Базовые правила кибергигиены

9 июнь, 2020 - 14:02КО

Базовые правила кибергигиены

Сегодня информационные технологии окружают нас повсюду, а мобильные устройства обеспечивают круглосуточный доступ к разнообразным интернет-сервисам. Однако удобная возможность в любой момент найти нужную информацию, обмениваться сообщениями, осуществлять покупки онлайн, имеет и обратную сторону – злоумышленникам также становится все проще проникать в слабозащищенные гаджеты невнимательных пользователей, чтобы затем, так или иначе, использовать их с целью наживы.

Поэтому в наше время соблюдать базовые правила кибергигиены не менее важно, чем мыть руки. Под кибергигиеной подразумеваются меры безопасности для защиты устройств пользователя, будь то ноутбук или смартфон, от заражения вредоносным ПО и возможного похищения конфиденциальной информации. Причем если неприкосновенность частной жизни – в конечном счете, личное дело каждого, то для организаций и предприятий небрежность работников чревата простоями и финансовыми потерями. Отсюда и первое правило.

1. Регулярно напоминайте сотрудникам о важности кибербезопасности

Современные угрозы становятся все более изощренными, поэтому важно постоянно актуализировать знания и навыки работников в области кибербезопасности. Хорошим подспорьем в этом деле могу стать регулярные тренинги, в том числе посредством специализированных решений, а также проверки на реальных примерах использования методов социальной инженерии и фишинга. Не повредит и периодическая информационная рассылка по электронной почте.

Сотрудники должны четко усвоить, что очень опасно без разбору открывать ссылки, особенно из сообщений от незнакомых отправителей, а также хранить важные рабочие файлы на личных носителях информации или мобильных устройствах. Крайне нежелательно оставлять компьютер разблокированным, даже при кратковременных отлучках с рабочего места, или позволять коллегам входить под своей учетной записью. Работники должны понимать, почему опасно обмениваться внутренними файлами в обход корпоративной ИТ-системы – через социальные сети или публичные облачные сервисы. С другой стороны важно собирать обратную связь – насколько для вашей команды удобны имеющиеся инструменты, и, может, каких рабочих средств не хватает.

Артем Синицын

руководитель программ информационной безопасности Microsoft странах Центральной и Восточной Европы

Базовые правила кибергигиены«Человеческий фактор остается самым "слабым звеном". Поэтому для защиты от фишинга и других атак, играющих на людских слабостях, необходимо всерьез заняться повышением уровня общего уровня культуры организации в области кибербезопасности.

Во-первых, нужно разработать программу повышения осведомленности ваших сотрудников в вопросах цифровой гигиены и базовых правилах кибербезопасности. Для этого в составе центра безопасности Microsoft 365 есть готовые курсы подготовки, доступные как администраторам сервиса, так и конечным пользователям. Материалы посвящены распознаванию и противодействию фишинговым атакам, обеспечению защиты домашних устройств и персональной активности в сети Интернет, а также вопросам обеспечения приватности и защиты персональных данных.

Во-вторых, после прохождение тренингов стоит закрепить полученные знания на практике. В этом поможет инструмент "Симулятор атак", позволяющий автоматизировать подготовку и реализацию проверочных атак на сотрудников без какого-либо вреда деятельности бизнеса. Симуляр поддерживает такие сценарии атак, как отправка проверочного фишинг-сообщения всем сотрудникам организации, подготовка специализированного сообщения для конкретных целей в компании (spear phishing), попытка реализации атак с распылением пароля (password spray) и методом перебора (brute force) для проверки учетных записей на устойчивость»

2. Безопасность паролей важна

Технологии биометрической аутентификации стремительно развиваются, и сегодня разблокирование устройства по отпечатку пальца, к примеру, уже стало стандартом де-факто в смартфонах. Однако стационарные компьютерные системы обновляются реже и тут этот подход не получил такого широкого распространения. Мы все еще активно используем специальные коды для защиты доступа к различным ИТ-системам и она должна быть надежной.

Не следует записывать пароли и хранить их на виду или в легкодоступном месте. Коды доступа должны быть достаточно длинными и сложными, содержать разные буквы, цифры и знаки. Для упрощения запоминания рекомендуется использовать парольные фразы или специальные программы для их хранения. Для разных сервисов желательно выбирать отличающиеся последовательности символов, а в случае их возможной компрометации – как можно быстрее заменить. При возможности хорошо дополнить пароль многофакторной аутентификацией. Для этого есть множество вариантов, в том числе на базе того же смартфона.

«Использование исключительно паролей – очень плохой вариант. Тут не спасёт ни уникальность, ни частная смена. Безусловно, в наши дни стоит отдать предпочтение многофакторной аутентификации (MFA). Согласно исследованиям, это позволяет защитить от 99,9% всех атак на учетные записи.

При этом лучшим решением проблемы с паролями является отказ от их использования. Современные методы беспарольной аутентификации, такие как стандарт FIDO2 и протокол WebAuthn позволяют выполнить отказ от паролей очень просто и изящно.

В составе Microsoft 365 доступна служба аутентификации Azure Active Directory (AD), реализующая поддержку всех современных методов аутентификации, как для сервисов Microsoft, так и приложений третьих сторон, зарегистрированных в Azure AD.

Пользователи Windows 10 могут использовать Windows Hello для входа без пароля как в локальные службы, интегрированные с каталогом Microsoft AD, так и в сервисы Microsoft 365 через всем знакомые приложения Microsoft Word, Excel, PowerPoint, Outlook и Teams», – говорит Артем Синицын.

3. Работникам должны быть доступны актуальные ИТ инструкции

Чтобы пользователи не вызывали системных администраторов по каждой мелочи, компании обычно разрабатывают пошаговые инструкции: как воспользоваться офисным принтером, настроить почтовый клиент, подключиться к VPN и т.д. Удобнее всего если они сделаны в формате видеоролика, демонстрирующего необходимые действия. Однако при этом важно следить, чтобы такие руководства обновлялись по мере появления новых устройств или бизнес-процессов. В противном случае в них мало толку.

Особенно это касается правил поведения в случае возникновения сбоев или проблем с информационной безопасностью. Работники должны понимать, когда не стоит пытаться восстановить все своими силами, и знать, к кому обращаться в таком случае. Актуальная контактная информация ответственных технических специалистов должна быть всегда под рукой. Лучше всего в электронном виде.

4. Роли и полномочия учетных записей под контроль

Полномочия всех без исключения сотрудников, включая системных администраторов, должны быть четко ограничены их должностными обязанностями. Особенно в том, что касается ИТ-систем. Сотрудникам достаточно иметь доступ к своим рабочим программам и файлам. Установку ПО и контроль над системными файлами лучше оставить техническим специалистами. Возможность всем и каждому запускать на рабочем компьютере посторонние программы с администраторскими правами – плохая идея. Это короткий путь к нецелевому использованию ИТ-ресурсов предприятия и распахнутая настежь дверь для компьютерных вирусов.

Причем важно не просто разграничить права в ИТ-системе, но и своевременно актуализировать учетные записи, а также периодически проверять их на изменения. Чтобы оперативно удалять аккаунты уволившихся сотрудников или выявлять неоправданное расширение прав.

5. Сотрудники должны использовать для работы только лицензионное ПО

Использование пиратских программ из интернета чревато проникновением вирусов в ИТ-инфраструктуру предприятия и утечками данных. Экономия на покупке необходимого софта подвергает бизнес дополнительным рискам. Гораздо безопаснее оплатить лицензионное ПО или облачные сервисы. Чем рисковать персональными данными клиентов и конфиденциальной информацией предприятия, или восстанавливать ИТ-систему после атаки шифровальщика, например.

Нужно контролировать, чтобы сотрудники не скачивали непроверенный софт из интернета и сообщали, каких программ им не хватает для решения рабочих задач. Также важно следить за сроками действия лицензий и своевременно их продлевать.

Привычное ПО от проверенного поставщика поможет избежать многих проблем. Особенно когда в продукт изначально интегрированы механизмы киберзащиты. К примеру, пакет программ Microsoft 365 содержит целый ряд средств кибербезопасности, включая защиту учетных записей от компрометации, а данных от утечки, беспарольную или многофакторную аутентификацию. Также сервис обеспечивает динамический контроль доступа с оценкой рисков и учетом широкого спектра условий.

«Основное преимущество Microsoft 365 заключается в комплексном подходе к реализации модели безопасности на базе ключевых процессов и компонентов, таких как учетных данные, устройства, приложения и информационные активы.

Так, "Центр Безопасности Microsoft 365" выступает централизованным порталом для управления и механизмом настройки и аудита всех аспектов архитектуры безопасности. Инструмент "Оценка безопасности" позволяет оценить текущий статус компонентов защиты, а встроенные средства аналитики и персонализированные рекомендации помогут вам контролировать состояние корпоративных систем безопасности и без труда управлять политиками.

Именно за счет бесшовной интеграции различных механизмов и синергетического эффекта Microsoft 365 позволяет вам сосредоточиться на безопасности без ущерба для производительности», – считает Артем Синицын.

6. Обновление софта помогает устранить известные уязвимости

Использование лицензионного ПО обычно подразумевает доступ к технической поддержке и бесплатным обновлениям. Это дает возможность исправить обнаруженные в ходе эксплуатации недоработки и уязвимости, сделать продукт удобнее и надежнее, устранить бреши в безопасности.

Однако обновление софта требует времени на проверку совместимости и установку патчей. Нередко в повседневной рутине персонал месяцами откладывает важный апгрейд. А между тем в большинстве случаев для атак используются давно известные уязвимости. Зачем выискивать какие-то уникальные угрозы нулевого дня, когда можно воспользоваться чужой ленью и халатностью? Поэтому важно следить за критичными обновлениями и своевременно их устанавливать.

С другой стороны, пакет Microsoft 365 включает привычные многим программы Word, Excel, PowerPoint и Outlook, а также софт для безопасных звонков, корпоративный мессенджер и прочие современные инструменты для эффективной совместной работы. При этом он также позволяет без лишних усилий контролировать информационную безопасность в офисе – с ним в вашем распоряжении всегда актуальное легальное ПО и разнообразные автоматизированные средства обнаружения угроз, защиты и противодействия атакам.