Назад | Перейти на главную страницу

Защита ПК от APT

Мы оцениваем безопасность компьютеров, используемых людьми, имеющими доступ к ценным документам компании. В настоящий момент они исправлены и содержат антивирусную программу, но нас беспокоят эксплойты нулевого дня и APT.

Мы уже обнаружили электронные письма, отправленные высокопоставленным сотрудникам организации.

Есть ли способ защититься от этих атак, кроме создания воздушного промежутка между сетью, в которой находятся эти документы, и Интернетом?

Мы уже обнаружили электронные письма, отправленные высокопоставленным сотрудникам организации.

Есть ли способ защититься от этих атак, кроме создания воздушного промежутка между сетью, в которой находятся эти документы, и Интернетом?

Spear-phishing подсказывает мне, что вам нужно сосредоточиться на защите своих компьютеров от их пользователей, что, к сожалению, не является технической проблемой, это проблема людей. Вы можете укрепить свою технологию сколько угодно, но если ваши пользователи с высоким доступом передадут конфиденциальную информацию (или свои учетные данные) злоумышленникам, то это настоящая проблема, и все технологическое укрепление в мире не может остановить это. К этому моменту недавняя утечка секретных материалов из АНБ (Сноуден) и армии (Мэннинг) должна доказать это любому, кто обращает хоть малейшее внимание.

Хуже того, нет особенно эффективной защиты от того, чтобы ваши пользователи передавали эти ценные фрагменты информации. «Обучение безопасности» совершенно бесполезно для подавляющего большинства пользователей и лишь в некоторой степени полезно для другой части. Единственное доступное решение - это строгое разделение вашей информации, чтобы все знали только то, что им абсолютно необходимо, но это чрезвычайно сложно и дорого реализовать и поддерживать ... и не всегда эффективно - это просто ограничивает ущерб.

Как говорится, безопасность - это процесс, именно на этом вам нужно сосредоточить свои усилия. Не пытаясь написать книгу:

  1. Определите, какая информация заслуживает особой защиты.
    • Обычный список: пароли, информация о финансовом счете, коммерческая тайна и т. Д.
  2. Сосредоточьтесь на ограничении доступа для людей, которые в этом нуждаются.
    • По отделам - это самый простой способ сделать это.
      • Финансовому директору не нужны права администратора домена, а системным администраторам не нужен доступ к банковским счетам компании.
      • Точно так же ни финансовому директору, ни системным администраторам не нужен доступ к коммерческой тайне компании.
    • По положению - естественное продолжение.
      • Это может (и должно) сочетаться с разделением по отделам для наибольшего эффекта.
  3. Используйте процессы и процедуры для усиления ограниченного доступа и защиты
    • Может быть так же просто, как письменная политика против раскрытия защищенной / закрытой информации.
    • Принудительно личный ответственность за раскрытие информации
      • Напоминание людям, что их могут уволить за провал, может быть эффективным.
    • Правило двух человек для особо ценной информации
      • Один человек может быть обманут, второй - гораздо менее вероятно.
        • Лучшим примером этого является то, что второй человек проверяет транзакции или платежи на большие суммы, чтобы убедиться, что они попадают в нужное место.
    • Изучите свои процессы и процедуры
      • Убедитесь, что они имеют смысл, а не поощряют и не предписывают небезопасное поведение.
        • Например, требование одобрения финансового директора для покупок на сумму, превышающую определенную долларовую стоимость, а затем получение сотрудником начального уровня покупки по безлимитной карте AMEX - отличный пример глупого и небезопасного процесса. Это могло случиться, а могло и не случиться с кем-то, кто может быть мной, а может и не быть. Cегодня. вздох
  4. Аудит и многое другое.
    • Проверяйте рано и часто.
    • В основном, чтобы убедиться, что ваш процесс соблюдается, и попытаться обнаружить ошибки, пока не стало слишком поздно.