Sepuluh tip keamanan terbaik untuk pengguna non-teknis

10

Saya akan memberikan presentasi akhir minggu ini kepada staf di perusahaan tempat saya bekerja. Tujuan dari presentasi ini adalah untuk menjadi penyegar / pengingat praktik-praktik baik yang dapat membantu menjaga keamanan jaringan kami. Audiensi terdiri dari programmer dan staf non-teknis, sehingga presentasi disesuaikan untuk pengguna non-teknis.

Saya ingin bagian dari presentasi ini menjadi daftar teratas "tips". Daftar harus pendek (untuk mendorong memori) dan spesifik dan relevan bagi pengguna.

Sejauh ini saya memiliki lima item berikut:

  • Jangan pernah membuka lampiran yang tidak Anda harapkan
  • Hanya unduh perangkat lunak dari sumber tepercaya, seperti unduh.com
  • Jangan mendistribusikan kata sandi saat diminta melalui telepon atau email
  • Waspada terhadap rekayasa sosial
  • Jangan menyimpan data sensitif di server FTP

Beberapa klarifikasi:

  • Ini untuk jaringan kerja kami
  • Ini perlu kiat "praktik terbaik" untuk pengguna akhir, bukan kebijakan TI
  • Kami memiliki cadangan, tambalan OS, firewall, AV, dll, semua dikelola secara terpusat
  • Ini untuk bisnis kecil (kurang dari 25 orang)

Saya punya dua pertanyaan:

  1. Apakah Anda menyarankan item tambahan?
  2. Apakah Anda menyarankan perubahan pada item yang ada?
Justin
sumber
1
Pertanyaan ini ada di superuser.com - dan paling tidak harus Komunitas Wiki
Mark Henderson
Dengan asumsi ini adalah bagian dari kebijakan keamanan departemen TI, saya tidak setuju. Departemen TI saya menulis beberapa materi dan mendidik orang pelatihan untuk pelatihan keamanan pengguna akhir tahunan.
Warner
3
Paling tidak itu hanya versi lain dari "Your Favorite (x)", yang seharusnya merupakan komunitas wiki
Mark Henderson
@Farseeker: Saya setuju.
@Farseeker - ini bukan pertanyaan superuser.com. Ini untuk jaringan kerja.
Justin

Jawaban:

7

Sepertinya Anda mungkin orang di luar TI yang berusaha mendidik rekan-rekan Anda. Meskipun ini adalah hal yang baik dan sesuatu yang saya dorong, departemen TI Anda harus mengendalikan standar dan kebijakan keamanan.

Pelatihan ini harus berfungsi sebagai sarana untuk menegakkan kembali dan mendidik tentang alasan di balik kebijakan keamanan yang sudah ada. Jika tidak ada dokumen kebijakan keamanan tertulis, harus ada.

Banyak hal yang Anda daftarkan seharusnya tidak berada dalam kendali pengguna akhir. Sebagai contoh, rata-rata pengguna akhir yang kurang teknis seharusnya tidak dapat menginstal perangkat lunak pada workstation mereka. Saya menduga ada banyak dukungan, konfigurasi, dan masalah malware di dalam perusahaan yang dapat dengan mudah dicegah dengan kebijakan jika mereka bisa.

Jika dasar-dasarnya belum ditulis dan ditegakkan oleh kebijakan TI, ini adalah masalah yang harus diatasi sebelum mencoba mengedukasi para pengguna. Beberapa kebijakan yang berfokus pada pengguna akhir meliputi:

  • Hak istimewa minimum yang diperlukan untuk melakukan fungsi pekerjaan
  • Pembaruan perangkat lunak secara otomatis dilakukan dengan memperhatikan risiko keamanan
  • Standar keamanan diberlakukan oleh kebijakan (IE. Pengaturan browser web)
  • Kedaluwarsa kata sandi (90-hari)
  • Penegakan kekuatan kata sandi (Alfanumerik, case campuran, 9+ karakter, dan lain-lain)
  • Tidak dapat menggunakan 5 kata sandi terakhir
  • Enkripsi penyimpanan perangkat portabel (laptop)
  • Kebijakan klasifikasi data
  • Kebijakan yang menentukan penanganan data yang dibatasi dan rahasia sebagaimana didefinisikan dalam kebijakan klasifikasi.
  • Kebijakan pembuangan data
  • Kebijakan akses data
  • Kebijakan perangkat portabel

Ada segudang kebijakan dan prosedur tambahan yang berlaku untuk pengembangan yang tepat dan pemeliharaan teknis dalam kelompok infrastruktur. (Ubah kontrol, tinjauan kode, standar sistem, dan banyak lagi.)

Setelah semua fondasi ada, karyawan harus diberikan salinan kebijakan keamanan tertulis dan pelatihan seputar kebijakan itu juga akan sesuai. Ini akan mencakup praktik terbaik pengguna akhir baik ditegakkan secara teknis dan tidak. Beberapa di antaranya adalah:

  • Penanganan informasi yang terbatas dan rahasia sebagai bagian dari bisnis.
    • Jangan mengirim email atau mengirim data yang tidak dienkripsi, buang dengan benar, dan lain-lain.
  • Penanganan kata sandi.
    • Jangan meninggalkan tulisan di bawah keyboard, pada posting itu catatan, bagikan, dan sebagainya.
  • Jangan bagikan akun atau data autentikasi. (Lagi)
  • Jangan biarkan workstation tidak terkunci atau properti (data) perusahaan tidak aman (laptop)
  • Jangan menjalankan perangkat lunak tanpa pertimbangan
    • Seperti lampiran email.
  • Risiko dan skenario seputar rekayasa sosial
  • Tren malware saat ini berlaku untuk bisnis atau industri.
  • Kebijakan dan risiko khusus untuk bisnis atau industri.
  • Pendidikan umum tentang bagaimana (jika) mereka dipantau
  • Bagaimana TI menegakkan kebijakan keamanan secara teknis dan administratif.

The PCI DSS contoh banyak-praktek terbaik mengenai kebijakan keamanan. Selain itu, buku Praktik Sistem dan Administrasi Jaringan mencakup praktik terbaik mendasar tentang keamanan TI.

Warner
sumber
Mengapa ini diturunkan?
Warner
Terima kasih atas jawaban yang bijaksana. Kami memiliki kebijakan yang baik, dll, yang ditandatangani. Untuk lebih jelasnya saya sedang mencari daftar tips terbaik untuk membantu menumbuhkan perilaku yang meningkatkan keamanan pada pengguna akhir. (Kami tidak memiliki masalah malware / virus, dll. Saya tidak mengerti semua masalah tentang menjadi admin lokal. Pada artikel yang saya baca beberapa tahun yang lalu ini adalah pengaturan default sebagai MSFT corp.)
Justin
Pemungutan suara bawah adalah kesalahan saya, tapi sepertinya saya tidak bisa mengubahnya. Saya pikir jika Anda mengedit jawaban Anda (tambahkan spasi atau sesuatu), saya dapat memperbaikinya.
Justin
Ah keren, terima kasih. Itu sedikit mengecewakan! Saya menghabiskan beberapa waktu untuk jawaban saya. Dalam hal admin lokal, saya agak setuju dengan Anda. Itu tergantung pada lingkungan perusahaan dan teknologi. Pengguna akhir kadang-kadang terbukti baik-baik saja dengan admin di perusahaan teknis atau grup yang sangat teknis. Saya telah melihat kedua sisi spektrum bekerja. Seorang kolega saya bertanggung jawab atas intranet yang terdiri dari karyawan yang tidak memiliki keterampilan teknis dan bisnis mengharuskan mereka memiliki admin, di mana ia secara teratur harus berurusan dengan masalah malware di berbagai skala.
Warner
Jangan khawatir, saya memperbaikinya :)
l0c0b0x
2

Kiat teratas saya (yang secara perlahan saya kelola untuk mengajar orang) adalah variasi dari # 1 Anda:

Ketahui cara memeriksa dari mana sebenarnya email berasal, dan periksa pesan apa pun yang paling tidak aneh.

Untuk Outlook, itu berarti mengetahui cara menampilkan tajuk Internet dan apa arti garis Terima-Dari.

Untuk staf non-teknis, mengunduh dan menginstal perangkat lunak bukan (dan saya katakan tidak seharusnya ) suatu pilihan, mereka tidak boleh memiliki akses admin untuk menginstal perangkat lunak. Bahkan untuk programmer yang kami beri akses admin, kami sangat, sangat mendesak mereka untuk memeriksa dengan IT sebelum mengunduh dan menginstal.

Untuk kata sandi, saya selalu mengulangi saran Bruce Schneier: kata sandi harus cukup kuat untuk berbuat baik, dan untuk mengatasi kesulitan mengingatnya, Anda dapat menuliskannya di selembar kertas dan menyimpannya di dompet Anda - perlakukan kartu kata sandi Anda seperti kartu kredit dan tahu cara membatalkan (mengubahnya) jika dompet Anda hilang.

Bergantung pada berapa banyak laptop yang Anda miliki dan bagaimana Anda mencadangkannya, saya akan menyertakan tip tentang menjaga data pada laptop aman. Jika Anda tidak memiliki sistem untuk mencadangkan / mereplikasi data pada laptop ke jaringan Anda, Anda harus, dan jika Anda memiliki sistem, Anda harus memastikan pengguna laptop tahu cara kerjanya. Laptop yang hilang atau dicuri yang penuh dengan data - paling tidak - menyebalkan.

Ward - Pasang kembali Monica
sumber
Terima kasih. Kami memiliki cadangan yang baik. Kami akan menggunakan saham TrueCrypt untuk melindungi data di laptop. Kata sandi + contoh yang kuat jelas layak untuk disebutkan. Terima kasih.
Justin
Jika Anda ingin meyakinkan saya bahwa email itu asli, sertakan beberapa teks di badan, sehingga saya bisa menghubungkannya dengan Anda.
David Thornley
2

Tetapkan apa kata sandi yang lemah dan kuat dan berikan mereka beberapa cara yang baik untuk membuat dan mengingat kata sandi yang kuat.

Poin kedua Anda tampaknya menunjukkan bahwa pengguna diizinkan untuk menginstal perangkat lunak di komputer mereka. Saya akan mengatakan itu masalah dalam banyak kasus. Tetapi jika mereka diizinkan untuk menginstal perangkat lunak maka itu adalah hal yang baik untuk dibahas.

Pastikan Anda memiliki contoh rekayasa sosial. Ini membantu mereka mengetahui apa yang harus dicari dan membuat mereka sedikit takut untuk menjadi lebih paranoid. Saya suka meminta orang untuk berpikir tentang apa yang akan mereka lakukan jika mereka menemukan USB thumb drive di trotoar di luar kantor. Kebanyakan orang jujur ​​akan mengambilnya dan menancapkannya ke komputer mereka untuk melihat apakah sesuatu pada drive akan mengidentifikasi siapa pemiliknya. Kebanyakan orang yang tidak jujur ​​akan melakukan hal yang sama ... tetapi mungkin hanya untuk melihat apakah ada sesuatu yang baik sebelum menghapusnya untuk menggunakannya. Baik melalui autorun, pdf berbahaya, dll. Ini adalah cara yang cukup mudah untuk memiliki komputer di dalam perusahaan pilihan Anda, instal keystroke logger, dll.

Pengaruh 3d
sumber
Contoh kunci USB Anda baik, peringatan tentang penggunaan dan penyalahgunaan kunci USB mungkin harus menjadi salah satu tipsnya.
Bangsal - Reinstate Monica
Terima kasih. Contoh sosial enginerring, ya, saya biasanya suka berbicara tentang clipboard + work jumpsuit tembus pandang. USB adalah contoh yang bagus.
Justin
2

Bagaimana dengan

  • Tetap perbarui OS dan aplikasi Anda. Ini termasuk versi utama juga, setidaknya sekali versi utama telah matang beberapa bulan. XP SP3 yang sepenuhnya ditambal yang menjalankan IE6 yang sepenuhnya ditambal masih jauh lebih tidak aman daripada Windows 7 yang menjalankan IE8 (atau lebih baik lagi, Chrome).
  • Hindari OS dan aplikasi populer - mereka jauh lebih mungkin untuk dieksploitasi. Jika Anda dapat menghindari produk utama Microsoft (Windows, IE, Outlook, Office, WMP), Apple (iTunes, Quicktime), dan Adobe (Flash, PDF reader), Anda akan jauh lebih kecil kemungkinannya untuk dikompromikan oleh sebagian besar eksploitasi aktif di luar sana.
  • Selalu perbarui antivirus (paket anti-malware) dan pemindaian secara teratur.
  • Tetap perbarui firewall pribadi Anda.
  • Gunakan protokol email aman (yaitu pastikan POP / IMAP / SMTP Anda aman SSL).
  • Jangan aktifkan Windows file sharing (SMB) atau sshd (itu adalah dua port yang paling banyak diserang).
  • Aktifkan enkripsi WPA2 di jaringan Wi-Fi rumah Anda.
  • Bahkan tidak mengunjungi situs web yang tidak dapat dipercaya.
Spiff
sumber
Saya berasumsi bahwa pertanyaannya adalah tentang jaringan perusahaan, jadi pengaturan pembaruan, AV, Nirkabel, dan firewall seharusnya menjadi masalah TI daripada pengguna.
Ya, tampaknya itu adalah jaringan perusahaan tempat mereka memungkinkan pengguna mengunduh / menginstal perangkat lunak mereka sendiri, mengingat tip "Hanya unduh perangkat lunak dari sumber tepercaya, seperti unduhan.com" pada Pertanyaan awal. Jadi saya pikir tip saya tentang menjaga perangkat lunak Anda selalu penting adalah penting. Juga, banyak korps memungkinkan laptop milik perusahaan untuk pulang (dan bepergian) dengan pengguna, sehingga keamanan jaringan rumah juga berlaku.
Spiff
Ini jaringan kerja kami, ya. Tambalan, firewall, cadangan, dll. Semuanya ditangani di tingkat tim GPO / IT. Pembaruan untuk perangkat lunak mereka sendiri, bagaimanapun, adalah penting. Saya akan menyebutkan itu.
Justin
+ Situs web yang tidak dapat dipercaya adalah situs yang bagus.
Justin
1

Anda memiliki awal yang baik, tetapi seperti yang orang lain katakan Anda mulai pada posisi yang kurang menguntungkan jika pengguna dapat menginstal perangkat lunak. Saya tidak akan menyarankan menggunakan download.com; alih-alih, pengguna harus meminta TI untuk program yang memecahkan masalah mereka alih-alih mencoba menemukannya sendiri (kecuali sebagian besar adalah pengembang atau cukup ahli). Menghapus hak admin memecahkan masalah ini.

Tambahan:

  1. Gunakan kata sandi yang berbeda untuk sebagian besar situs, dan gunakan jenis kata sandi aman untuk melacaknya (KeePass, PWSafe, dll.). Telusuri bagaimana email MediaDefender diretas dan tanyakan kepada pengguna tindakan apa yang akan mencegah intrusi. Jangan pernah menggunakan kata sandi domain kantor Anda di tempat lain, dan jangan teruskan surat / lalu lintas perusahaan melalui sistem yang tidak terpercaya.
  2. Pilih kata sandi yang cukup rumit. Lakukan crack langsung menggunakan John the Ripper pada contoh kata sandi hash (pastikan untuk mendapatkan izin untuk menggunakan alat cracking DALAM MENULIS dari perusahaan terlebih dahulu, jika orang bereaksi berlebihan). Menampilkan pengguna yang 'PRISCILLA1' retak dalam <2 detik adalah pembuka mata. Kami menggunakan Penegakkan Kebijakan Kata Sandi Anixis di sini untuk memastikan kata sandi yang buruk tidak masuk.
  3. Jangan pasang apa pun yang tidak disediakan oleh Anda oleh IT. Ilustrasikan poin dengan mencolokkan stik USB Keylogger atau autorunning Trojan (autorun harus dinonaktifkan, tapi itu cerita lain).
  4. Asumsikan semua lalu lintas di semua jaringan dilacak dan dicatat di kedua ujungnya, bahkan jika dienkripsi untuk mencegah serangan MitM. WikiScanner adalah contoh yang baik untuk menggunakan alamat IP ke jari yang melakukan pengeditan "anonim".
hurfdurf
sumber
Kami adalah bisnis kecil, jadi kami tidak memiliki departemen TI penuh waktu. Tips yang bagus. Terima kasih.
Justin