Комментарии 38
Регулярно меняйте пароль? Ну ну. https://docs.microsoft.com/en-us/archive/blogs/secguide/security-baseline-final-for-windows-10-v1903-and-windows-server-v1903
Why are we removing password-expiration policies?
[...]
Periodic password expiration is an ancient and obsolete mitigation of very low value, and we don’t believe it’s worthwhile for our baseline to enforce any specific value. By removing it from our baseline rather than recommending a particular value or no expiration, organizations can choose whatever best suits their perceived needs without contradicting our guidance. At the same time, we must reiterate that we strongly recommend additional protections even though they cannot be expressed in our baselines.
Безопасник, всегда будь на стрёме
Какой правильный посыл! А далее:
Сотруднику отдела информационной безопасности стоит помнить, что каждый сотрудник ежедневно контактирует с конфиденциальной информацией, которая зачастую является целью злоумышленника. Поэтому важно заниматься не только защитой самих систем, но и обучать сотрудников компании кибер-гигиене.
И тут начинается так называемое обучение гигиене других сотрудников. А у этих других сотрудников полно своих обязанностей и дел: одни ведут бухгалтерию, другие торгуют, третьи программируют и т.д. Хорошего безопасника не видать. У него всё настроено и контролируется: мышь не проскочит, а не то что почта С ОДНОЙ другой буквой. Это всё равно, что домохозяек заставить изучать электротехнику/электричество. Нет, они пкупают утюги, микроволновки, много чего и всё это безопасно. Всё что они твёрдо знают и выполняют — это не совать два пальца в розетки.
А тут чеовек устраивается на рабооту дизайнером, ему дают комп и начинается. Когда же он сможет заниматься своим дизайном. Самое смешное, что многие безопасноники сами мало что знают про сеть, но вот параграфы того или иного документа — это от зубов отскакивает.
Видел и такой подход. На каждом рабочем месте DLP. Весь трафик расшифровывается и анализируется. Экран фотографируется. Любое подозрительное действие сразу же поднимает дежурного безопасника и начинается допрос требование обоснования. Бонусом проводится учёт рабочего времени на основе пробега мышки.
Это выглядит безопасно, но местами совершенно некомфортно. Лучше воспитывать сознательность, потому что DLP не защитит от серьёзных воров данных. Кстати, какой подход выберите для себя Вы?
Только не тот, о котором вы рассказали.
Я был свидетелем, когда безопасники остановили всю аналитику, посчитав, что корень аналитики это анал и исходя из этого настроили контроль доступа в интернет, а второй случай был в Татнефти, когда безопасник решил, что ему виднее какую почту пропускать вице-президенту. Чем кончилось, я думаю понятно.
Наверняка все сотрудники, имеющие доступ во внутреннюю инфраструктуру компании, при подписании трудового договора ознакамливаются с NDA (по крайней мере должны) и отдают себе отчет в том, что они могут быть входной точкой при атаке на компанию.
А так, базовая кибергигиена еще никому не вредила и уж тем более не мешала выполнять свои трудовые обязательства)
В конце концов, домохозяйки же не открывают дверь своего дома людям, которые неумело притворяются газовщиками, и не опускают подключенный утюг в наполненную ванну :)
"Базовая гигиена" ещё как может мешать, создавая ложное ощущение безопасности любых действий, которые её правила не покрывают.
Не говоря уже о том, что правила, перечисленные в статье, не просто "недостаточны", а бесполезны (претендуют на решение проблем, которые должны решаться иным способом на ином уровне).
Иллюстрация с поддельным email, например, синтетическая - если компании есть что терять в случае имперсонации, перекладывать всю ответственность по её обнаружению на рядового сотрудника может только идиот или скряга.
"Мешать, создавая ложное ощущение безопасности"? Мне кажется мы упускаем причинно-следственную связь автора первого комментария про помеху в работе.
Правила, описанные в статья являются базовой кибергигиеной, само собой, можно углубляться в этот вопрос.
Как хорошо, что никто ни на кого ничего не перекладывает (упоминания этого кстати даже нет в статье) и никого так и не уличили в идиотизме и ?скряжничестве? (к слову, не совсем понятно, к чему тут упоминание скупого человека).
Правила, описанные в статье, являлись базовыми 20 лет назад. Сейчас они покрывают только часть реальных проблем и покрывают часть не очень реальных.
Упоминание скряги и идиота, а также перекладывания ответственности тут при том, что если ваша компания может понести существенные потери от того, что сотрудник А не поймет, что письмо в его ящике - не от сотрудника Б, а от левого индивидуума, то не потратить деньги на нормальную почтовую систему, которая, как минимум помечает все внешние входящие сама - или идиотизм, или патологическая жадность.
Мне что-то подсказывает, что ваши представления о мерах информационной безопасности (конкретно - о том, что должно решаться инженерными, а что - административными мерами и почему) либо устарело, либо вообще очень слабое.
Патологическая жадность — это когда в заявке на широкий монитор надо указывать причины, по которым следует отнять широкий монитор у вашего коллеги и поставить вам, а ему отдать ваш узкий монитор.
Патологическая жадность — это когда вам для передвижной работы нужен ноутбук и вы должны сами на него заработать.
(Все случаи можно наблюдать.)
Я так понимаю вы работали только в компаниях, имеющих выстроенные ИТ/ИБ-процессы.
Во-первых, далеко не все компании уже находятся на той стадии развития, когда формируется отдел/департамент ИБ, выстраивающий описанные вами процессы.
Во-вторых, письма то помечаются, но все мы понимаем, что обычного человека эта плашка может нисколько не смутить и он таки распакует заветное письмо, перейдет по фишинговый ссылке и т.д.
В-третьих, в ряде компаний внешняя переписка является нормой из-за тесного взаимодействия с контрагентами, что делает пометку о внешнем адресате максимально бесполезной. Да, мы можем отправлять все вложения в песочницу, чтобы не попадаться на банальных малварей, можем даже обложиться всевозможными антивирусами на хостах. Но в конечном итоге, без ответственного подхода самого сотрудника к своим действиям, мы будем обречены на негативный исход. Именно поэтому во всех крупных компаниях с высоким уровнем зрелости ИТ/ИБ очень большое внимание уделяется образованию сотрудников в области ИБ-гигиены.
В-четвертых:
Мне что-то подсказывает, что ваши представления о мерах информационной безопасности (конкретно - о том, что должно решаться инженерными, а что - административными мерами и почему) либо устарело, либо вообще очень слабое.
Убедиться в этом суждении вы сможете только на нашем курсе по Информационной безопасности :) Уверен, что вы почерпнете для себя очень много нового и интересного!
Я работал в очень разных компаниях, хотя мой личный опыт и не имеет к вопросу никакого отношения.
Вы твердите одно и то же, совершенно игнорируя смысл аргументов, а теперь еще и выясняется, что вы имеете отношение к продаже каких-то (скорее всего - шарлатанских) курсов по ИБ. Инфоцыганщина во всей красе.
Настало время разоблачений!
А когда я обобщаю опыт разных других людей — тогда надо сводить ad hominem и порицать лично меня?
Товарищ! Почему же к себе вы применяете одно правило, а к другим людям другое?
А так, базовая кибергигиена еще никому не вредила
И что включает эта базовая "кибергигиена"?
домохозяйки же не открывают дверь своего дома людям, которые неумело притворяются газовщиками, и не опускают подключенный утюг в наполненную ванну
Ну ка расскажите про лже-газовщика на рабочем месте дизайнера!!!
И что включает эта базовая "кибергигиена"?
Ее правила описаны как раз в конце статьи)
А вы пробовали их показать нормальному человеку, особенно вот это:
Используйте криптостойкие пароли: такие, которые нельзя взломать с помощью специальной программы.
домохозяйки же не открывают дверь своего дома людям, которые неумело притворяются газовщиками
А это отличный случай ложной аналогии. Потому что обычная домохозяйка дома не имеет штата людей, обязанностью которых является обеспечение ее безопасности.
Верной аналогией (с компанией, в которой безопасность - реальная, а не ритуальная) была бы ситуация, когда охранник (почтовая система) даже не звонил бы ей, чтобы удостовериться, что она не вызывала газовщика, заявившегося без инструментов и документов, зато с мешком, перчатками и удавкой, задержанного на входе в дом.
Вот утюг в ванну бросать действительно не стоит. Это в том смысле, что базовые правила и требования к разумности сотрудников - есть, просто это совершенно не то, что описано в статье.
Блокируйте рабочий компьютер, когда вы от него отходите.
Но ведь тогда на нём не смогут работать другие сотрудники отдела. И что же, им бездельничать?
Пусть входят под своей учеткой. Первое время будут проблемы с любителями хранить документы на своем рабочем столе, но потом привыкают.
Я очень надеюсь, что вы шутите, а не пишете из 1996го года.
Вся безопасность в основном зависит от людей. А не от вирусов, злоумышленников и так далее.
Любой работник может вынести сколько угодно важной информации. Ничего не взламывая.
Зачем взламывать Яндекс, если можно пройти собеседование и все утащить?
Типичный безопасник, это человек, которого все ненавидят. Закрывает тебе все порты, что бы ты на коленях просил его открыт ь хоть один для работы.
Ставит антивирус, от которого твой ноутбук греется как печка.
И настраивает протухание пароля. Так, чтобы он потух прямо посередине реализа
Главная проблема безопасника в том, что ооочень много где его нет, а есть только сисадмин, он же сервисный инженер, он же монтажник, он же 1с итс, он же программмист и т.д.
А какие пути утечки данных? Как часто злоумышленник подкрадывается к компу, который вы не заблокировали или подбирает пароль, зная как зовут вашу кошку и др жены? Я думаю 99процентов утечек, это когда имеющий полный доступ человек тупо выкачивает базу. Как украли данные из яндекседы, например?
Стоило быть чуть внимательней и заметить, что почта отличается на одну букву, буквально на символ от почты вашего кадровика.
Статья про идеальный мир розовых пони, вы уж извините. В реальном мире, когда человеку приходит по 150 имейлов в день, а ему ещё при этом работать надо, будь этот человек хоть семи пядей во лбу, рано или поздно он "проколется". А если в компании человек не один, а их, например, 500, то любая хорошо подготовленная фишинг-атака пройдёт успешно с вероятностью 99,99999999%.
Поэтому не нужно перекладывать с больной головы на здоровую. Каждый должен делать свою работу: бухгалтер - делать проводки, программист - писать код, а безопасник - обеспечивать безопасность. Не поймите меня превратно: я двумя руками "за" компьютерную гигиену и сам, как могу, обучаю ей родственников и окружение. Но если у вас в компании безопасность держится исключительно на тренингах по выискиванию одного неправильного символа в адресе электронной почты - у меня для вас плохие новости. Вас до сих пор не взломали не потому, что у вас безопасность хорошая, а потому, что вы нафиг никому не нужны. Или хуже - вас уже давно взломали, но вы об этом просто ещё не знаете. Правила должны быть, но они должны быть выполнимыми. Например, "будьте внимательны к письмам, помеченным красной плашкой "адресат вне компании", с осторожностью открывайте прикреплённые файлы в них и переходите по ссылкам; никогда не вводите пароли по запросу в таких письмах". Или, ещё лучше. Внедрить SSO и правило "логин и пароль вводятся только на экране загрузки Windows, и больше нигде и никогда".
А письмо с адресом отправителя, на один символ отличающимся от адреса кадровика, вообще не должно доходить никому и никогда. И точка.
Представим ситуацию: погожий день, работа удалённая, почему бы не
потрудиться над задачами в кофейне? Пользователь подключается к
интернету через публичную незащищённую сеть Wi-Fi и в этот же момент
мошенник получает доступ ко всем документам на компьютере человека,
включая и рабочие — таблицы, базы данных, сканы.
А что, сейчас обычные компьютеры раздают содержимое своего жесткого диска направо и налево по сети без спроса? Мой Arch Linux этого точно не делает. Если подключение к незащищенному Wi-Fi действительно создает угрозу утечки документов, безопасника на кол, а жесткий диск переформатировать.
Полюби своего безопасника: печальный опыт и базовые правила кибергигиены