Темы

Прочная основа: Защита учетных записей и устройств

Защищенные устройства

Последнее обновление: июль 2022 г.

Помимо учетных записей, важно обеспечить надежную защиту всех устройств – компьютеров, телефонов, USB-накопителей, внешних жестких дисков и т. д. Такая защита начинается с внимательного выбора типа устройств, приобретаемых и используемых вашей организацией и сотрудниками. Выбранные поставщики или производители должны иметь подтвержденный опыт соблюдения мировых стандартов в отношении разработки защищенных аппаратных устройств (например, телефонов и компьютеров). Все приобретаемые устройства должны быть произведены проверенными компаниями, у которых нет мотивации передавать данные и информацию потенциальному противнику. Важно отметить, что власти Китая требуют от китайских компаний предоставлять данные центральному правительству. Поэтому рекомендуется избегать использования таких смартфонов, как Huawei или ZTE, несмотря на их повсеместное распространение и невысокую стоимость. Несмотря на привлекательность недорогого аппаратного обеспечения, потенциальные угрозы безопасности организаций, деятельность которых направлена на поддержку демократии, защиту прав человека или обеспечение подотчетности, должны подтолкнуть к выбору других устройств, поскольку наличие доступа к данным делает отдельных лиц и сообщества легкими мишенями для правительства Китая и других правительств.

Ваши противники могут поставить под угрозу безопасность ваших устройств – и всего, что вы делаете с помощью этих устройств, – получив физический либо «удаленный» доступ к устройству.

Безопасность устройства и гражданское общество

cyber Photo

Некоторые из самых передовых в мире вредоносных программ были разработаны и развернуты по всему миру для нападения на депутатов парламента, других государственных чиновников и их сотрудников. В Индии, например, консорциум журналистов выяснилось, что несколько депутатов парламента и министров правительства подверглись воздействию шпионского ПО Pegasus — типа вредоносного ПО, которое попало в заголовки газет в 2020 году. Pegasus печально известна своей способностью заражать мобильные устройства и давать злоумышленнику возможность записывать аудио, перехватывать нажатия клавиш и сообщения и, по сути, помещать жертву под полное наблюдение, не требуя взаимодействия с жертвой. Однако подавляющее большинство шпионских программ успешны из-за плохих методов обеспечения безопасности устройств, таких как невнимание к фишингу или отсутствие соблюдения политик, упомянутых в этом разделе Справочника.

Физический доступ к устройству вследствие его утери или кражи

Для предотвращения физического взлома необходимо обеспечить физическую безопасность устройств. Иными словами, не позволяйте противнику легко украсть или позаимствовать ваше устройство. Прячьте под замок устройства, оставляя их дома или в офисе. Или, если считаете, что так безопаснее, держите их при себе. Неотъемлемой частью безопасности устройства, разумеется, является физическая безопасность вашего рабочего пространства (будь то в офисе или дома). Потребуется установить надежные замки, камеры видеонаблюдения или другие системы контроля, особенно если ваша организация в группе высокого риска. Посоветуйте сотрудникам обращаться с устройствами как с большой пачкой наличных денег – не оставлять их без присмотра или без защиты.

Что делать, если устройство украли?

Чтобы смягчить последствия кражи устройства или даже кратковременного получения доступа к данному устройству, сделайте обязательным использование надежных паролей или кодов доступа на всех компьютерах и телефонах. Советы по работе с паролями из раздела «Пароли» настоящего Пособия применимы и к процессу установки надежного пароля на компьютер или ноутбук. Что касается блокировки телефона, рекомендуется использовать коды, состоящие минимум из шести-восьми цифр, и избегать использования «графических ключей» для разблокирования экрана. Дополнительные советы по блокировке экрана см. в программе детоксикации данных Data Detox Kit от Tactical Tech. Использование надежного пароля значительно усложняет для противника быстрое получение доступа к информации на вашем устройстве в случае кражи или конфискации.

Убедитесь, что все устройства, выданные парламентом, также зарегистрированы в системе управления мобильными устройствами или конечными точками. Хотя эти системы и недешевы, они позволяют вашему парламенту применять политики безопасности на всех устройствах, находить одно из них и стирать потенциально конфиденциальное содержимое в случае его кражи, потери или конфискации. Хотя существует множество различных решений для управления мобильными устройствами, несколько надежных вариантов, которые работают на разных платформах (iPhone, Android, Mac и Windows), включают Hexnode, Meraki Systems Manager Cisco, IBM MDM и встроенный инструмент Google Workspace Управление мобильными устройствами особенность. Если стоимость является ограничивающим фактором, по крайней мере, поощряйте членов и сотрудников использовать встроенные функции Найти мое устройство на своих зарегистрированных парламентом и личных смартфонах, такие как "Найти мой iPhone" на iPhone и "Найти мое устройство" на Android.

А как насчет шифрования устройства?

Важно использовать шифрование, скремблирование данных. Зашифрованные данные нечитабельны и непригодны для использования на всех устройствах, особенно на компьютерах и смартфонах. По возможности рекомендуется настроить так называемое полное шифрование диска на всех устройствах в организации. Полное шифрование диска означает, что устройство будет полностью зашифровано. Поэтому если противник физически украдет устройство, он не сможет извлечь данные, не зная пароля или ключа, которые использовались для шифрования.

Во многих современных смартфонах и компьютерах предусмотрена функция полного шифрования диска. В устройствах Apple, включая iPhone и iPad, полное шифрование диска можно включить при установке обычного кода доступа к устройству. В компьютерах Apple, работающих под управлением macOS, предусмотрена функция под названием FileVault, которую необходимо включить для полного шифрования диска.

В компьютерах, работающих под управлением Windows (версии Pro, Enterprise и Education), предусмотрена функция под названием BitLocker, которую необходимо включить для полного шифрования диска. Функцию BitLocker можно включить, следуя этим инструкциям от Microsoft, которые должен предоставить администратор вашей организаторы. На операционной системе Windows версии Home функция BitLocker недоступна. Однако и на таких устройствах можно включить полное шифрование диска, перейдя в раздел «Обновление и безопасность»&; «Шифрование устройства» в настройках ОС Windows.

Устройства, работающие под управлением Android начиная с версии 9.0 и выше, поставляются с включенным по умолчанию шифрованием файлов. Шифрование файлов в Android отличается от полного шифрования диска, но тоже обеспечивает высокий уровень защиты устройства. Если вы используете относительно новый телефон, работающий под управлением Android, и установили код доступа к устройству, шифрование файлов должно быть включено. Тем не менее, рекомендуется проверить настройки, чтобы убедиться в этом, особенно если вашему телефону больше пары лет. Для этого перейдите в раздел «Настройки» > «Безопасность» на своем устройстве Android. В настройках безопасности должен быть подраздел «Шифрование» или «Шифрование и учетные данные», в котором будет указано, зашифрован ли ваш телефон, и если нет, вы можете включить шифрование.

Ключи шифрования (именуемые также ключами восстановления) для компьютеров (неважно, работающих под управлением ОС Windows или Mac) особенно важно хранить в безопасном месте. В большинстве случаев такие «ключи восстановления» представляют собой длинные пароли или парольные фразы. Если вы забудете обычный пароль к устройству или произойдет что-то непредвиденное (например, сбой устройства), ключи восстановления окажутся единственным способом восстановить зашифрованные данные и, при необходимости, перенести их на новое устройство. Поэтому при включении полного шифрования диска обязательно сохраните эти ключи или пароли в безопасном месте, например в защищенной облачной учетной записи или в менеджере паролей вашей организации.

Удаленный доступ к устройству – взлом

Помимо обеспечения физической безопасности устройств, важно защитить их от вредоносных программ. В пособии Security-in-a-Box от Tactical Tech дается исчерпывающая информация о том, что представляют собой вредоносные программы и почему так важно их избегать. Ниже приводится краткое резюме указанного пособия.

Умение выявлять вредоносные программы и избавляться от них 

Существует множество вариантов классификации вредоносных программ (термин, означающий вредоносное программное обеспечение). Вирусы, шпионское ПО, черви, трояны, руткиты, программы-шантажисты и криптоджекеры – все это вредоносные программы. Некоторые вредоносные программы распространяются по Интернету через электронную почту, текстовые сообщения, вредоносные веб-страницы и т. д. Другие передаются через устройства обмена данными, например USB-накопители. Одни типы вредоносных программ ждут, когда пользователь совершит ошибку, а другие тихо, не привлекая внимание пользователя и не ожидая от него каких-либо действий, заражают систему. 

Помимо обычных вредоносных программ, которые повсеместно распространены и нацелены на широкую публику, таргетированные вредоносные программы обычно используются для вмешательства или слежки за конкретным человеком, организацией или сетью. Такими приемами пользуются как обычные преступники, так и военные, разведка, террористы, онлайн-преследователи, агрессивные супруги и нечистые на руку политики.

Как бы они ни назывались, как бы они ни распространялись, вредоносные программы могут нарушить работу компьютера, украсть и уничтожить данные, разорить организации, вторгнуться в частную жизнь и подвергнуть пользователей риску. Одним словом, вредоносные программы представляют реальную опасность. Однако существует ряд простых шагов, которые ваша организация может предпринять, чтобы защититься от столь распространенной угрозы.

Помогут ли инструменты защиты от вредоносных программ?

К сожалению, среди средств защиты от вредоносных программ не существует одного комплексного решения. Однако можно использовать некоторые бесплатные инструменты в качестве базовой защиты. Вредоносные программы настолько быстро меняются, а новые риски настолько часто возникают в реальном мире, что полагаться на такой инструмент точно недостаточно.

Если вы используете Windows, обратите внимание на встроенный Защитник Windows. Компьютеры, работающие под управлением Mac и Linux, не поставляются со встроенным программным обеспечением для защиты от вредоносных программ, равно как и устройства, работающие под управлением Android и iOS. Для таких устройств можно установить надежный бесплатный инструмент, например Bitdefender или Malwarebytes (равно как и для компьютеров, работающих под управлением Windows).  Но не стоит полагаться на такие инструменты как на единственную линию защиты, as поскольку они наверняка пропустят часть наиболее таргетированных и опасных новых атак.

Кроме того, следует соблюдать осторожность и загружать проверенные инструменты защиты от вредоносных программ и антивирусы только из легальных источников (например, с веб-сайтов, ссылки на которые приведены выше). К сожалению, существует множество фальшивых или взломанных версий средств защиты от вредоносных программ, которые приносят гораздо больше вреда, чем пользы.

При использовании Bitdefender или другого средства защиты от вредоносных программ в организации никогда не запускайте две подобные программы одновременно. Многие из них идентифицируют поведение другой программы защиты от вредоносных программ как подозрительное и прерывают ее работу, в результате чего обе программы работают со сбоями. Для Bitdefender и ряда других средств защиты от вредоносных программ предусмотрено бесплатное обновление, а встроенный Защитник Windows обновляется вместе с операционной системой. Убедитесь, что ПО защиты от вредоносных программ регулярно обновляется (некоторые пробные версии коммерческого программного обеспечения, предустановленные на компьютере, будут отключены по истечении пробного периода, что делает его скорее опасным, чем полезным). Каждый день появляются и распространяются новые вредоносные программы. Если регулярно не обновлять базы средств защиты от вредоносных программ, компьютер скоро окажется фактически без защиты. При возможности настройте автоматическую установку обновлений для данного ПО. Если у вашего средства защиты от вредоносных программ режим «всегда включен» не является обязательным, включите его и периодически проводите сканирование всех файлов на своем компьютере. 

Используйте актуальные устройства

Обновления необходимы. Используйте для устройства самую свежую версию операционной системы (Windows, Mac, Android, iOS и т. д.) и регулярно обновляйте ее. Следите за тем, чтобы другое программное обеспечение, браузер и модули браузера также обновлялись. Устанавливайте обновления сразу после их появления. В идеале рекомендуется включить функцию автоматического обновления. Чем новее операционная система, тем менее уязвимо устройство. Воспринимайте обновления как пластырь на открытом порезе: они закрывают уязвимые места и значительно снижают вероятность заражения. Удалите программы, которые больше не используете. Устаревшие программы нередко имеют уязвимости. Некоторые из них разработчики перестают обновлять, что делает их более уязвимыми для хакеров.

Вредоносные программы в реальном мире: обновления необходимы

Malware photo

В 2017 году в результате атак программы-шантажиста WannaCry были заражены миллионы устройств по всему миру, что привело к закрытию больниц, государственных учреждений, крупных и малых организаций и предприятий в десятках стран.. Почему эта атака оказалась столь успешной? Из-за устаревших, «непропатченных», версий операционной системы Windows, многие из которых изначально были пиратскими. Большей части ущерба – как человеческого, так и финансового – можно было бы избежать, если бы использовались более эффективные методы автоматического обновления и легальные версии операционной системы.

Будьте осторожны с USB-накопителями

Соблюдайте осторожность, открывая файлы, отправленные вам в виде вложений, переходя по ссылкам для загрузки и т. д. Кроме того, дважды подумайте, прежде чем вставить в компьютер съемные носители, включая USB-накопители, карты флэш-памяти, DVD-диски и компакт-диски, поскольку они могут служить вектором для вредоносных программ. Вероятность наличия вирусов на совместно используемых USB-накопителях очень высока. Альтернативные варианты безопасного обмена файлами в организации описаны в разделе «Обмен файлами» настоящего Пособия.

Будьте осторожны и с другими устройствами, к которым подключаетесь через Bluetooth. Вы можете синхронизировать свой телефон или компьютер с проверенным динамиком Bluetooth, чтобы слушать любимую музыку, но будьте осторожны, подключаясь к сторонним устройствам или принимая от них запросы. Разрешайте подключения только к доверенным устройствам и не забывайте выключать Bluetooth, когда он не используется.

Будьте благоразумны при работе в сети

Никогда не принимайте и не запускайте приложения со сторонних и непроверенных веб-сайтов. Например, вместо того чтобы сразу принимать «обновление» во всплывающем окне браузера, проверьте наличие обновлений на официальном веб-сайте соответствующего приложения. Как говорится в разделе «Фишинг» настоящего Пособия, крайне важно сохранять бдительность при просмотре веб-сайтов. Проверьте назначение ссылки (наведя на нее курсор мыши), прежде чем перейти по ней. Перейдя по ссылке, обратите внимание на адрес веб-сайта и убедитесь, что он не вызывает подозрений, прежде чем вводить конфиденциальную информацию, например пароль. Не переходите по ссылкам в сообщениях об ошибках или предупреждениях. Следите за окнами браузера, которые появляются автоматически, внимательно читайте информацию, а не просто нажимайте «Да» или «ОК». 

Как защитить смартфоны?

Как и в случае с компьютерами, следите, чтобы операционная система и приложения были актуальными, и включите автоматическое обновление. Устанавливайте приложения только из официальных или доверенных источников, таких как магазин Google Play и Apple App Store (или F-droid, магазин бесплатных программ с открытым кодом для Android). Бывает такое, что приложения содержат вредоносный код, хотя кажется, что они работают нормально, и вы можете ничего не подозревать. Загружайте только легальные версии приложений. Особенно это касается пользователей Android. Для этой операционной системы существует множество «фальшивых» версий популярных приложений. Поэтому убедитесь, что приложение создано соответствующей компанией или разработчиком, убедитесь в наличии хороших отзывов и достаточном количестве загрузок (к примеру, у фальшивой версии WhatsApp может быть всего несколько тысяч загрузок, а у реальной версии их более пяти миллиардов). Обращайте внимание на разрешения, запрашиваемые приложением. Если что-то кажется вам чрезмерным (например, калькулятор запрашивает доступ к камере или игра Angry Birds запрашивает доступ к вашему местоположению), лучше отклонить запрос или удалить приложение. Удаляйте приложения, которые больше не используете. Это также поможет защитить ваш смартфон или планшет. Случается, что разработчики продают свои права на приложения другим людям. Новые владельцы могут решить подзаработать, встроив в программу вредоносный код.

Вредоносные программы в реальном мире: вредоносные мобильные приложения

iphone Screen

Хакеры из разных стран годами используют поддельные приложения в магазине Google Play для распространения вредоносных программ. В апреле 2020 года стало известно об одном конкретном случае, нацеленном на пользователей во Вьетнаме. В ходе данной шпионской кампании использовались поддельные приложения, которые якобы должны были помочь пользователям найти ближайшие пабы или информацию о местных церквях. После установки доверчивыми пользователями Android вредоносные приложения собирали журналы вызовов, данные о местоположении, а также информацию о контактах и текстовых сообщениях. Это лишь одна из многих причин, по которым следует соблюдать осторожность, загружая приложения на свои устройства.

обеспечение безопасности устройств

  • Расскажите сотрудникам об угрозах, которые несут вредоносные программы, и передовых методах уменьшения таких угроз.
    • Составьте правила подключения внешних устройств, переходов по ссылкам, загрузки файлов и приложений, а также проверки разрешений для программ и приложений.
  • Сделайте обязательным регулярное обновление устройств, программного обеспечения и приложений.
    • По возможности включите автоматическое обновление.
  • Убедитесь, что на всех устройствах установлено лицензионное программное обеспечение.
    • Если его стоимость слишком высока, подберите бесплатную альтернативу.
  • Сделайте обязательной защиту паролями всех устройств в организации, включая личные мобильные устройства, используемые для коммуникаций, связанных с работой.
  • Включите полное шифрование диска на всех устройствах.
  • Почаще напоминайте сотрудникам о необходимости обеспечить физическую безопасность их устройств и обеспечьте безопасность офиса организации с помощью соответствующих замков и способов защиты компьютеров.
  • Не обменивайтесь файлами посредством USB-накопителей и не подключайте USB-накопители к компьютерам.
    • Вместо этого используйте альтернативные варианты безопасного обмена файлами.