25 авг. 2011 г.

11 основных задач КАЖДОЙ организации по повышению безопасности в 2011-2012 годах

1. Оценить, снизить и отслеживать возможные атаки на клиентские приложения в сети (client-side attacks)

ПОЧЕМУ: В 2010 году такие атаки развивались нереально стремительно. Программисты браузеров и просмотрщиков и проигрывателей мультимедиа, а также плагинов к ним вынуждены были по два раза в месяц выпускать обновления, чтобы закрывать найденные дырки.

КАК: Для различных классов приложений создать стандартный набор принятый в организации. Контролировать версии приложений в нем и следить, чтобы у всех стояли последние версии. В случае отсутствия патча для свежей дырки придумать что делать: принимать риск или отказываться от приложения или иметь IPS для защиты.

2.Пользуйтесь социальными сетями и обучайте сотрудников

ПОЧЕМУ: Социальные сети будут продолжать увеличивать влияние вашего бренда, снижать расходы и поддерживать контакты с заказчиками. Ваши сотрудники буду продолжать общаться со всеми людьми без разбора по интернет по всей планете. Это создает риски раскрытия приватной информаци компании и использования общедоступной персональной информации ваших сотрудников для атаки посредством социальной инженерии.

КАК: Оповестить о политике компании по раскрытию информации сотрудниками и деятельности которую они могут вести по неофициальным каналам. Обучить сотрудников этой политике и рассказать как они могут защитить себя от атак через социальные сети.

3. Разработать программу безопасности мобильных устройств

ПОЧЕМУ: Все больше смартфонов, ноутбуков и других устройств содержат информацию принадлежащую компании и в то же время находятся в руках сотрудников путешествующих по всему миру. Ожидается что в следующие годы атаки на мобильные устройства будет превалировать атакам на рабочие станции.

КАК: Оцените используемые вашими сотрудниками мобильные платформы и соотнесите как они могут выполнять ваши политики безопасности, примите решение как прекратить использование небезопасных устройств. Чем больше контроля у вас есть за конфигурацией мобильных устройств сотрудников, тем меньше риск утечек информации.

4. Используйте многофакторную аутентификацию

ПОЧЕМУ: Люди имеют тенденцию использовать легкие для запоминяния пароли (слабые) если у них есть возможность. Даже если у вас есть строгая парольная политика, все равно сотрудники используют самые слабые из возможных паролей.

КАК: Многофакторная аутентификаци не может быть применена в каждом случае, но должна быть рассмотрена в каждом случае. Критичными для такого рода защиты считаются удаленный доступ различного рода, например по VPN. Цена добавления второго фактора меньше чем влияние возможного вторжения в сеть и кражи данных.

5. Прекратите передавать трафик в открытом виде

ПОЧЕМУ: Злоумышленники знают что внутри корпоративной сети важные данные передаются в открытом виде

КАК: Внедрите SSL сертификаты на WEB транзакции, включите шифрование электронной почты и шифрование транзакций внутренних систем.

6. Виртульные патчи для веб приложений должны быть постоянными, пока не будут устранены все уязвимости

ПОЧЕМУ: И внешние и внутренние WEB приложения должны на постоянной основе проверяться и вручную и автоматически на наличие уязвимостей. Уязвимости должны быть немедленно прикрыты виртуальным патчем, пока разработчики не выпустят настоящий.

КАК: Реализовать защиту IPS или WAF перед веб серверами. Как только обновление выпущено для реального исправления, то можно снимать виртуальный патч.

7. Заставьте работать группы реагирования на инциденты

ПОЧЕМУ: Группы реагирования на инциденты должны расследовать любые аномалии и самые сложные случаи. Очень часто бывают небольшие сигналы о криминальной активности, но ими никто не занимается и все ждут чего-то "большого", чтобы заняться этим, хотя можно было предотвратить угрозу на начальном этапе.

КАК: Если нет такой группы, то создайте ее. Эта группа людей должна иметь доступ ко всем журналам безопасности собираемым SIEM. Она должна реагировать на самые слабые признаки криминальной активности.

8. Требуйте ответственного отношения к безопасности от сторонних компаний

ПОЧЕМУ: Сторонние компании и их продукты добавляют в наши сети свои уязвимости, в результате установки настроек по умолчанию, включая известные всем логины и пароли или небезопасные методы доступа.

КАК: Организация должна знать какие требованияя накладывают на них государственные органы и индустриальные акты и что соотвественно ей нужно требовать от сторонних производителей, чтобы использование их продуктов соответствовало требованиям. Для больших стратегических отношений нужно требовать от своих партнеров постоянного проведения проверок безопасности их продуктов и соответсвующего оповещения о состоянии безопасности вашей организации. Вдобавок к проверке функционала на безопасность нужно еще контролировать и требовать наличия процессов контроля безопасности при внедрении их продуктов и осуществлении поддержки.

9. Реализуйте контроль доступа к сети

ПОЧЕМУ: Многие внутренние сети вообще не имеют такого контроля. Нужно понимать, что если с внешней стороны злоумышленники имеют доступ к 3 уровню модели OSI, то внутри сети - ко второму, соотвественно многие атаки типа "человек посередине" легко реализуются злоумышленниками.

КАК: Контроль доступа к сети совместно с грамотной сегментацией позволит быть устойчивым к внутренним атакам.

10. Анализируйсте все события

ПОЧЕМУ: Сетевые устройства, сервера, рабочие станции и приложения могут генерировать события. Мы часто не включаем их, поскольку "шум", который они создают перегружает возможности сотрдуников. Однако именно эти события часто и служат источником раннего обнаружения вторжения в сети.

КАК: Установите SIEM. Это позволит выделить из "шума" полезную информацию и сразу приступать к действиям, а также отслеживать их правильность.

11. Реализуйте программу обучения сотрудников всей организации о проблемах с безопасностью

ПОЧЕМУ: Знание, что в компанию может проникнуть злоумышленник не остановит настоящего злоумышленника, но это поможет обнаружить его намного раньше. Даже студент-практикант, может обнаружить что-то, если ему просто довести до ума что нужно контролировать и что может быть и что не может быть в компании. Такие тренинги нужны, чтобы бороться с атаками методом социальной инженерии.

КАК: Организации следует посмотреть что включать в такую программу и сделать ее обязательной для каждого сотрудника, вне зависимости от должности и должностных обязанностей. Этот тренинг надо повторять как минимум ежегодно и рассказывать всем новым сотрудникам.


Все эти полезные пункты были собраны в одном месте здесь по результатам разбора уже случившихся инцидентов. По сути то что мы всегда счтали теорией, стало протестированной практикой и было бы здорово, если еще и лучшей практикой. Подробнее вы можете прочитать на английском языке:

Комментариев нет:

Отправить комментарий