|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
Обучение конечного пользователя
Программа безопасности
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
E |
|
|
||||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
181to |
BUY |
|
|
||||||||
|
|
|
|
|
|||||||
|
|
|
|
|
m |
||||||
w Click |
|
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
- |
|
|
n |
e |
|
||
|
|
|
|
x cha |
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
Управление |
|
Конфиденциальность |
|
Средства |
|
Средства |
||||
|
|
оперативного контроля |
|
технического контроля |
||||||
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
• Обучающий тренинг |
|
• Полномочия |
|
• Сертификация, |
|
• Контроль доступа |
||||
• Безопасность |
|
• Подотчетность данных, |
|
аккредитация и оценка |
|
• Аудит и отчетность |
||||
персонала |
|
аудит и управление |
|
безопасности |
|
• Управление |
||||
• Планирование |
|
рисками |
|
• Планирование |
|
конфигурацией |
||||
• Оценка рисков |
|
• Минимизация данных |
|
на случай непредви- |
|
• Идентификация |
||||
• Приобретение систем |
|
• Качество и целостность |
|
денных обстоятельств |
|
и аутентификация |
||||
и услуг |
|
данных |
|
• Реагирование |
|
• Защита системы |
||||
|
|
|
• Безопасность данных |
|
на компьютерные |
|
и коммуникаций |
|||
|
|
|
• Ограничение |
|
инциденты |
|
• Системная |
|||
|
|
|
использования данных |
|
• Техническое |
|
и информационная |
|||
|
|
|
• Индивидуальное |
|
обслуживание |
|
целостность |
|||
|
|
|
участие |
|
• Защита медиа |
|
|
|
||
|
|
|
|
|
|
• Физическая защита |
|
|
|
|
|
|
|
|
|
|
и защита среды |
|
|
|
|
Рис.9.1
Обучение конечного пользователя
Как было показано на предыдущей диаграмме, обучение конечного пользова- теляявляетсячастьюуправлениябезопасностьюврамкахтренингапобезопас ности. Возможно, это одна из самых важных частей программы безопасности, потому что пользователь, не имеющий знаний в этой области, может нанести колоссальный ущерб вашей организации.
СогласноотчетуSymantecInternetSecurityThreatReport(т.22),спам-кампании являются основной причиной заражения вредоносными программами. Хотя
внастоящее время они используют широкий спектр тактик, крупнейшие опе- рации по распространению вредоносного ПО с использованием спама попрежнему основаны на методах социальной инженерии.
Втом же отчете компания «Symantec» пришла к выводу,что в 2016 г.наибо- лее распространенным словом, используемым в основных вредоносных кам- паниях, было слово «счет-фактура». Это имеет смысл, поскольку идея состоит
втом, чтобы напугать пользователя, заставить его подумать, что ему или ей нужно что-то оплатить, иначе случится нечто плохое. Это типичный подход: напугать, чтобы вынудить пользователя нажать на ссылку, после чего система будет скомпрометирована.Еще одна платформа,которая используется для за- пуска атак с помощью социальной инженерии,–это социальные сети.В 2015 г. Symantec обнаружила в Twitter спам-атаку, в которой использовались сотни тысяч поддельных учетных записей, выдававших себя за действительные учетные записи,чтобы создать большую базу фолловеров и,используя ее,рас-
пространять ложные сведения о способах по снижению веса.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
182 Политика безопасности |
|
|
|
|
to |
|
|
|
|
|
|
||||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
Проблема заключается в том, что многие пользователи будут использовать |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
собственное устройство – эта концепция известна как bring your own device (BYOD) –для получения доступа к внутренней информации о компании.Когда они участвуют в фальшивых кампаниях в социальных сетях,подобных этой,то становятсялегкойдобычейдляхакеров.Еслихакерымогутскомпрометировать системупользователя,ониоченьблизкикполучениюдоступакданнымкомпа- нии,поскольку в большинстве случаев они не являются изолированными.
Все эти сценарии только подтверждают необходимость обучения пользова- телей данному типу атак и любым другим типам атак с использованием ме- тодов социальной инженерии, включая физические подходы к социальной инженерии.
Рекомендации по безопасности для пользователей социальных сетей
Встатье Social Media Impact, опубликованной ISSA Journal и написанной од- ним из авторов этой книги, Юрием Диогенесом, рассматривается множество случаев, когда социальные сети были основным инструментом при выполне- нии атаки с использованием методов социальной инженерии. Программа по обеспечению безопасностидолжна соответствоватькадровым и юридическим требованиям относительно того, как компания должна обрабатывать сообще- ния в социальных сетях, а также давать руководящие указания сотрудникам о том, как им следует вести себя в них.
Одним из сложных вопросов при определении набора руководящих прин- ципов для сотрудников, как использовать социальные сети, является опреде- ление надлежащего делового поведения.Дисциплинарные меры в отношении работников, которые пересекают эту границу, должны быть очень четкими.
Воктябре 2017 г., сразу после массовых расстрелов в Лас-Вегасе, вице-прези- дент CBS сделала комментарий,предположив,что «жертвы Вегаса не заслужи- ли сочувствия, потому что поклонники кантри часто являются республикан- цами». Результат этого онлайн-комментария был прост: она была уволена за нарушение стандартов поведения компании. Хотя для CBS важно было быст ро извиниться за ее поведение и продемонстрировать соблюдение политики путем увольнения сотрудника, компания все же пострадала от комментариев этого человека.
При наличии политической напряженности в мире и свободы, которую со- циальные сети дают людям, чтобы выразить свои мысли, подобные ситуации возникаюткаждыйдень.Вавгусте2017г.профессорФлоридыбылуволениз-за сообщение в Twitter, в котором говорилось, что Техас заслужил ураган Хар- ви, после того как проголосовал за Трампа. Это еще один пример того, как со- трудник использует свой личный аккаунт в Twitter для онлайн-декламаций, приводящихкплохимпоследствиям.Зачастуюкомпаниипринимаютрешение уволить сотрудника, который плохо себя ведет в интернете, основываясь на
кодексе поведения. Например, если вы прочитаете раздел «Внешние комму-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
Использование политики 183to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
никации» в Кодексе поведения Google, то увидите, какие рекомендации дает |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
Google относительно публичного раскрытия информации.
Еще одна важная директива, которую стоит включить, – это то, как вести себя с клеветническими сообщениями, а также сообщениями порнографиче- ского характера, вопросами интеллектуальной собственности, домогатель- ствами или постами, которые могут создать враждебную рабочую среду. Это крайне необходимо для большинства основополагающих принципов социаль- ных сетей и показывает, что работодатель старательно продвигает здоровую социальную среду внутри компании.
Тренинг по безопасности
Тренингпобезопасностидолженпроводитьсядлявсехсотрудников.Внегоне- обходимо включать рассказы о новых методах атак и соображения по этому поводу. Многие компании проводят такое обучение в режиме онлайн через внутреннююсетькомпании.Еслитренингхорошопродуман,богатвизуальны- ми эффектами и в конце содержит вопросы для самопроверки, он может быть очень результативен. В идеале тренинг по безопасности должен содержать:
примеры из реальной жизни. Пользователям будет легче запомнить что-либо, если вы покажете реальный сценарий. Например, говорить о фишинговых письмах, не показывая, как они выглядят и как их визу- ально идентифицировать, не очень эффективно;
практика. Хорошо написанный текст и богатые визуальные элемен- ты – важные атрибуты учебных материалов, но вы должны представить пользователю практические сценарии. Позвольте ему взаимодейство- вать с компьютером, чтобы выявить целевой фишинг или фальшивую кампанию в социальных сетях.
В конце тренинга все пользователи должны подтвердить, что они успешно прошли его и знают не только об угрозах безопасности и контрмерах, описан- ных в тренинге, но и о последствиях несоблюдения политики безопасности компании.
Использование политики
Когда вы закончите создавать свою политику безопасности, наступит время ее применения, которое осуществляется с использованием различных техно- логий в соответствии с потребностями компании.В идеале должна быть схема архитектуры вашей сети, чтобы в полной мере понять, какие у вас есть клю- чевые точки, т. е. какие серверы у вас имеются, как идут потоки информации, где хранится информация, у кого есть и у кого должен быть доступ к данным, а также каковы различные точки входа в вашу сеть.
Многиекомпанииневсостоянииполностьюреализоватьполитикубезопас- ности, потому что они думают о ее применении только на конечных точках и серверах.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
184 Политика безопасности |
|
|
|
|
to |
|
|
|
|
|
|
||||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
А как насчет сетевых устройств? Вот почему вам нужен целостный подход |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
к каждому компоненту, активному в сети, включая коммутаторы, принтеры и IoT-устройства.
Если в вашей компании есть служба каталогов Microsoft Active Directory, вы должны использоватьобъект групповой политики (GPO)для развертывания своей политики безопасности. Все политики должны быть развернуты в соот- ветствии с политикой безопасности вашей компании. Если у разных отделов разные потребности, вы можете сегментировать свое развертывание, исполь- зуя организационные единицы (OU), и назначать политики для каждой от- дельной единицы.
Например, если серверам, которые относятся к отделу кадров, требуется другой набор политик, вы должны переместить эти серверы в единицу HR и назначить для нее специальную политику.
Если вы не уверены в текущем состоянии своих политик безопасности, вам следует выполнить начальную оценку с помощью команды PowerShell GetGPOReport,чтобы экспортироватьвсе политики в HTML-файл.Убедитесь,что вы запустили следующую команду с контроллера домена:
PS C:> Import-Module GroupPolicy
PS C:> Get-GPOReport -All -ReportType HTML -Path .GPO.html
Результат выполнения этой команды показан на рис. 9.2.
Рис.9.2
Также рекомендуется выполнитьрезервное копированиетекущей конфигу- рации и сделать копию этого отчета, прежде чем вносить какие-либо измене- ния в текущие групповые политики. Еще один инструмент, который вы также