темы

Создание культуры
безопасности
Прочная основа:
Защита
учетных записей и устройств
Коммуникации и
безопасное хранение данных
Безопасность
в Интернете
Защита физической
безопасности
Что делать, когда
что-то идет не так

Прочная основа: защита учетных записей и устройств

Защищенные устройства

Последнее обновление: июль 2022 г.

Помимо учетных записей, важно обеспечить надежную защиту всех устройств – компьютеров, телефонов, USB-накопителей, внешних жестких дисков и т. д. Такая защита начинается с внимательного выбора типа устройств, приобретаемых и используемых вашей организацией и сотрудниками. Выбранные поставщики или производители должны иметь подтвержденный опыт соблюдения мировых стандартов в отношении разработки защищенных аппаратных устройств (например, телефонов и компьютеров). Все приобретаемые устройства должны быть произведены проверенными компаниями, у которых нет мотивации передавать данные и информацию потенциальному противнику. Важно отметить, что власти Китая требуют от китайских компаний предоставлять данные центральному правительству. Поэтому рекомендуется избегать использования таких смартфонов, как Huawei или ZTE, несмотря на их повсеместное распространение и невысокую стоимость. Идея приобрести для своей политической партии недорогое аппаратное обеспечение может быть очень заманчивой, но, памятуя о потенциальных угрозах безопасности, стоит сделать выбор в пользу устройств других марок, поскольку доступ к данным помогает правительству Китая осуществлять таргетинг на различных политических деятелей и организации.

Ваши противники могут поставить под угрозу безопасность ваших устройств – и всего, что вы делаете с помощью этих устройств, – получив физический либо «удаленный» доступ к устройству.

Безопасность устройств и политические партии

cyber Photo

Помимо финансово мотивированных атак программ-шантажистов, политические партии нередко становятся мишенью сложных вредоносных программ, разработанных специально для атаки на их устройства. Так, в Уганде правительство сотрудничало с техническими специалистами компании Huawei в целях наблюдения за оппозиционными политическими партиями и оппонентами, в том числе за ведущим кандидатом от оппозиции Боби Вайном, чтобы получить доступ ко внутрипартийной переписке и сорвать предвыборную кампанию. Предприняв несколько безуспешных попыток добиться цели своими силами, власти обратились к техническим специалистам с просьбой помочь заразить устройства членов оппозиционной партии шпионским программным обеспечением. Всего за два дня им удалось получить доступ к конфиденциальным сообщениям, проникнув в основные групповые чаты WhatsApp. Благодаря этому доступу власти узнали о запланированных уличных митингах оппозиционной партии и смогли сорвать их, а также арестовать Вайна и десятки его сторонников.

Физический доступ к устройству вследствие его утери или кражи

Для предотвращения физического взлома необходимо обеспечить физическую безопасность устройств. Иными словами, не позволяйте противнику легко украсть или позаимствовать ваше устройство. Прячьте под замок устройства, оставляя их дома или в офисе. Или, если считаете, что так безопаснее, держите их при себе. Неотъемлемой частью безопасности устройства, разумеется, является физическая безопасность вашего рабочего пространства (будь то в офисе или дома). Потребуется установить надежные замки, камеры видеонаблюдения или другие системы контроля, особенно если ваша организация в группе высокого риска. Посоветуйте сотрудникам обращаться с устройствами как с большой пачкой наличных денег – не оставлять их без присмотра или без защиты.

Что делать, если устройство украли?

Чтобы смягчить последствия кражи устройства или даже кратковременного получения доступа к данному устройству, сделайте обязательным использование надежных паролей или кодов доступа на всех компьютерах и телефонах. Советы по работе с паролями из раздела «Пароли» настоящего Пособия применимы и к процессу установки надежного пароля на компьютер или ноутбук. Что касается блокировки телефона, рекомендуется использовать коды, состоящие минимум из шести-восьми цифр, и избегать использования «графических ключей» для разблокирования экрана. Дополнительные советы по блокировке экрана см. в программе детоксикации данных Data Detox Kit от Tactical Tech. Использование надежного пароля значительно усложняет для противника быстрое получение доступа к информации на вашем устройстве в случае кражи или конфискации.

Если в корпоративных устройствах предусмотрена функция «Поиск устройства», например «Найти мой iPhone» на iPhone или «Найти мое устройство» на Android, попросите сотрудников ее включить. Рекомендуйте сотрудникам использовать такие функции и на личных устройствах. Если эти функции включены, владелец устройства (или его доверенное контактное лицо) может определить местонахождение устройства или удаленно стереть с него данные в случае кражи, потери или конфискации. В iPhone можно также настроить автоматическое удаление данных после нескольких неудачных попыток входа. Наличие таких функций управления устройствами становится критически важным для организации, если устройство с конфиденциальной информацией теряется или попадает в чужие руки.

А как насчет шифрования устройства?

Важно использовать шифрование, скремблирование данных. Зашифрованные данные нечитабельны и непригодны для использования на всех устройствах, особенно на компьютерах и смартфонах. По возможности рекомендуется настроить так называемое полное шифрование диска на всех устройствах в организации. Полное шифрование диска означает, что устройство будет полностью зашифровано. Поэтому если противник физически украдет устройство, он не сможет извлечь данные, не зная пароля или ключа, которые использовались для шифрования.

Во многих современных смартфонах и компьютерах предусмотрена функция полного шифрования диска. В устройствах Apple, включая iPhone и iPad, полное шифрование диска можно включить при установке обычного кода доступа к устройству. В компьютерах Apple, работающих под управлением macOS, предусмотрена функция под названием FileVault, которую необходимо включить для полного шифрования диска.

В компьютерах, работающих под управлением Windows (версии Pro, Enterprise и Education), предусмотрена функция под названием BitLocker, которую необходимо включить для полного шифрования диска. Функцию BitLocker можно включить, следуя этим инструкциям от Microsoft, которые должен предоставить администратор вашей организаторы. На операционной системе Windows версии Home функция BitLocker недоступна. Однако и на таких устройствах можно включить полное шифрование диска, перейдя в раздел «Обновление и безопасность»&; «Шифрование устройства» в настройках ОС Windows.

Устройства, работающие под управлением Android начиная с версии 9.0 и выше, поставляются с включенным по умолчанию шифрованием файлов. Шифрование файлов в Android отличается от полного шифрования диска, но тоже обеспечивает высокий уровень защиты устройства. Если вы используете относительно новый телефон, работающий под управлением Android, и установили код доступа к устройству, шифрование файлов должно быть включено. Тем не менее, рекомендуется проверить настройки, чтобы убедиться в этом, особенно если вашему телефону больше пары лет. Для этого перейдите в раздел «Настройки» > «Безопасность» на своем устройстве Android. В настройках безопасности должен быть подраздел «Шифрование» или «Шифрование и учетные данные», в котором будет указано, зашифрован ли ваш телефон, и если нет, вы можете включить шифрование.

Ключи шифрования (именуемые также ключами восстановления) для компьютеров (неважно, работающих под управлением ОС Windows или Mac) особенно важно хранить в безопасном месте. В большинстве случаев такие «ключи восстановления» представляют собой длинные пароли или парольные фразы. Если вы забудете обычный пароль к устройству или произойдет что-то непредвиденное (например, сбой устройства), ключи восстановления окажутся единственным способом восстановить зашифрованные данные и, при необходимости, перенести их на новое устройство. Поэтому при включении полного шифрования диска обязательно сохраните эти ключи или пароли в безопасном месте, например в защищенной облачной учетной записи или в менеджере паролей вашей организации.

Удаленный доступ к устройству – взлом

Помимо обеспечения физической безопасности устройств, важно защитить их от вредоносных программ. В пособии Security-in-a-Box от Tactical Tech дается исчерпывающая информация о том, что представляют собой вредоносные программы и почему так важно их избегать. Ниже приводится краткое резюме указанного пособия.

Умение выявлять и избегать вредоносных программ 

Существует множество вариантов классификации вредоносных программ (термин, означающий вредоносное программное обеспечение). Вирусы, шпионское ПО, черви, трояны, руткиты, программы-шантажисты и криптоджекеры – все это вредоносные программы. Некоторые вредоносные программы распространяются по Интернету через электронную почту, текстовые сообщения, вредоносные веб-страницы и т. д. Другие передаются через устройства обмена данными, например USB-накопители. Одни типы вредоносных программ ждут, когда пользователь совершит ошибку, а другие тихо, не привлекая внимание пользователя и не ожидая от него каких-либо действий, заражают систему. 

Помимо обычных вредоносных программ, которые повсеместно распространены и нацелены на широкую публику, таргетированные вредоносные программы обычно используются для вмешательства или слежки за конкретным человеком, организацией или сетью. Такими приемами пользуются как обычные преступники, так и военные, разведка, террористы, онлайн-преследователи, агрессивные супруги и нечистые на руку политики.

Как бы они ни назывались, как бы они ни распространялись, вредоносные программы могут нарушить работу компьютера, украсть и уничтожить данные, разорить организации, вторгнуться в частную жизнь и подвергнуть пользователей риску. Одним словом, вредоносные программы представляют реальную опасность. Однако существует ряд простых шагов, которые ваша организация может предпринять, чтобы защититься от столь распространенной угрозы.

Помогут ли инструменты защиты от вредоносных программ?

К сожалению, среди средств защиты от вредоносных программ не существует одного комплексного решения. Однако можно использовать некоторые бесплатные инструменты в качестве базовой защиты. Вредоносные программы настолько быстро меняются, а новые риски настолько часто возникают в реальном мире, что полагаться на такой инструмент точно недостаточно.

Если вы используете Windows, обратите внимание на встроенный Защитник Windows. Компьютеры, работающие под управлением Mac и Linux, не поставляются со встроенным программным обеспечением для защиты от вредоносных программ, равно как и устройства, работающие под управлением Android и iOS. Для таких устройств можно установить надежный бесплатный инструмент, например Bitdefender или Malwarebytes (равно как и для компьютеров, работающих под управлением Windows).  Но не стоит полагаться на такие инструменты как на единственную линию защиты, as поскольку они наверняка пропустят часть наиболее таргетированных и опасных новых атак.

Кроме того, следует соблюдать осторожность и загружать проверенные инструменты защиты от вредоносных программ и антивирусы только из легальных источников (например, с веб-сайтов, ссылки на которые приведены выше). К сожалению, существует множество фальшивых или взломанных версий средств защиты от вредоносных программ, которые приносят гораздо больше вреда, чем пользы.

При использовании Bitdefender или другого средства защиты от вредоносных программ в организации никогда не запускайте две подобные программы одновременно. Многие из них идентифицируют поведение другой программы защиты от вредоносных программ как подозрительное и прерывают ее работу, в результате чего обе программы работают со сбоями. Для Bitdefender и ряда других средств защиты от вредоносных программ предусмотрено бесплатное обновление, а встроенный Защитник Windows обновляется вместе с операционной системой. Убедитесь, что ПО защиты от вредоносных программ регулярно обновляется (некоторые пробные версии коммерческого программного обеспечения, предустановленные на компьютере, будут отключены по истечении пробного периода, что делает его скорее опасным, чем полезным). Каждый день появляются и распространяются новые вредоносные программы. Если регулярно не обновлять базы средств защиты от вредоносных программ, компьютер скоро окажется фактически без защиты. При возможности настройте автоматическую установку обновлений для данного ПО. Если у вашего средства защиты от вредоносных программ режим «всегда включен» не является обязательным, включите его и периодически проводите сканирование всех файлов на своем компьютере. 

Используйте актуальные устройства

Обновления необходимы. Используйте для устройства самую свежую версию операционной системы (Windows, Mac, Android, iOS и т. д.) и регулярно обновляйте ее. Следите за тем, чтобы другое программное обеспечение, браузер и модули браузера также обновлялись. Устанавливайте обновления сразу после их появления. В идеале рекомендуется включить функцию автоматического обновления. Чем новее операционная система, тем менее уязвимо устройство. Воспринимайте обновления как пластырь на открытом порезе: они закрывают уязвимые места и значительно снижают вероятность заражения. Удалите программы, которые больше не используете. Устаревшие программы нередко имеют уязвимости. Некоторые из них разработчики перестают обновлять, что делает их более уязвимыми для хакеров.

Вредоносные программы в реальном мире: обновления необходимы

Malware photo

В 2017 году в результате атак программы-шантажиста WannaCry были заражены миллионы устройств по всему миру, что привело к закрытию больниц, государственных учреждений, крупных и малых организаций и предприятий в десятках стран.. Почему эта атака оказалась столь успешной? Из-за устаревших, «непропатченных», версий операционной системы Windows, многие из которых изначально были пиратскими. Большей части ущерба – как человеческого, так и финансового – можно было бы избежать, если бы использовались более эффективные методы автоматического обновления и легальные версии операционной системы.

Будьте осторожны с USB-накопителями

Соблюдайте осторожность, открывая файлы, отправленные вам в виде вложений, переходя по ссылкам для загрузки и т. д. Кроме того, дважды подумайте, прежде чем вставить в компьютер съемные носители, включая USB-накопители, карты флэш-памяти, DVD-диски и компакт-диски, поскольку они могут служить вектором для вредоносных программ. Вероятность наличия вирусов на совместно используемых USB-накопителях очень высока. Альтернативные варианты безопасного обмена файлами в организации описаны в разделе «Обмен файлами» настоящего Пособия.

Будьте осторожны и с другими устройствами, к которым подключаетесь через Bluetooth. Вы можете синхронизировать свой телефон или компьютер с проверенным динамиком Bluetooth, чтобы слушать любимую музыку, но будьте осторожны, подключаясь к сторонним устройствам или принимая от них запросы. Разрешайте подключения только к доверенным устройствам и не забывайте выключать Bluetooth, когда он не используется.

Будьте благоразумны при работе в сети

Никогда не принимайте и не запускайте приложения со сторонних и непроверенных веб-сайтов. Например, вместо того чтобы сразу принимать «обновление» во всплывающем окне браузера, проверьте наличие обновлений на официальном веб-сайте соответствующего приложения. Как говорится в разделе «Фишинг»настоящего Пособия, крайне важно сохранять бдительность при просмотре веб-сайтов. Проверьте назначение ссылки (наведя на нее курсор мыши), прежде чем перейти по ней. Перейдя по ссылке, обратите внимание на адрес веб-сайта и убедитесь, что он не вызывает подозрений, прежде чем вводить конфиденциальную информацию, например пароль. Не переходите по ссылкам в сообщениях об ошибках или предупреждениях. Следите за окнами браузера, которые появляются автоматически, внимательно читайте информацию, а не просто нажимайте «Да» или «ОК». 

Как защитить смартфоны?

Как и в случае с компьютерами, следите, чтобы операционная система и приложения были актуальными, и включите автоматическое обновление. Устанавливайте приложения только из официальных или доверенных источников, таких как магазин Google Play и Apple App Store (или F-droid, магазин бесплатных программ с открытым кодом для Android). Бывает такое, что приложения содержат вредоносный код, хотя кажется, что они работают нормально, и вы можете ничего не подозревать. Загружайте только легальные версии приложений. Особенно это касается пользователей Android. Для этой операционной системы существует множество «фальшивых» версий популярных приложений. Поэтому убедитесь, что приложение создано соответствующей компанией или разработчиком, убедитесь в наличии хороших отзывов и достаточном количестве загрузок (к примеру, у фальшивой версии WhatsApp может быть всего несколько тысяч загрузок, а у реальной версии их более пяти миллиардов). Обращайте внимание на разрешения, запрашиваемые приложением. Если что-то кажется вам чрезмерным (например, калькулятор запрашивает доступ к камере или игра Angry Birds запрашивает доступ к вашему местоположению), лучше отклонить запрос или удалить приложение. Удаляйте приложения, которые больше не используете. Это также поможет защитить ваш смартфон или планшет. Случается, что разработчики продают свои права на приложения другим людям. Новые владельцы могут решить подзаработать, встроив в программу вредоносный код.

Вредоносные программы в реальном мире: вредоносные мобильные приложения

iphone Screen

Хакеры из разных стран годами используют поддельные приложения в магазине Google Play для распространения вредоносных программ. В апреле 2020 года стало известно об одном конкретном случае, нацеленном на пользователей во Вьетнаме. В ходе данной шпионской кампании использовались поддельные приложения, которые якобы должны были помочь пользователям найти ближайшие пабы или информацию о местных церквях. После установки доверчивыми пользователями Android вредоносные приложения собирали журналы вызовов, данные о местоположении, а также информацию о контактах и текстовых сообщениях. Это лишь одна из многих причин, по которым следует соблюдать осторожность, загружая приложения на свои устройства.

Экономьте деньги и повышайте безопасность устройств организации с Tails

Операционная система Tails является достаточно безопасной, однако для ее настройки потребуются определенные технические навыки. Эта портативная операционная система распространяется на бесплатной основе, ее можно загрузить непосредственно с USB-накопителя, минуя необходимость использования лицензионных операционных систем Windows или Mac Tails также является хорошим вариантом для пользователей, подвергающихся высоким рискам, поскольку включает широкий спектр функций, повышающих конфиденциальность. Эти функции включают в себя интеграцию Tor (обсуждается ниже) для защиты вашего веб-трафика и полное стирание данных при каждом завершении работы операционной системы. По сути, эти функции позволяют начинать работу с чистого листа каждый раз, когда вы перезагружаете компьютер. В Tails также предусмотрен режим сохраняемости, который позволяет при желании сохранять важные файлы и настройки из нескольких сеансов.

Еще одной бесплатной и безопасной операционной системой является Qubes OS. Хотя это и не самый простой вариант для нетехнических пользователей, ОС Qubes предназначена для уменьшения угрозы вредоносных программ и прекрасно подходит для более опытных пользователей в организации, особенно если затраты на лицензирование являются 

Что делать, если мы не можем позволить себе легальное программное обеспечение?

Приобретение лицензионных версий популярного программного обеспечения, например Microsoft Office (Word, Powerpoint, Excel), для всей организации может оказаться слишком дорогостоящим, однако ограниченный бюджет не оправдывает загрузку пиратских версий программного обеспечения или отказ от обновлений. Это вопрос безопасности, а не морали. Пиратское программное обеспечение часто наполнено вредоносными программами и не может использоваться для устранения брешей в системе безопасности.

Если вы не можете позволить себе программное обеспечение, необходимое вашей организации, существует широкий выбор качественных бесплатных программ с открытым исходным кодом, например LibreOffice (вместо стандартных приложений Microsoft Office) или GIMP (вместо Photoshop), которые могут удовлетворить ваши потребности.

Даже если вы можете позволить себе легальное программное обеспечение и приложения, ваше устройство все равно подвержено риску, если базовая операционная система не является легальной. Поэтому если ваша организация не может позволить себе лицензии Windows, рассмотрите более дешевые альтернативы, например Chromebook, которые являются отличным вариантом с подходящей защитой для организаций, преимущественно работающих в облаке. Если вы используете Google Docs или Microsoft 365, потребность в большом количестве настольных приложений вообще отсутствует – бесплатных редакторов документов и электронных таблиц в браузере более чем достаточно для выполнения практически любой задачи.

Еще один вариант, при наличии сотрудников с техническими навыками, – это установить на каждый компьютер бесплатную операционную систему на базе Linux (альтернатива операционным системам Windows и Mac с открытым исходным кодом). Одной из популярных и довольно удобных для пользователя версий Linux является Ubuntu. Независимо от выбранной операционной системы, назначьте в организации лицо, ответственное за регулярную проверку наличия последних обновлений у сотрудников.

Выбирая новый инструмент или систему, обдумайте, как ваша организация будет технически и финансово поддерживать их функционирование в долгосрочной перспективе. Задайте себе такие вопросы: Можете ли вы позволить себе нанять и удержать сотрудников, способных обеспечить бесперебойную работу таких инструментов или системы? Готовы ли вы платить за возобновляемые подписки? Ответы на эти вопросы помогут вам постепенно сделать программные и технические стратегии более успешными.

обеспечение безопасности устройств

  • Расскажите сотрудникам об угрозах, которые несут вредоносные программы, и передовых методах уменьшения таких угроз.
    • Составьте правила подключения внешних устройств, переходов по ссылкам, загрузки файлов и приложений, а также проверки разрешений для программ и приложений.
  • Сделайте обязательным регулярное обновление устройств, программного обеспечения и приложений.
    • По возможности включите автоматическое обновление.
  • Убедитесь, что на всех устройствах установлено лицензионное программное обеспечение.
    • Если его стоимость слишком высока, подберите бесплатную альтернативу.
  • Сделайте обязательной защиту паролями всех устройств в организации, включая личные мобильные устройства, используемые для коммуникаций, связанных с работой.
  • Включите полное шифрование диска на всех устройствах.
  • Почаще напоминайте сотрудникам о необходимости обеспечить физическую безопасность их устройств и обеспечьте безопасность офиса организации с помощью соответствующих замков и способов защиты компьютеров.
  • Не обменивайтесь файлами посредством USB-накопителей и не подключайте USB-накопители к компьютерам.
    • Вместо этого используйте альтернативные варианты безопасного обмена файлами.