Одним из рисков для малого и среднего бизнеса является потеря ваших банковских учетных данных из-за плохих парней из-за использования регистратора ключей или другого вредоносного ПО в качестве Брюс Шнайер в блогах о. Особая угроза регистраторы ключей в реальном времени, как описано в NY Times. Суть в том, что, обладая информацией для входа в коммерческий банк, злоумышленники могут переводить деньги с ваших счетов, и у вас может не быть выхода. Вход в коммерческий банковский счет - это действительно ключ к королевству.
Я решил существенно повысить безопасность компьютеров, на которых используются эти банковские данные. Мои стандартные рекомендации по безопасности - это Windows XP SP3 с автоматическим внесением исправлений каждую ночь. Защита от вирусов включена (обычно мы используем ESET). Пользователи являются ограниченными пользователями; они не могут добавлять программное обеспечение. Программные ограничения не позволяют пользователю случайно или намеренно загрузить программное обеспечение и запустить его из своего пользовательского каталога. Мы используем IE8 из-за простоты управления им в среде Active Directory, но я считаю это потенциальным недостатком. К сожалению, наиболее вероятным вектором эксплойта нулевого дня является flash или acrobat, которые мы используем.
Безопасность - это всегда компромисс между удобством и безопасностью, поэтому ответы и предложения должны содержать плюсы и минусы. Я собираюсь ответить несколькими предложениями, чтобы вы могли видеть, к чему мои мысли.
Вы можете установить на нем другой компьютер с Linux / BSD, который используется только для доступа к веб-сайту банка. Если вы действительно хотите стать параноиком, вы можете подключить его к собственному выделенному Интернет-соединению и больше ничего не подключать к нему в обычной сети. Дает вам преимущества, аналогичные двойной загрузке, при этом ПК с Windows остается доступным для других задач. Обратной стороной является дополнительное оборудование / программное обеспечение для обслуживания. Всегда есть вероятность, что какой-нибудь гнусный сотрудник встроенный аппаратный USB-кейлоггер между клавиатурой и компьютером, независимо от того, что / как вы защищаете операционную систему и программное обеспечение.
Как и во всем, подход, основанный на оценке риска, будет лучшим, а степень к которому вы примете это, будет зависеть от вашего бюджета, риска, времени и потенциального ущерба от нарушения. Я, конечно, не жду, что вы здесь все сделаете.
Вот некоторые из векторов атаки:
Физические атаки
Типы атак
Это пространство, в котором вы собираетесь сосредоточиться на управлении вещами, связанными с физическим доступом:
Программные атаки
После того, как вы подключите систему к сети, вы получите массу удовольствия, чтобы не потерять контроль.
* Я только что установил рабочую станцию Specialized Security с ограниченной функциональностью, и, похоже, она работает нормально.
Сетевые атаки
Помимо упрочнения машины у вас также должны быть надежные транспортные средства защиты:
Что вы можете делать на этом уровне:
*** В наши дни SSL-атак - пруд пруди, все они по сути MITM (на момент написания этой статьи), поэтому вам следует принять меры для защиты от MITM.
*** И если вам необходимо использовать беспроводную сеть, не используйте ничего, кроме WPA2-Enterprise.
Проверьте механизмы аутентификации вашего банка! Mine добавляет токен псевдо-RSA в виде «карты кодов», и большинство транзакций - помимо просмотра балансов и перемещения денег между моими собственными счетами - требуют от меня ввода случайно выбранного числа из 100, напечатанных на этой карте. Каждый код можно использовать только один раз, и когда они все уйдут, я получу новую карту. Это удовлетворяет требованию двойного фактора «что-то, что вы знаете, и что-то, что у вас есть» без накладных расходов на выдачу всем пользователям настоящего токена RSA, и это только для личной учетной записи. Если ваш банк не может предоставить вам достойный уровень безопасности сверх этого для бизнес-счета, откажитесь от него и найдите тот, который будет!
Прекратите серфить в сети с этой машины. Не проверяйте электронную почту, не заходите на веб-сайты за пределами вашей локальной сети и т. Д. Делайте все это на каком-нибудь другом компьютере, а затем размещайте то, что вам нужно сделать с финансового компьютера, в локальной вики (или где-то еще). Не используйте финансовую машину в качестве файлового сервера, сервера печати и т. Д. И т. Д.
Затраты: Dell за 500 долларов для серфинга. Преимущества: Ваши данные в большей безопасности.
Я бы также инвестировал в брандмауэр (аппаратный, а не программный), который можно было бы поставить перед машиной. Не впускайте ничего и создавайте политики из вышеперечисленного, вместо того, чтобы доверять пользователям делать правильные вещи.
Обновитесь до Vista x64. Шутки в сторону. Надежно эксплуатировать гораздо сложнее.
Это не останавливает вредоносное ПО, которое запускают ваши пользователи (переходя на веб-сайты и т. Д.), Но останавливает сетевые атаки, которые вы вряд ли заметите.
В зависимости от количества транзакций, которые эти люди должны выполнить, вы можете выбрать бездисковую рабочую станцию ТОЛЬКО для банковских транзакций. Бездисковый сразу подразумевает загрузку с носителя, доступного только для чтения, например, с CD-ROM. Что-то вроде загрузочного Linux с удаленным CDROM, в котором только самый минимум программного обеспечения (то есть только веб-браузер) может быть допустимым вариантом для такого рода работы.
В дополнение к особым методам защиты хоста, ищите подходы для этого. Например, большинство программ веб-фильтрации блокируют известные плохие сайты. Если один из ваших пользователей рано или поздно попадет в него, это не поможет, но, как только он будет обнаружен, он довольно быстро попадет в списки фильтрации. В том же духе посмотрите на внешние DNS-решения, такие как OpenDNS которые выполняют аналогичную функцию, но без требований к программному обеспечению / устройству веб-фильтрации. На вашем брандмауэре выполните фильтрацию исходящего трафика. Заблокируйте известные порты для IRC и т. Д. Нет, это не остановит вредоносную программу, которая использует настраиваемый порт, но многие этого не делают. Надеюсь, ваше решение для веб-фильтрации поможет с теми, кто использует что-то нестандартное. Также рассмотрите возможность внедрения IDS / IPS. Если денег мало, всегда есть Фырканье.
Заставьте пользователей выполнять двойную загрузку в какой-либо другой ОС (BSD?) При выполнении банковских операций. Плюсы: Очень безопасно. Минус: очень неудобно, так как у них нет доступа к различным приложениям Windows, чтобы выяснить, кому и сколько подключаться.
Используйте шифрование диска. Что бы вы ни делали в ОС, пока вы можете загрузить с компакт-диска и получить доступ к файловой системе вне Windows, вы не в безопасности. WinVista / Win7 имеет встроенную возможность шифрования, но есть и множество сторонних решений с поддержкой WinXP.
Изучите политики типа NAP, при которых компьютер не получает доступа в Интернет до того, как он будет исправлен в соответствии со стандартами компании (то есть, если вам нужен доступ в Интернет).
Изучите виртуализацию рабочих столов (решения для этого есть у MS и VMWare), чтобы изолировать банковские приложения в собственной строго управляемой среде.
Всего мои 5 центов ...
Используйте VMWare с базовым гостевым Linux для выполнения всех операций онлайн-банкинга, но запускайте его на компьютере со всем бухгалтерским программным обеспечением, чтобы вы могли легко переключаться между хостом и гостем для просмотра необходимых данных.
Перейдите на 64-битную Windows 7, поскольку вредоносные программы пока еще очень редко нацелены на 64-битный код. Плюсы - меньше вирусов; Минусы в том, что нам нужно получить новое 64-битное оборудование и иметь дело с различными несовместимостями. Может понадобиться режим XP.
АНБ и Microsoft разработали оригинальные руководства по безопасности. Документы довольно длинные, и я бы порекомендовал протестировать настройки на компьютере, который вы можете переформатировать, поскольку вполне возможно заблокировать вещи настолько, что единственное лекарство - загрузиться с компакт-диска / DVD и стереть диск.
http://csrc.nist.gov/itsec/guidance_WinXP.html
http://technet.microsoft.com/en-us/library/cc163140.aspx
Я согласен с вашей идеей, что flash / acrobat - самые вероятные угрозы. Ограничение прав пользователей - это самый важный шаг в обеспечении безопасности компьютера, о котором я могу думать.
Отключите автозапуск для всех компьютеров в gpedit.msc. Некоторые банки, в которых я работал, отключали USB-порты. Теперь есть приложения, которые могут их отслеживать и разрешать только разрешенные соединения. Старые банки использовали термоклей, чтобы запечатать порты и предотвратить засорение (один банк использовал замки на дисководах гибких дисков и увольнял бы любого, у кого {дешевый} замок выпал). Есть ряд статей, в которых исследователи бросают флэш-накопители USB на парковки возле офисов и смотрят, сколько из них подключено к компьютерам в офисе - установка закончилась просто отправкой IP-адреса домой - более злонамеренные установщики использовали значок, который виден каждому. для того, чтобы "открыть с помощью проводника" обмануть пользователя, заставив его не обращать внимания, поэтому он щелкает установщик.