Сегодня мне довелось выступать на Дне безопасности для разработчиков. Семинар проходил в Майкрософт Украина. Презентацию, как и обещал, выкладываю здесь

Мы с вами много и долго говорили об антифишинговых технологиях. А как антифишинговый фильтр работает в IE8? Именно этому и посвящена презентация

Все же хорошо придумали коллеги из российского Микрософт со своей программой http://itbonus.itcommunity.ru

Привез от них Xbox Pro. Теперь можно и отдохнуть немного

 

переругался только что с Правэкс-банком
 Более бестолкового банка я еще не видел
 Это кошмар
 сегодян утром позвонил
 Мне нужен перевод в рублях (пришли деньги за статью)
 Спрашиваю, деньги есть?
 ответ - в рублях - нет, мы можем только часть
 Отвечаю, нет, мне нужно все
 Ну может к вечеру соберем
 Хорошо
 Звоню вечером
 Деньги есть?
 Нет, вы же не заказывали!!!
 Я офигел просто
 Говорю, я вам звонил? Да
 Но деньги вы же не заказали
 Когда?
 Будут только в понедельник
 Пипец

На самом деле мне давно задают вопросы, а зачем лицензионная ОС? Офис? И прочее ПО? Ведь все же работает? Зачем тратить деньги? Именно поэтому и родилась данная статья.

Не секрет, что огромная часть программного обеспечения в нашей стране используется не лицензионно. Или как любят говорить такие товарищи, у нас не «ворованное ПО», у нас «пиратское ПО». Правда в чем разница, увы, мне так и не понятно. Жаль что не всегда и не все сегодня понимают, что защита от вредоносного ПО, от злоумышленников сегодня это не только антивирусы и файерволы, но и заплатки на операционные системы, а главное – своевременное обновление ПО от третьих производителей.

Приведу пример. В июле этого года была обнаружена уязвимость в Interet Explorer 6 и 7, позволяющая выполнить произвольный код на уязвимой машине. IE по данным NetApplications пользуются около 65% пользователей во всем мире. Тут же появились эксплойты, использующие эту уязвимость и детектируемые нами как Exploit.JS.DirektShow. Кроме того, в августе была обнаружена опасная уязвимость в MS Office (MS09-043), которая также позволяла атакующему удаленно выполнить произвольный код на уязвимой машине. Эксплойты, использующие эту уязвимость, детектируются Лабораторией Касперского как Exploit.JS.Sheat.

Тот факт, что уязвимости были закрыты (первая в июле, вторая в августе), а эксплойты детектировались на протяжении всего третьего квартала, указывает на беспечность пользователей, которые не ставят патчи и вообще не заботятся о безопасности компьютеров. Мало того, что они подставляют под удар свои системы и данные, так еще и остальным пользователям достается, поскольку зараженные машины в подавляющем большинстве случаев становятся частью зомби-сетей, с которых распространяются вредоносные программы и огромное количество спамовых писем.

Отдельно хотелось бы упомянуть тот факт, что сегодня обновлять необходимо не только операционные системы, но и продукты третьих фирм. В силу широкого распространения ПО компании Microsoft, 6 из 10 самых популярных уязвимостей приходится именно на ее продукты. 3 из 10 уязвимостей были обнаружены в ПО компании Adobe.

Наиболее часто используемыми уязвимостями в ПО Microsoft Office являются самые старые из них. Более половины используемых уязвимостей впервые было обнаружено и устранено в обновлениях для системы безопасности Майкрософт в 2006 г.

71,2% атак связаны с одной-единственной уязвимостью, обновление безопасности для которой (MS06-027) было выпущено три года назад.

Большинство атак против Office в первом полугодии 2009 г. (55,5%) нанесли ущерб
приложениям Office, которые в последний раз обновлялись между июлем 2003 г. и июнем
2004 г. Большая часть этих атак нанесла ущерб пользователям Office 2003, которые не
установили ни одного пакета обновления или обновления для системы безопасности со
времени выхода первоначальной версии Office 2003 в октябре 2003 года.

Надеюсь эти цифры заставят вас задуматься о необходимости установки обновлений

Использование фишинга и его разновидностей сегодня стало весьма распространенным явлением. Об этом говорят, пытаются делать антифишинговые фильтры, встраивать их в браузеры, в антивирусное ПО, однако атак не становится меньше. Более того, они становятся все изощреннее. Интересно, как бы встроить «защиту от жадности» в человеческие головы. Сегодня прочел заметку о статье журналиста Майкла Аррингтона, размещенной на сайте TechCrunch, и посвященной игровому мошенничеству в социальных сетях. По его мнению, разработчики социальных игр для Facebook и MySpace, а также посредники весьма активно прибегают к нечестным методам заработка на наивных пользователях, а администрация социальных сетей обычно смотрит на это сквозь пальцы, поскольку имеет с этого своб выгоду.

Миллионы пользователе играют сегодня в игры типа Farmville и Mobsters. В данных играх используется собственная виртуальная валюта, при помощи которой игроки могут разными способами улучшать свой игровой статус. Причем ее можно купить, расплатившись реальной кредиткой, но существуют и "бесплатные" способы увеличения игрового капитала, которые на деле приносят компаниям ещё больше прибыли.

Аррингтон приводит примеры, когда пользователям предлагают пройти тест на IQ или скачать пробную версию какой-то программы, получив взамен некоторое количество виртуальных денег. Нигде в этих предложениях не говорится, что пользователь, даже не имея кредитной карты, в обоих случаях потеряет реальные деньги.

Монетизация производится различными способами: например, деньги могут сниматься с мобильного телефона (для прохождения теста на IQ), а могут взиматься наличными за доставку "бесплатного" CD с программой.

Полученные деньги тут же тратятся на новую подобную "рекламу", которая привлекает новых пользователей.

Руководитель компании BlitzLocal Деннис Ю, ранее занимавшийся подобным "бизнесом", привел много интересных фактов,подтверждая слова Аррингтона. Так, разработчики игр для Facebook получают доступ к персональным данным пользователей и их социальным связям. Это позволяет персонализировать скам ("ваш друг такой-то приглашает вас сыграть с ним"), что вводит пользователей в заблуждение, особенно если реклама визуально напоминает стиль Facebook.

По словам Ю, CTR от такой "рекламы" на порядок выше CTR в Google AdSense — примерно 4% против 0,1%, при той же стоимости клика.

Аррингтон оценивает нечестную прибыль каждой из наиболее крупных таких компаний в десятки и даже сотни миллионов долларов в год. Ю говорит о пятизначных суммах в день.

К чему я все это говорю? Да просто нужно думать, прежде чем поддаваться на возможные уловки и помнить, что бесплатный сыр всегда лежит в мышеловке. И только.

На самом же деле нам с вами в первую очередь нужно смотреть внимательно на то что нам предлагают и пытаться понять, что уже давно никто ничего «за спасибо» не делает!

В этой связи еще раз хотелось бы обратить внимание на необходимость контролировать то, чем заняты ваши дети, ведь они не имеют вашего жизненного опыта. А следовательно они будут первым объектом для удара!

Выложил четыре видеодоклада на www.techdays.in.ua

Три по шифрованию в Windows 7

 

и один по Семейной безопасности в Windows Live

Сегодня все чаще и чаще компании сталкиваются с инцидентами в области компьютерной безопасности. Однако руководство многих компаний, несмотря на это все еще уповает на то, что для них эти атаки не актуальны. Почему такое происходит – сказать сложно, но это факт. На мой взгляд, это происходит в силу того, что руководители не понимают как можно украсть то, чего нельзя пощупать. Вместе с тем существует целый ряд компаний, руководители которых прекрасно понимают необходимость принятия мер для защиты своей информации. Именно для них и написана данная статья.

Приведем короткий список этих рекомендаций, а потом рассмотрим их подробнее.
1. Используйте надежные пароли и регулярно их меняйте;
2. Остерегайтесь почтовых вложений и загружаемых из Интернета модулей;
3. Установите, поддерживайте и применяйте антивирусные программы;
4. Установите и используйте межсетевой экран;
5. Удаляйте неиспользуемые программы и учетные записи пользователей, надежно удаляйте все данные на выводимом из эксплуатации оборудовании;
6. Используйте средства физического контроля доступа ко всем вычислительным устройствам;
7. Создавайте архивные копии важных файлов, папок и программ;
8. Устанавливайте обновления для программного обеспечения;
9. Внедрите систему безопасности сети с контролем доступа;
10. Ограничивайте доступ к ценным и конфиденциальным данным;
11. Составьте и соблюдайте план управления рисками, связанными с безопасностью;
12. При необходимости обращайтесь за технической поддержкой к сторонним организациям.


Рассмотрим данные рекомендации подробнее.

Рекомендация 1.
Используйте надежные пароли и регулярно их меняйте
Затраты: минимальные (дополнительные вложения не требуются)
Уровень технических навыков: низкий/средний
Участники: все пользователи компьютерной сети

Для чего это нужно?
Пароли – самый просто способ аутентификации (способа разграничения прав доступа к компьютерной сети, электронной почте и т.д.). Парольная защита - довольно простой метод разграничения доступа. Вместе с тем необходимо помнить, что надежные пароли (пароли, тяжело поддающиеся взлому) позволяют затруднить работу большинства взломщиков. Для многих компаний текучесть кадров является большой проблемой, вместе с тем это увеличивает необходимость регулярной смены паролей. Так как вы не уверены в стойкости вашего пароля, то меняйте его каждый месяц, причем учтите, что пароли должны удовлетворять требованиям сложности и не должны повторяться в течение 24 месяцев. Данное положение достаточно легко реализуется в организации, компьютерная сеть которой основана на применении доменов на основе ОС Windows.
Вместе с тем необходимо помнить, что для каждой используемой задачи пароли должны быть разными, т.е. пароль для входа в компьютерную сеть и для работы с базой данных должны быть разными. Ведь в противном случае взлом одного пароля позволит получить беспрепятственный доступ ко всем ресурсам.
Никогда не записывайте пароли и ни в коем случае не сообщайте их другим лицам!
Если же вы боитесь забыть пароль, храните его в сейфе.
Вместе с тем помните, что пользователи вашей сети будут забывать пароли и при усилении требований к их сложности и длине они просто начнут их записывать на листиках и вскоре пароли можно будет встретить где угодно! Т.е. на мониторах, листиках под клавиатурой, в ящиках стола и т.д.
Как этого избежать? Только введением средств многофакторной аппаратной аутентификации. Это же позволит решить целый ряд проблем, речь о которых пойдет впереди.
Вместе с тем необходимо помнить, что каждый пользователь в сети обязан иметь собственный идентификатор, что позволит его однозначно аутентифицировать и тем самым избежать проблем с обезличиванием персонала.
Ненадежные пароли дают ложное ощущение безопасности
Помните, что надежность парольной защиты весьма относительна. Пароли взламываются злоумышленниками методом подбора по словарю или прямого перебора. На взлом по словарю злоумышленнику требуются секунды. Если злоумышленник знает личную информацию о пользователе, пароль которого он пытается подобрать, например, имена супруги (супруга), детей, хобби, то диапазон поиска существенно сужается, и в первую очередь проверяются эти слова. Часто применяемые пользователями ухищрения типа замены буквы «о» на цифру «0» или буквы «a» на символ «@» или буквы «S» на цифру «5» не защищают пароль от взлома. Иногда к парольной фразе вначале или в конце дописываются цифры, однако это также слабо влияет на защиту. Поэтому приведем здесь краткие рекомендации по выбору пароля.

Что делать?
В первую очередь
Для затруднения взлома вашего пароля в первую очередь он должен быть сложным и содержать большие и маленькие буквы, цифры и специальные символы. Нельзя использовать словарные слова, имена и их незначительные изменения. Длина пароля должна составлять не менее 8 символов, а для сетей с выходом в Интернет – не менее 12. При этом длина пароля администратора должна составлять не менее 15 символов. Составляя пароль, используйте некие заранее придуманные шаблоны. Это позволит вам вспомнить пароль в случае необходимости, не записывая его на бумаге.
Создайте политику использования парольной защиты, в которой опишите ваши требования и ознакомьте с ее требованиями ваших сотрудников под роспись. Это приучит к порядку ваших сотрудников.
В особо ответственных случаях для организации парольной защиты используйте многофакторную аутентификацию на базе eToken или смарт-карт. Это существенно затруднит взлом.
Для доступа к ресурсам вашей сети из Интернет, например, для сотрудников, работающих из дома, используйте одноразовые пароли.
Дополнительные действия Настройте в требованиях политик обязательную минимальную длину и уровень сложности политик. Вместе с тем не забудьте ограничить срок действия паролей, чтобы заставить пользователей соблюдать частоту смены паролей. Введите требование неповторяемости паролей (например, на протяжении 24 месяцев). Это позволит достичь уникальности паролей одного и того же пользователя на протяжении 2-х лет.


Рекомендация 2.
Остерегайтесь почтовых вложений и модулей, загружаемых из Интернет
Затраты: минимальные (дополнительные вложения не требуются)
Уровень технических навыков: низкий/средний
Участники: все, кто пользуется Интернет

Зачем это нужно?
Сегодня одним из наиболее часто используемых методов распространения компьютерных вирусов является использование электронной почты и Интернет. В последнее время вирусы научились использовать адреса, получаемые из адресных книг. Поэтому даже получение писем с известных вам адресов больше не является гарантией того, что эти письма действительно отправлены этими людьми. Компаниям необходимо внедрить жесткие политики безопасности использования электронной почты и Интернет, в которых четко указывать, что можно и что нельзя загружать и открывать в корпоративных системах.
Любой автор программного обеспечения может распространять его с помощью Интернет или в виде вложений в электронные письма. Однако стоит помнить, что запуская неизвестную программу у себя на компьютере, вы становитесь заложником автора этой программы. Любое ваше действие доступно и этой программе. Т.е. она может читать, удалять, модифицировать и копировать любую вашу информацию. Тем самым доступ к вашему компьютеру может получить и злоумышленник.
Что может произойти в результате вашей невнимательности? Стоит помнить, что тексты электронной почты, вложения и загружаемые модули являются прекрасным средством для передачи вредоносного кода. Открывая почтовое вложение или соглашаясь на установку исполнимого кода, вы копируете некий программный код в вашу среду (иногда в папку временных файлов). Это может привести к атаке вашей системы через имеющиеся уязвимости.
Учтите, что если ваш компьютер будет заражен, весьма вероятно, что ваши партнеры по переписке получат от вас почтовое сообщение с вложением, которое будет атаковать их системы. Это может привести к полной остановке сети.
Если не принять предупредительных мер, то на ваш компьютер можно будет загрузить некое троянское приложение (троянский конь), который сможет отследить используемые вами пароли, переслать по определенному адресу вашу конфиденциальную информацию и т.д.

Что делать?
В первую очередь
Опишите требования к безопасности использования электронной почты и Интернет в соответствующих политиках.
Приучите пользователей к тому, что запрещено выполнять следующие операции:
1. Использовать функцию предварительного просмотра почтового сообщения.
2. Открывать вложения, которые антивирусное приложение считает вредоносными.
3. Открывать почтовые сообщения от незнакомых людей (следует их просто удалять), особенно если поле «Тема»:
a. Пустое либо содержит бессмысленный набор букв и цифр;
b. Содержит сообщение о победе на конкурсе, в котором вы не участвовали либо о причитающихся вам деньгах;
c. Содержит описание продукта, который может вам понравиться;
d. Содержит уведомление о проблеме с инструкциями по установке программного обеспечения на вашем компьютере;
e. Содержит уведомление об ошибке в накладной или счете, но вы не пользуетесь данной услугой.
4. Если вы знаете отправителя или решили открыть почтовое сообщение, убедитесь, что содержимое, а также название вложений и текст в строке темы сообщения звучат осмысленно.
Дополнительные действия
1. Настройте веб-обозреватель таким образом, чтобы он уведомлял вас о загрузке модулей из Интернет (это сделано по умолчанию в Internet Explorer 7.0).
2. Удаляйте и никогда не пересылайте электронные «письма счастья».
3. Никогда не пользуйтесь функцией отмены подписки на услуги, которые вы не запрашивали (это даст злоумышленнику понять, что электронный адрес активен и позволит более активно атаковать вас).
4. Отключите Java-сценарии и элементы управления ActiveX в настройках веб-обозревателя и включайте их временно только для определенных доверенных страниц.
5. Принимая решение о приобретении программного обеспечения, убедитесь в наличии четкого описания программы и выполняемых ею функций, а также проверьте надежность источника информации.


Рекомендация 3.
Установите, поддерживайте и применяйте антивирусные программы
Затраты: низкие/средние (в зависимости от количества и типов необходимых лицензий)
Уровень технических навыков: низкий/средний, в зависимости от выбранного подхода
Участники: все, кто пользуется электронными устройствами

Зачем это нужно?
В настоящее время сложно кого-либо удивить необходимостью установки антивирусного ПО. Количество уязвимостей, используемых вредоносным ПО, по данным Microsoft, удваивается ежегодно.
Пути проникновения вирусов в вашу систему могут быть различными: с помощью дискет, флеш-дисков, компакт-дисков, в виде вложения в почтовое сообщение, при загрузке с веб-узла или в виде зараженного загружаемого файла. Поэтому, вставляя сменный носитель, принимая электронную почту или загружая файл, необходимо проводить проверку на наличие вирусов.
Как работают антивирусные программы?
Из всех методов антивирусной защиты можно выделить две основные группы:
1. Сигнатурные методы - точные методы обнаружения вирусов, основанные на сравнении файла с известными образцами вирусов.
2. Эвристические методы - приблизительные методы обнаружения, которые позволяют с определенной вероятностью предположить, что файл заражен.
Сигнатурный анализ
Слово сигнатура в данном случае является калькой на английское signature, означающее "подпись" или же в переносном смысле "характерная черта, нечто идентифицирующее". Собственно, этим все сказано. Сигнатурный анализ заключается в выявлении характерных идентифицирующих черт каждого вируса и поиска вирусов путем сравнения файлов с выявленными чертами.
Сигнатурой вируса будет считаться совокупность черт, позволяющих однозначно идентифицировать наличие вируса в файле (включая случаи, когда файл целиком является вирусом). Все вместе сигнатуры известных вирусов составляют антивирусную базу.
Важное дополнительное свойство сигнатур - точное и гарантированное определение типа вируса. Это свойство позволяет занести в базу не только сами сигнатуры, но и способы лечения вируса. Если бы сигнатурный анализ давал только ответ на вопрос, есть вирус или нет, но не давал ответа, что это за вирус, очевидно, лечение было бы невозможно - слишком большим был бы риск совершить не те действия и вместо лечения получить дополнительные потери информации.
Другое важное, но уже отрицательное свойство - для получения сигнатуры необходимо иметь образец вируса. Следовательно, сигнатурный метод непригоден для защиты от новых вирусов, т. к. до тех пор, пока вирус не попал на анализ к экспертам, создать его сигнатуру невозможно. Именно поэтому все наиболее крупные эпидемии вызываются новыми вирусами.
Эвристический анализ Слово "эвристика" происходит от греческого глагола "находить". Суть эвристических методов состоит в том, что решение проблемы основывается на некоторых правдоподобных предположениях, а не на строгих выводах из имеющихся фактов и предпосылок.
Поиск вирусов, похожих на известные
Если сигнатурный метод основан на выделении характерных признаков вируса и поиске этих признаков в проверяемых файлах, то эвристический анализ основывается на (весьма правдоподобном) предположении, что новые вирусы часто оказываются похожи на какие-либо из уже известных.
Положительным эффектом от использования этого метода является возможность обнаружить новые вирусы еще до того, как для них будут выделены сигнатуры.
Отрицательные стороны:
• Вероятность ошибочно определить наличие в файле вируса, когда на самом деле файл чист - такие события называются ложными срабатываниями.
• Невозможность лечения - и в силу возможных ложных срабатываний, и в силу возможного неточного определения типа вируса, попытка лечения может привести к большим потерям информации, чем сам вирус, а это недопустимо.
• Низкая эффективность - против действительно новаторских вирусов, вызывающих наиболее масштабные эпидемии, этот вид эвристического анализа малопригоден.
Поиск вирусов, выполняющих подозрительные действия
Другой метод, основанный на эвристике, исходит из предположения, что вредоносные программы так или иначе стремятся нанести вред компьютеру. Метод основан на выделении основных вредоносных действий, таких как, например:
• Удаление файла.
• Запись в файл.
• Запись в определенные области системного реестра.
• Открытие порта на прослушивание.
• Перехват данных, вводимых с клавиатуры.
• Рассылка писем.
• И др.
Преимуществом описанного метода является возможность обнаруживать неизвестные ранее вредоносные программы, даже если они не очень похожи на уже известные.
Отрицательные черты те же, что и раньше:
• Ложные срабатывания
• Невозможность лечения
• Невысокая эффективность
Дополнительные средства
Практически любой антивирус сегодня использует все известные методы обнаружения вирусов. Но одних средств обнаружения мало для успешной работы антивируса. Для того, чтобы чисто антивирусные средства были эффективными, нужны дополнительные модули, выполняющие вспомогательные функции, например, регулярное обновление антивирусных баз сигнатур.

Что делать?
В первую очередь
1. Установите антивирусные программы на всех узлах вашей сети (шлюзы Интернет, почтовые сервера, сервера баз данных, файловые сервера, рабочие станции).
2. Регулярно (не реже чем рекомендовано производителем) обновляйте базы сигнатур.
3. Ежегодно продляйте лицензию на установленные антивирусы (для того чтобы иметь возможность обновлять файлы сигнатур).
4. Создайте политику защиты от вредоносного ПО.
5. Создайте инструкции для пользователей и администраторов систем.
Дополнительные действия
1. На всех компьютерах настройте антивирусную защиту.
2. Создайте систему управления корпоративным антивирусом из единой точки управления.
3. Регулярно (достаточно один раз в неделю) запускайте антивирусный сканер для проверки всех файлов.


Рекомендация 4.
Установите и используйте межсетевой экран
Затраты: умеренные
Уровень технических навыков: умеренный/высокий, в зависимости от выбранного подхода
Участники: специалисты по технической поддержке

Зачем это нужно?
Межсетевой экран практически исполняет роль охранной системы при входе в здание. Он проверяет входящие из Интернет и исходящие в Интернет сведения и определяет, будут ли эти сведения доставлены получателю или же будут остановлены. Может существенно сократить объем попадающих в систему нежелательных и вредоносных сообщений. Но, вместе с тем, стоит понимать, что на его настройку и обслуживание необходимы время и усилия. Кроме того, он пресекает различные формы нежелательного доступа к вашей сети.
Самое сложное при настройке межсетевого экрана – определить правила его настройки, т.е. указать, что может поступать в сеть (покидать сеть). Ведь если полностью запретить прием и отправку данных (стратегия запретить все), то это будет означать прекращение связи с Интернет. Такая стратегия вряд ли допустима в большинстве компаний, поэтому необходимо выполнить ряд дополнительных действий по настройке межсетевого экрана.
Что происходит, когда нет межсетевого экрана?
Если у вас нет межсетевого экрана, который проверяет входящие и исходящие данные, защита всей вашей сети зависит лишь от желания и умения каждого из пользователей следовать правилам работы с электронной почтой и загрузкой файлов. В случае же использования высокоскоростного подключения к Интернет вы будете зависеть, кроме того, еще и от других пользователей сети. При отсутствии межсетевого экрана ничего не помешает злоумышленнику изучить уязвимости ОС на каждом из компьютеров и атаковать их в любое время.

Что делать?
В первую очередь
Установите межсетевой экран на точке доступа в Интернет. Объясните сотрудникам необходимость его применения. Ведь в процессе разработки его правил возможно чрезмерное блокирование, которое усложнит пользование.
Дополнительные действия
1. Примените политику безопасности на основе правил межсетевого экрана.
2. Предусмотрите возможность пересмотра и корректировки политики в необходимых случаях.
3. Создайте механизм мониторинга и корректировки правил с учетом потребностей компании.


Рекомендация 5.
Удаляйте неиспользуемые программы и учетные записи пользователей, уничтожайте все данные на выводимом из эксплуатации оборудовании
Затраты: низкие/средние
Уровень технических навыков: низкий/средний
Участники: специалисты по технической поддержке

Зачем это нужно?
Следует учитывать, что поставляемые компьютерные системы поддерживают большое количество функций, многие из которых никогда не будут вами использоваться. Более того, поскольку процесс установки оптимизирован с точки зрения простоты, а не безопасности, то часто активизированы функции, использование которых представляет серьезную опасность для системы, например, удаленное управление или удаленный обмен файлами.
Следует предусмотреть отключение и удаление неиспользуемого программного обеспечения, чтобы злоумышленник не мог организовать через него атаку.
Т.е. сотрудникам отдела технической поддержки необходимо настроить инсталляционную копию операционной системы, устанавливаемой на рабочие станции таким образом, чтобы удалить неиспользуемые функции ОС еще на этапе инсталляции. Процесс создания необходимой копии ОС необходимо оговорить в принимаемом документе.
Вместе с тем нельзя забывать, что поскольку каждый пользователь имеет собственную уникальную учетную запись, ограничивающую доступ к данным и программам, необходимым для выполнения поставленных задач, то в случае увольнения сотрудника или перехода его на другую должность его права нужно отменить (удалить соответствующую учетную запись) или изменить в соответствии с новыми служебными обязанностями.
Для этого необходимо обязать службу управления кадрами подавать списки увольняемых (перемещаемых) сотрудников в службу ИТ и службу информационной безопасности (ИБ) в течение одного рабочего дня после соответствующего приказа. А в случае увольнения (перемещения) системного администратора или администратора ИБ – не позднее 1 часа после соответствующего приказа. Это позволит существенно снизить возможность нанесения вреда компании.
Следует также помнить, что в настоящее время на жестких дисках рабочих станций, а уж тем более серверов, хранится огромный объем информации. Любой желающий может извлечь эти данные, получив доступ к жесткому диску посредством другого компьютера, и тем самым нанести непоправимый вред вашей компании. В случае передачи, продажи, утилизации, ремонта оборудования в условиях посторонней организации (например, гарантийный ремонт) вам необходимо обеспечить невосстановимое стирание всего дискового пространства, для предотвращения утечки конфиденциальной информации. При этом возможно два пути – использование программных средств невосстановимого стирания или аппаратных средств.
Почему нельзя оставить неиспользуемое программное обеспечение? Неиспользуемое ПО и учетные записи могут быть использованы злоумышленником для атаки на вашу систему или для использования вашей системы для проведения последующих атак. Стоит помнить, что доступом к компьютеру нужно управлять очень тщательно. Ведь потеря конфиденциальных данных для компании может привести к крупным финансовым потерям и даже банкротству. Если неиспользуемые данные принадлежат бывшим сотрудникам вашей компании, то, получив доступ к системе, они могут быть в курсе всех ваших дел, нанести ущерб вашей компании, разгласив или модифицировав важные данные. Более того, в практике автора были случаи, когда атаку под видом уволенного сотрудника проводили действующие сотрудники компании.
В случае же ремонта (обновления) оборудования стоит помнить, что хранящиеся на нем данные без использования специальных средств невосстановимого стирания никуда не исчезают. Существует целый класс программного обеспечения, позволяющего восстанавливать удаленные данные с жестких дисков.

Что делать?
В первую очередь
1. Удаляйте учетные записи уволенных сотрудников. Перед сообщением человеку о том, что он будет уволен, заблокируйте его доступ к компьютеру и следите за ним, пока он находится на территории компании.
2. Установите правило, запрещающее установку ненужного ПО на рабочих компьютерах.
3. Предусмотрите политику удаления данных с жестких дисков компьютеров, которые перепрофилируются, утилизируются, передаются, реализуются, сдаются в ремонт.
Дополнительные действия
1. Удалите неиспользуемые программы и приложения.
2. Заведите формуляры компьютеров (рабочих станций и серверов), в которые записывайте устанавливаемое ПО, цель установки и кто произвел установку.
3. Запретите пользователям работать с правами локальных администраторов.


Рекомендация 6.
Используйте средства физического контроля доступа ко всем вычислительным устройствам
Затраты: минимальные
Уровень технических навыков: низкий/средний
Участники: все, кто пользуется электронными устройствами

Зачем это нужно?
Независимо от того, насколько надежна ваша система безопасности, используете вы простые пароли или сложные, если у кого-то есть физический доступ к вашему компьютеру, значит он сможет прочесть, удалить или модифицировать находящуюся на нем информацию. Нельзя оставлять компьютеры без присмотра.
Уборщики, обслуживающий персонал, члены семьи сотрудника могут неумышленно (либо умышленно) загрузить вредоносный код либо модифицировать данные или настройки компьютера.
Если существуют активные, но не используемые сетевые разъемы в офисе, конференц-зале или любом другом помещении, значит любой человек сможет подключиться к сети и выполнить в ней несанкционированный действия.
Если вы используете беспроводные технологии, то позаботьтесь об устойчивом шифровании сети, чтобы посторонний человек не смог подключиться к вашей сети, ведь в таком случае он даже не должен заходить физически в ваш офис.
Если в вашей организации используются переносные компьютеры (ноутбуки, КПК, смартфоны) позаботьтесь о шифровании мобильных носителей, ведь на сегодня более 10% таких устройств просто воруется, а порядка 20% – элементарно теряются пользователями.
Потеря физического контроля как потеря безопасности Следует учесть, что любой человек, обладающий физическим доступом к вашему компьютеру, может обойти средства безопасности, установленные на нем, и нанести непоправимый ущерб вашей организации. Следовательно, большое внимание необходимо уделять физической безопасности ваших устройств.

Что делать?
В первую очередь
Внедрите политику допустимого использования компьютеров, предусматривающую следующее:
1. Оставляя компьютер без присмотра даже на короткое время, выходите из системы или блокируйте экран.
2. Установите ответственных пользователей за доступ к компьютерам и вынос оборудования за пределы компании.
3. Ограничьте использование рабочих компьютеров только служебными целями.
4. Запретите использование личных компьютеров (ноутбуков, КПК, смартфонов) в корпоративной сети.
5. Установите ответственность пользователей в случае нарушения правил использования компьютеров.
6. Все используемое компьютерное оборудование должно быть надежно защищено от всплесков пропадания электропитания.
7. Храните неиспользуемое оборудование под замком и установите процедуру его выдачи только под расписку ответственного сотрудника.
8. Проинформируйте сотрудников о принятой политике и время от времени проверяйте ее выполнение.
Дополнительные действия 1. Закрывайте пустые офисы и конференц-залы, в которых имеются активные сетевые разъемы.


Рекомендация 7.
Создавайте архивные копии важных файлов, папок и программ
Затраты: умеренные/высокие (в зависимости от уровня автоматизации и сложности выбранных средств)
Уровень технических навыков: средний/высокий
Участники: специалисты по технической поддержке и пользователи (если пользователи обязаны самостоятельно архивировать свои данные)

Зачем это нужно?
Сможете ли вы продолжать эффективно работать, если злоумышленнику удастся повредить настройки ваших систем? Или уничтожить хранящуюся информацию? Если произойдет непредвиденный сбой системы?
В таком случае наиболее эффективным способом будет восстановление данных из архивной копии.
Для создания такой копии вам потребуется создать источник для возможного восстановления системы в случае необходимости. Выполнять создание такой копии лучше воспользовавшись специализированным ПО.
Следует помнить, что резервные копии необходимо создавать при каждом изменении исходных данных. Выберите подходящий вам вариант с учетом затрат (время, оборудование, покупка необходимого ПО), наличия времени на проведение резервного копирования, требуемого времени на проведение процесса восстановления оригинальных копий из резервных.
Следует предусмотреть хранение резервных копий в надежном месте, по возможности вне офиса, в другом здании, чтобы избежать возможного уничтожения их вместе с оригиналом. Вместе с тем нельзя забывать о физической безопасности резервных копий как в процессе доставки их к месту хранения, так и физической безопасности самого места хранения.
Если архивных копий нет
Поскольку абсолютной защиты не существует, то весьма вероятно, что атака на вашу организацию может быть успешной и злоумышленнику (вирусу) удастся нанести вред вашей компьютерной сети или какая-то часть вашего оборудования может быть разрушена вследствие стихийного бедствия. Без средств восстановления (или при неправильной настройке таковых) вам потребуется множество времени и денег для восстановления системы (впрочем, конечно же, это при условии, что вам удастся ее восстановить, что вовсе не очевидно).

Что делать?
В первую очередь
1. Создайте график проведения резервного копирования. Создавая его, учтите, что все изменения, прошедшие от момента создания резервной копии до времени восстановления, вам придется восстанавливать вручную.
2. Храните резервные копии на протяжении достаточно длинного периода времени, чтобы можно было устранить проблемы, выявленные с опозданием.
3. Время от времени тестируйте процесс архивации и проверяйте процесс восстановления.
4. Создайте план работы в случае чрезвычайной ситуации.
5. Время от времени устраивайте проверку работы сотрудников в случае чрезвычайной ситуации и знание ими своих обязанностей.
Дополнительные действия
1. Максимально автоматизируйте процесс архивации.
2. Убедитесь, что в процессе создания резервной копии регистрируется время и дата.
3. Создавайте копии на различных носителях.
4. Проверяйте процесс создания резервных копий, восстанавливая и контролируя корректность восстановленных данных.


Рекомендация 8.
Устанавливайте обновления для программного обеспечения
Затраты: умеренные — плата за обслуживание программного обеспечения плюс время, затрачиваемое персоналом на установку и проверку
Уровень технических навыков: средний/высокий
Участники: специалисты по технической поддержке

Зачем это нужно?
Для улучшения программного обеспечения или исправления ошибок поставщики регулярно выпускают обновления (исправления). Многие из этих обновлений предназначены для устранения так называемых уязвимостей программного обеспечения, которые могут быть использованы злоумышленниками. Регулярная установка таких обновлений позволяет свести к минимуму возможности использования уязвимостей для нанесения ущерба вашей организации.
В основном, бесплатные обновления предлагаются с веб-узла соответствующего поставщика ПО. Для уведомления о выходе обновлений рекомендуется подписаться на бесплатную рассылку у соответствующего поставщика.
Кроме того, следует знать, что вполне вероятна ситуация, при которой обновление, закрывая одну уязвимость, порождает другую.
Устанавливая обновления, стоит помнить о необходимости их тестирования до установки.
Если не устанавливать обновления
Следует помнить, что любое программное обеспечение пишут люди, а людям свойственно ошибаться! Следовательно, любое ПО содержит ошибки. Не устанавливая обновлений, вы рискуете не устранить уязвимости, уже выявленные другими людьми и успешно используемые злоумышленниками и написанным ими вредоносным ПО. Чем дольше вы не устанавливаете обновления, тем выше вероятность, что рано или поздно злоумышленники используют не устраненные вами уязвимости для атаки на вашу систему.

Что делать?
В первую очередь
Приобретая программное обеспечение, обратите внимание, как предоставляются обновления. Узнайте, осуществляется ли техническая поддержка. Если обновления не предоставляются, узнайте, как производится переход на новую версию и когда ее ждать.
Как можно быстрее обновляйте операционные системы и коммуникационное ПО. Подпишитесь на службу рассылки уведомлений.
Дополнительные действия Некоторые разработчики ПО предлагают программное обеспечение, которое само следит за актуальностью обновлений. Такое ПО обладает функцией проверки, загрузки и установки обновлений. Вместе с тем нельзя забывать, что вначале нужно протестировать представленное обновление, а уж затем его устанавливать.


Рекомендация 9.
Внедрите систему безопасности сети с контролем доступа
Затраты: умеренные/высокие, в зависимости от выбранного варианта
Уровень технических навыков: умеренный/высокий
Участники: специалисты службы поддержки и все пользователи сети

Зачем это нужно?
Хорошая система защиты информации включает в себя защиту доступа ко всем сетевым компонентам, включая межсетевые экраны, маршрутизаторы, коммутаторы и подключенные рабочие станции.
Исходя из того, что все это еще и разбросано территориально, обеспечить контроль за всем этим оборудованием и программным обеспечением – тяжелая задача.
Дополнительные сведения
Чрезвычайно важно иметь надежный контроль доступа в случае использования беспроводных сетей. Совсем несложно получить доступ к незащищенной беспроводной сети и подвергнуть опасности всю организацию.
Использование удаленного доступа к сети организации должно тщательно контролироваться, так как бесконтрольное использование таких точек доступа приведет к взлому сети всей организации.
Что происходит, когда надежная защита сети не обеспечена?
Если надежная защита не обеспечена, несложно понять, что такая сеть будет взломана на протяжении нескольких часов или минут, особенно если доступ к Интернет предоставляется с помощью высокоскоростного соединения. В свою очередь взломанное устройство будет представлять собой опасность для всей остальной сети, так как оно будет использовано для последующей атаки на всю сеть.
Стоит помнить, что наибольшую опасность представляют не внешние, а внутренние взломщики, т.е. злоумышленники из числа персонала. Если безопасность поставлена из рук вон плохо и ею никто всерьез не занимается, то сотрудники могут взломать компьютеры своих коллег, ведь средств для этого в Интернет достаточно.

Что делать?
В первую очередь
1. Ограничить доступ к компонентам, чтобы защитить их от несанкционированного доступа и повреждения;
2. Реализовать процедуру аутентификации на основе надежной парольной защиты;
3. Отключить на каждом компьютере функции совместного использования файлов и принтеров;
4. Провести инструктаж с сотрудниками об отключении компьютеров при их неиспользовании;
5. Предоставить доступ к устройствам защиты сети только тем сотрудникам, которые отвечают за их обслуживание и поддержку;
6. Требовать проходить проверку подлинности при беспроводном и удаленном соединении.
Дополнительные действия
1. Проанализируйте возможность внедрения средств строгой аутентификации (смарт-карт, одноразовых аппаратных паролей, eToken и т.д.) для организации удаленного доступа к ключевым компонентам сети.
2. Научите сотрудников использовать данные устройства.
3. Организуйте мониторинг вторжений, чтобы обеспечить надлежащее использование сети.


Рекомендация 10.
Ограничивайте доступ к ценным и конфиденциальным данным
Затраты: умеренные/высокие, в зависимости от выбранного варианта
Уровень технических навыков: умеренный/высокий
Участники: специалисты по технической поддержке

Зачем это нужно?
Поскольку мы не можем надеяться на соблюдение сотрудниками всех установленных правил, то обязаны следить за их поведением и не давать лишний повод нарушить инструкции.
Что это значит в нашем случае?
1. Электронная почта просматривается только теми лицами, кому она адресована;
2. Доступ к файлам и базам данных предоставляется только тем, кто обладает соответствующими полномочиями, причем не более того, что им нужно для выполнения работы.
А раз так, то, следовательно, мы должны контролировать просмотр и использование информации можно с помощью соответствующих списков доступа.
Если вы не можете жестко контролировать доступ к данным, то такие данные необходимо шифровать. При этом механизм шифрования должен быть достаточно сложным, чтобы максимально затруднить взлом шифра.

Что делать?
В первую очередь 1. Объясните сотрудникам необходимость осторожности при пересылке конфиденциальных данных по электронным каналам;
2. При тестировании не используйте реальных данных;
3. Не используйте общедоступные ПК для получения доступа к конфиденциальной информации;
4. Не раскрывайте личные и финансовые данные на малоизвестных сайтах.


Рекомендация 11.
Составьте и соблюдайте план управления рисками, связанными с безопасностью
Затраты: умеренные, методология управления рисками доступна бесплатно
Уровень технических навыков: низкий/умеренный
Участники: представители всех уровней компании и специалисты службы поддержки

Для чего это нужно?
Для того чтобы защита вашей информации была действительно эффективной, безопасность должна быть последовательно внедрена во всей организации. Необходимо понимать, что внедрение самых строгих технических мер контроля не является панацеей. Необходимо комплексное внедрение организационных и технических мер защиты. А лучшим решением является внедрение плана управления рисками безопасности.
При этом процесс планирования должен включать следующее:
1. Обучение и информирование пользователей о проблемах безопасности;
2. Политики и правила безопасности;
3. Совместные мероприятия по безопасности (партнеры, подрядчики, сторонние компании);
4. Политику непрерывности бизнеса;
5. Физическую безопасность;
6. Безопасность сети;
7. Безопасность данных.
В повседневной деятельности не сложно упустить из вида такие мероприятия, как обучение сотрудников правилам соблюдения безопасности, планирование непрерывности бизнеса. Однако необходимо понимать, что ваша компания зависит от информационных технологий в гораздо большей степени, чем вы себе представляете.
Что происходит в отсутствие плана управления рисками, связанными с безопасностью?
Если у вас нет четкого плана управления рисками, то на все инциденты безопасности вы вынуждены реагировать постфактум. Все ваши меры будут сводиться лишь к латанию дыр.

Что делать?
В первую очередь
Создайте и проанализируйте план на случай возникновения чрезвычайной ситуации:
1. Определите самые главные угрозы вашей организации.
2. Проанализируйте воздействие естественных угроз (наводнение, ураган, длительное отсутствие электроэнергии).
Дополнительные действия
1. Определите ваши технологические активы;
2. Определите угрозы для этих активов;
3. Разработайте план безопасности.


Рекомендация 12.
При необходимости обращайтесь за технической поддержкой и сторонней помощью
Затраты: низкие/высокие, в зависимости от требуемых услуг
Уровень технических навыков: средний/высокий
Участники: руководство компании и специалисты по технической поддержке

Для чего это нужно?
Обращайтесь за необходимой помощью
Защиту информации нельзя строить методом проб и ошибок. Безопасность – динамичный процесс, который не прощает ошибок. Кроме того, стоит понимать, что создание системы защиты информации – непрерывный процесс, построение которого нельзя доверять дилетантам.
Необходимо тщательно рассматривать кандидатуры на должности связанные с защитой информации. Лица, занимающиеся вопросами безопасности не должны вызывать ни малейших сомнений. Требуйте, чтобы они смогли вам показать, как принятые ими меры могут защитить вашу компанию от атак.

Что делать?
В первую очередь
Если вы собираетесь обратиться за внешней поддержкой, обратите внимание на следующее:
1. Опыт работы.
2. Список клиентов.
3. Рекомендации нынешних клиентов.
4. Как долго компания занимается этим бизнесом.
5. Кто конкретно из специалистов будет с вами работать.
6. Их квалификация, наличие сертификатов.
7. Как предоставляется поддержка.
8. Как контролируется внешний доступ.


Дополнительные действия Не реже одного раза в год проводите аудит своей службы безопасности (внешний или внутренний).

На конкурсе http://itbonus.itcommunity.ru выиграл Xbox. Сама по себе приставка мне не нужна, может сын играть будет. Но приятно!

Опубликовал видео доклад http://www.techdays.ru/videos/1493.html

Описание доклада Сегодня уже никто не сомневается в необходимости шифрования. Однако до недавних пор люди стали обращать внимание не только на шифрование ноутбуков, а и на шифрование серверов и самое главное – на шифрование внешних устройств (жестких дисков, USB-флеш и т.д.). С появлением в начале Windows Server 2008, а затем и Windows Server 2008 R2 возможность шифрования стала уж встроенной функцией операционной системы. В данном докладе я попытаюсь описать процесс шифрования с помощью BitLocker в Windows Server 2008 R2. Стоит сразу же отметить, что в шифровании под управлением Windows Server 2008 R2 появилось много нового, о чем также будет рассказано в данном докладе.