресу вторгнення та вжити заходів для блокування подальших атак та оповіщення органів влади.

    Багато фірм також розгортають чорні списки - забороняючи вхід або вихід конкретних IP-адрес, продуктів, інтернет-доменів та інших обмежень зв'язку. Хоча чорні списки блокують відомих поганих хлопців, білі списки є ще більш обмежувальними - дозволяючи спілкуватися лише з затвердженими організаціями або затвердженим способом.

    Ці технології можуть бути застосовані до мережевих технологій, конкретних додатків, скринінгу певних видів додатків, підписів шкідливих програм та пошуку аномальних моделей. Останнє важливо, оскільки недавнє зловмисне програмне забезпечення стало поліморфним, тобто створюються та розгортаються різні версії таким чином, що їх підпис, свого роду електронний відбиток пальця, який часто використовується для розпізнавання шкідливого коду, трохи змінюється. Це також допомагає при подвигах нульового дня, а також у ситуаціях, коли веб-сайти з білого списку самі стають скомпрометованими.

    Багато технічних рішень, починаючи від моніторингу мережі та реагування до скринінгу електронної пошти, переходять на «хмару». Це може бути гарною річчю - якщо програмне забезпечення для моніторингу мережі негайно ділиться новинами певного типу атаки, захист може бути витіснений для всіх клієнтів фірми (чим більше користувачів, тим «розумніше» система потенційно може стати - знову ми бачимо силу мережевих ефектів в дії).

    Блокування партнерів. Наполягайте, що фірми-партнери відповідають вимогам, і перевіряйте їх, щоб переконатися, що це так. Сюди входять постачальники технологій та контрактні фірми, а також учасники ланцюжка створення вартості, такі як постачальники та дистриб'ютори. Той, хто торкається вашої мережі, є потенційною точкою слабкості. Багато фірм будуватимуть очікування та зобов'язання щодо безпеки в гарантіях ефективності, відомих як угоди про рівень обслуговування (SLAs).

    Системи блокування. Аудит SQL-ін'єкцій та інших експлойтів додатків. Команда безпеки повинна постійно сканувати експлойти, а потім досліджувати свої системи, щоб перевірити, чи є вони сприйнятливими, консультуючи та виконуючи дії, якщо проблеми виявлені. Такий аудит повинен відбуватися з усіма партнерами фірми.

    Контроль доступу також може розділити доступ до даних на основі необхідності знати. Такі інструменти можуть не тільки забезпечувати привілеї доступу, вони можуть допомогти створювати та контролювати аудиторські стежки, щоб переконатися, що до систем не звертаються несанкціоновані або підозрілі способи.

    Аудиторські стежки використовуються для стримування, виявлення та розслідування цих випадків. Доступ до запису, моніторингу та аудиту дозволяє фірмам полювати на зразки зловживань. Журнали можуть деталізувати, хто, коли і звідки активи доступні. Подарунки ганебної діяльності можуть включати доступ з незнайомих IP-адрес, з нестандартних часів, доступи, які відбуваються на більш високих, ніж зазвичай, обсягах тощо. Автоматизовані оповіщення можуть поставити обліковий запис на утримання або зателефонувати в групу реагування для подальшого спостереження за аномалією.

    Інструменти єдиного входу можуть допомогти фірмам запропонувати співробітникам один дуже надійний пароль, який працює в різних додатках, часто змінюється (або управляється за допомогою апаратних карт або входу в систему мобільного телефону), і може бути змінений персоналом управління паролями.

    Кілька адміністраторів повинні спільно контролювати ключові системи. Основні зміни конфігурації можуть вимагати схвалення декількох співробітників, а також автоматичного повідомлення зацікавленого персоналу. І фірми повинні використовувати механізм відновлення, щоб відновити контроль у випадку, якщо ключові адміністратори недієздатні або не співпрацюють. Це врівноважує потреби в безпеці з можливістю реагувати на випадок кризи. Така система не була на місці в раніше описаному випадку ізгоя IT-співробітника, який утримував в заручниках мережі міста Сан-Франциско, відмовившись відмовитися від життєво важливих паролів.

    Майте невдачі та плани відновлення. Хоча фірми працюють над запобіганням спроб проникнення, вони також повинні мати положення, які планують найгірше. Якщо компроміс стався, що потрібно зробити? Чи потрібно девальвувати викрадені активи (наприклад, рахунки припинені, випущені нові рахунки)? Що потрібно зробити, щоб повідомити клієнтів і партнерів, навчити їх і консультувати їх через будь-які необхідні відповіді? Хто повинен працювати з правоохоронними органами та зі ЗМІ? Чи потрібно активувати резервні копії поза сайтом або резервні системи? Чи можуть системи бути надійно відновлені без ризику подальшого пошкодження?

    Кращі практики починають з'являтися. Хоча сортування після подій виходить за рамки нашого вступу, хороша новина полягає в тому, що фірми зараз діляться даними про порушення. Враховуючи потенційні негативні наслідки порушення, організації колись рідко визнавали, що вони були скомпрометовані. Але зараз багато хто зобов'язаний це зробити. А широка обізнаність про проникнення зменшує організаційну стигму в просуванні вперед, і дозволяє фірмам та постачальникам технологій обмінюватися знаннями про методи, які використовуються кібершахраями.

    Інформаційна безпека є складним, постійно мінливим і життєво важливим доменом. Подвиги, висвітлені в цій главі, здаються страшними, і постійно з'являються нові подвиги. Але ваше мислення з ключових питань тепер має бути ширшим. Сподіваємось, тепер ви вбудували мислення безпеки у свою управлінську ДНК, і ви краще підготовлені до того, щоб бути кмітливим користувачем системи та активним учасником, який працює для безпеки вашої фірми. Залишайтеся в безпеці!

    Ключові виноси

    • Кінцеві користувачі можуть здійснити кілька кроків для підвищення інформаційної безпеки себе та своїх організацій. До них відносяться розумний серфінг, пильність, оновлення програмного забезпечення та продуктів, використання комплексного пакету безпеки, відповідальне управління налаштуваннями та паролями, резервне копіювання, належне розпорядження чутливими активами та пошук освіти.
    • Такі фреймворки, як ISO27k, можуть надати дорожню карту, яка допоможе організаціям планувати та впроваджувати ефективний режим безпеки.
    • Багато організацій зобов'язані дотримуватися зобов'язань щодо дотримання вимог безпеки і загрожують штрафами та відплатою, якщо вони не виконають цих зобов'язань.
    • Використання фреймворків і сумісність не дорівнює безпеці. Безпека - це безперервний процес, який повинен постійно вирішуватися і глибоко вкорінюватися в культурі організації.
    • Безпека - це компроміси - економічні та нематеріальні. Фірмам необхідно розуміти свої активи та ризики, щоб найкращим чином розподіляти ресурси та задовольняти потреби.
    • Інформаційна безпека - це не просто технічне виправлення. Освіта, аудит та правозастосування щодо політики фірми мають вирішальне значення. Команда безпеки має широку кваліфікацію і постійно працює над виявленням та впровадженням нових технологій та методів у свої організації. Залучення та відданість мають важливе значення від залу засідань до працівників на передовій, а також для клієнтів та партнерів.

    Питання та вправи

    1. Відвідайте сторінку безпеки свого інтернет-провайдера, школи або роботодавця. Які методи вони виступають за те, що ми обговорювали тут? Чи є якісь додаткові методи, згадані та обговорюються? Які додаткові положення вони пропонують (інструменти, послуги), щоб допомогти вам тримати вас в курсі та безпеки?
    2. Які режими безпеки використовуються у вашому університеті, а також у фірмах, в яких ви працювали або стажувалися? Якщо у вас немає досвіду з цим, попросіть друга або родича про їх професійний досвід. Чи вважаєте ви ці заходи занадто обмежувальними, занадто слабкими або приблизно правильними?
    3. Хоча ми обговорювали ризики в забезпеченні безпеки, яка є занадто слабкою, який ризик має фірма, якщо її механізми безпеки особливо суворі? Від чого може відмовитися фірма? Які наслідки суворих положень безпеки кінцевого користувача?
    4. З якими ризиками стикається фірма, залишаючи програмне забезпечення невиправленим? З якими ризиками він стикається, якщо він розгортає патчі, як тільки вони з'являються? Як фірма повинна примирити ці ризики?
    5. Які методи використовують фірми для забезпечення цілісності свого програмного забезпечення, свого обладнання, своїх мереж та своїх партнерів?
    6. Система управління паролями організації являє собою «ключі від міста». Опишіть кадрові питання, які фірма повинна бути стурбована щодо адміністрування паролів. Як це може вирішити ці проблеми?