При поставке оборудования от производителей и поставщиков настройки по умолчанию для устройств, операционных систем и приложений, как правило, ориентированы на легкость внедрения, но не на безопасность. Конечно, возможно и обратное, когда в процессе внедрения системы приходится разрешать некоторые функции в ущерб безопасности. Тем не менее здесь необходим осознанный, квалифицированный подход, так как основные элементы управления, открытые службы и порты, аккаунты и пароли по умолчанию, устаревшие (уязвимые) протоколы, предустановленное ненужное ПО – все это потенциально может быть использовано для несанкционированного проникновения.
Вместо того, чтобы с нуля разрабатывать базовые настройки безопасности для каждой программно-аппаратной системы, предприятие должно использовать публично распространяемые, проверенные, сопровождаемые настройки безопасности, а также руководства по обеспечению безопасности и/или чек-листы.
Необходимую информацию содержат следующие порталы:
The NIST National Checklist Program [2];
Информационный портал по безопасности [3];
Информационно-аналитический портал [4];
Инвентаризация ПО Microsoft SAM [5];
Поставщики услуг и техники [6].
Далее предприятию необходимо расширять или корректировать публичные исходные настройки безопасности для удовлетворения местных политик и требований, а также обосновывать и документировать принимаемые отклонения, чтобы облегчить последующие осмотры или служебные проверки.
Для большого комплексного предприятия создание единой базовой конфигурации безопасности (например, один установочный образ для всех рабочих станций по всему предприятию) иногда неприемлемо или невозможно. Вполне вероятно, что необходимо поддерживать различные стандартные образы на основе соответствующих конфигураций систем и необходимых функций для первоначального старта (например, рабочая станция бухгалтера с приложением 1С или станция разработчика ПО и тому подобные). Число вариаций лучше свести к минимуму, чтобы ясно понимать свойства безопасности и управлять ими. Однако необходимо быть готовым управлять несколькими базовыми линейками образов.
ПО управления настройками можно использовать для сопоставления параметров ОС, как и для сопоставления параметров приложений, контролируемых машин при поиске отклонений от стандартной конфигурации образа.
Типичные инструменты отслеживания настроек используют некоторый комплекс: проверка через агента, установленного на каждой управляемой системе, или проверка систем без участия агентов, с удаленным входом на каждую управляемую машину. Кроме того, иногда используется гибридный подход, в процессе которого инициируется удаленный сеанс и временный или динамический агент устанавливается на целевой системе для сканирования, а затем агент удаляется.
Старайтесь аккуратно и строго управлять конфигурациями. Создайте исходный безопасный образ и используйте его для создания всех новых систем, которые появляются в IT-среде предприятия. Всякую востребованную систему, которая «сломана», можно повторно восстановить с помощью такого образа. Периодические обновления и/или исключения из этого образа важно интегрировать в процессы управления изменениями на предприятии. Образы необходимо создать для базовых вариантов рабочих станций, серверов и, возможно, для некоторых виртуальных машин предприятия.
Типовые образы компонуются как сконфигурированные версии базовой операционной системы и приложений. Конфигурирование обычно включает в себя: блокирование или удаление избыточных учетных записей, удаление или отключение ненужных служб, установку необходимых обновлений, закрытие открытых и неиспользуемых сетевых портов, удаление неисполняемых скриптов, а также включение файрволов и систем обнаружения вторжений. Типовые образы должны пересматриваться и обновляться на регулярной основе, чтобы поддержать необходимый уровень безопасности в противодействии «свежим» уязвимостям и модифицированным хакерским атакам.
Хранить мастер-образы рекомендуем на надежно защищенных серверах, оснащенных инструментами проверки целостности файлов, руководствуясь принципом постоянного контроля и управления изменениями, чтобы гарантировать возможность только авторизованных изменений. В качестве альтернативы мастер-образы могут быть сохранены на автономных машинах, отключенных от производственной сети. Иногда образы могут быть скопированы на безопасные, надежные носители для их перемещения между серверами и станциями производственной сети. В общем случае мастер-образ является частным случаем «резервной копии», так называемого бэкапа, о котором немного позже.
Сразу отметим, что информация корпоративного ноутбука зачастую стоит дороже самого ноутбука. Как пользоваться переносным устройством вне офиса, защитить оборудование и его данные, пойдет речь в этой главе.
Корпоративная техника обычно является предметом коллективного использования. Не является исключением и такое устройство, как ноутбук, принадлежащий организации. Переносной компьютер представляет удобную возможность выполнять служебные обязанности вне помещений и офисов, занимаемых бизнесом, но это удобство несет определенные риски. Именно поэтому наличие в ноутбуке служебной, коммерческой информации или программ с возможностью доступа в корпоративную сеть вынуждает применять к этому устройству три главных принципа информационной безопасности: конфиденциальность, целостность, доступность. А это, в свою очередь, означает, что нарушения принципов или правил использования ноутбука, регламентированных на предприятии, в большинстве случаев приведут к возникновению инцидентов информационной безопасности.
Самый опасный инцидент, который может произойти с переносным компьютером, – это потеря или утечка конфиденциальной информации с устройства. Стоимость такой информации с учетом вероятных рисков во много раз превышает стоимость самого ноутбука.
Для использования вне офиса при временном владении и эксплуатации устройства, переходящего из рук в руки, применяются различные превентивные меры безопасности. Оговоримся сразу, речь идет о переносном компьютере, совместимом с архитектурой IBM PC, причем этот компьютер не попадает в разряд устройств BYOD5.
Мобильное рабочее место на базе ноутбука обычно подготавливается специалистом IT в соответствии с типовой конфигурацией, предписанной политикой ИБ предприятия.
– При выдаче в служебном журнале или базе регистрируется серийный номер ноутбука для исключения возможности его подмены. Комплект с переносным устройством включает в себя силовой шнур и соответствующий блок питания.
– Устанавливается пароль на BIOS6/UEFI7 ноутбука во избежание изменения аппаратной конфигурации и/или замены внутренних компонент устройства.
– Специальными средствами (BitLocker, TrueCrypt, SecretDisk8) шифруется системный диск для защиты собственного содержимого, предотвращая несанкционированный доступ к операционной системе и доступ посторонних к параметрам и конфигурациям программ ноутбука, включая удаленный вход в корпоративную сеть.
– При необходимости выдается идентификационная карта или токен (ESMART Token, eToken PRO, JaCarta PKI9) с привязкой к логину пользователя для однозначной аутентификации пользователя в корпоративной сети.
– Дополнительно к ноутбуку могут быть выданы мышь и металлизированный трос с ключом для физической привязки переносного компьютера к рабочему месту, например, на время командировки.
Соблюдая формальности, с временного владельца берется расписка с указанием срока и цели использования ноутбука, а со стороны предприятия специалист IT вместе с ноутбуком может вручить пользователю памятку о необходимых мерах безопасности. Предприятию не лишним будет рассмотреть возможность страхования ноутбуков, выдаваемых своим сотрудникам во временное пользование. Стоимость страхования может зависеть от стоимости обрабатываемой информации. Очень важно, чтобы выданный ноутбук внутри и вне предприятия поддерживал принятые требования информационной безопасности. Как раз об этом далее.
При выдаче/возврате ноутбуков соответствующий регламент обязан учитывать принципиальные различия в функционале пользователей ноутбуков. Например, если ноутбук использовался топ-менеджером, а затем переходит в руки программиста, то высока вероятность несанкционированного доступа к конфиденциальной информации. Для недопущения подобных случаев информация на жестком диске ноутбука после предыдущего владельца удаляется и на ноутбук устанавливается типовой исходный образ операционной системы – билд10. Подобное действие полезно практиковать независимо от того, был ли зашифрован жесткий диск или нет.
Разумно поддерживать два-три различных стандартных образа, предназначенных для ноутбуков с необходимыми функциями для первоначального старта (например, ноутбук для презентаций, ноутбук бухгалтера или ноутбук разработчика ПО и т. п.). Число вариаций лучше свести к минимуму, чтобы ясно понимать уровни безопасности и управлять ими. Если ноутбук возвращается после использования, то пользователя, безусловно, необходимо предупредить, что вся информация на жестком диске будет удалена и несвоевременное информирование в большинстве этих случаев заканчиваются негативно.
Ноутбук может выдаваться пользователю краткосрочно, что не вызывает особых проблем с точки зрения контроля и безопасности. Если же устройство передается на длительный срок, то специалистам IT и безопасности предприятия необходимо периодически проверять наличие устройства у пользователя, например, через соединение в корпоративной сети. Сеансы соединения должны быть регламентированы (например, не менее одного раза в неделю) и кроме контроля обычно несут функциональную нагрузку. Загружаются свежие антивирусные базы, устанавливаются обновления для компонент операционной системы, возможно выполнение удаленного резервного копирования и т. п.
Ноутбук и комплектное к нему оборудование должны быть предоставлены для проверки по первому требованию ответственного IT-специалиста или сотрудника безопасности предприятия. Это необходимо для оперативного устранения «вирусных атак», каких-либо опасных уязвимостей или при реагировании на чрезвычайные ситуации. Рекомендуется поддерживать документируемую связь с пользователем через корпоративную электронную почту или мобильный телефон. В экстренных случаях доступ ноутбука в корпоративную сеть незамедлительно блокируется.
Допустим, ноутбук передан пользователю. Вместе с ноутбуком пользователю вручается памятка о необходимых мерах безопасности. Обязательство ознакомиться с памяткой и использовать мобильное устройство должным образом закреплено в расписке пользователя с указанием срока и цели использования ноутбука. Основные рекомендации памятки могут быть следующими.
– Переносите ноутбук в надежной сумке, защищающей устройство от влаги, ударов и повреждений. Не размещайте одновременно с оборудованием в сумке письменные принадлежности, пищу или напитки. Риск того, что ваша карьера может зависеть от бутылки газировки – недопустим.
– Перед транспортировкой завершите работу и выключите ноутбук. Отключите все кабели и периферийные устройства. По возможности не сдавайте ноутбук в багаж на время перелета. Известны случаи, когда ноутбук волшебным образом исчезал из багажа.
– Адаптируйте ноутбук к переменам температурных условий и влажности окружающей среды минимум 15—20 минут. Опасайтесь высокой влажности, т. к. внутри ноутбука образуется конденсат, что может привести к короткому замыканию. Если смотреть на обстоятельства реально, то пользоваться ноутбуком в сауне – опасно для жизни.
– Избегайте попадания на ноутбук прямых солнечных лучей. Сложная бытовая техника не дружит с солнцем. Старайтесь не оставлять ноутбук в жару в салоне автомобиля или в багажнике. В солнечный день температура внутри машины всегда выше допустимых для компьютера норм.
– Используйте ноутбук на ровном твердом столе, подставке. Не ставьте работающий компьютер на мягкие поверхности, такие как ковер, одеяла, подушка. Неровные мягкие поверхности препятствуют воздушному охлаждению устройства, а следствием является недолгий срок работы.
– Как минимум раз в неделю подключайте ноутбук к корпоративной сети для обновления антивирусных баз и модулей операционной системы. Не используйте посторонние источники обновлений в интернете. Не устанавливайте постороннее программное обеспечение, в случае необходимости обращайтесь в подразделение IT. В противном случае вас с большой вероятностью обвинят в распространении «вредоносного кода».
– Не рекомендуется использовать ноутбук и дополнительное оборудование в общественных местах, где есть вероятность насильственного захвата ноутбука или его кражи. Строго оградите ноутбук от использования посторонними лицами. Пользователь несет ответственность за безопасность использования вверенного оборудования. Потеря или кража ноутбука доставят вам немало досады и «служебной горечи».
О проекте
О подписке