Использование больших систем безопасности корпоративного уровня, соблюдение инфраструктурных политик безопасности, разделение прав доступа к объектам, корректные настройки сетевого доступа не гарантируют безопасность ИТ-инфраструктуры, если источник опасности появляется изнутри, например от конечного пользователя.
Не нужно забывать, что обучение и доведение до минимальной компетенции безопасности конечных пользователей является не менее важной, а даже основной и первостепенной задачей в организации комплексной безопасности ИТ-инфраструктуры.
В нашу тяжелую пору социальной инженерии обучение персонала банальным основам защиты информации и азам компьютерной безопасности является сложной и объемной задачей.
К конечному пользователю нашего заказчика пришло письмо от неизвестного отправителя с просьбой «Проверить счёт». Конечный пользователь приложил большое количество усилий для открытия данного файла, но, естественно, не увидел ожидаемого результата. С момента первого открытия, троян создал исполняемый скрипт и запустил его от имени пользователя. Исполняемый файл был представлен в виде архива, содержащего скрипт js. При подключении к компьютеру было выявлено, что все хранящиеся локально файлы .doc зашифрованы и переименованы - добавлено расширение .vault. Кроме того, на общедоступных сетевых дисках(!), которые были подключены на момент запуска трояна, для большинства расположенных на них файлов были обнаружены их копии с расширением .gpg. Проанализировав действия трояна (вирус оставляет файл .cmd, скрипт js, один из пары ключей для последующей дешифровки в пользовательской TEMP - директории), был сделан вывод, что для сетевых дисков отработал полностью - замещение исходных файлов шифрованными удалось.
Простой скрипт, запущенный из пользовательского пространства повредил помимо локальных данных пользователя корпоративные общедоступные данные, что привело к несколько часовому простою сервиса общедоступных дисков (время потраченное на полное восстановление из резервных копий), а так же простою работы пользователя до момента предоставления резервного корпоративного компьютера.
Таким образом, наглядно продемонстрирована необходимость и важность проведения вводного инструктажа по азам компьютерной безопасности для конечных пользователей предприятия.
Для примера приводим некоторые общие правила, которые могут лечь в основу политики безопасности доведенной до конечных пользователей:
-
Не открывайте вложения или ссылки в электронной почте неизвестного, подозрительного или сомнительного происхождения.
-
Всегда будьте осторожны с электронной почты и их вложениями. Проверяйте подлинность почтового ящика отправителя каждый раз, при возникновении сомнений.
-
Такие сообщения, как "Проверено на вирусы" или аналогичные в электронной почте не гарантируют 100 % защиты от вирусов, червей или троянов.
-
Не сохраняйте и не открывайте любые вложения от неизвестных или подозрительных адресатов электронной почты.
-
Не открывайте приложенные счета от отправителей, от которых вы не ожидали каких-либо счетов или никогда не получали каких-либо счетов.
-
Не отвечайте на спам по электронной почте, а переместите эти электронные письма в папку для спама.
Признаки спам-сообщений :
-
Подозрительные сообщения электронной почты часто содержат орфографические ошибки,например «Мы обновили наш веб-портал, так что доступ к пунктам онлайн скоро истекает»Никогда не открывайте вложения или ссылку, представленную в электронной почте якобы отправленное коллеге или другу, особенно если это письмо кажется странным.
-
Ни один серьезный производитель системы или антивирусного программного обеспечения не использует электронную почту для отправки инструментов для удаления вредоносных программ, обновлений и патчей.
-
ИТ-отдел никогда не посылает по электронной почте обновлений программ или любые другие исполняемых файлы.
-
Пожалуйста, никогда не сообщайте свой пароль.
-
Пароли являются строго конфиденциальной информацией.
-
Никогда не используйте корпоративный пароль на форумах, группах новостей, гостевых книгах, социальных сетях и т.п.
-
Никогда не сообщайте адрес корпоративной электронной почты и пароли конкурентам.
-
IT-Администраторам нет необходимости в знании Вашего пароля.
-
Устанавливайте ваши пароли в соответствии с политикой паролей компании:
-
пароль должен состоять минимум из 8 знаков
-
используйте минимум одну строчную и одну прописную букву
-
используйте минимум одну цифру
-
следующие специальные знаки / небуквенные символы могут быть использованы
-
" # $ % & \ * + , - . ; < > @ [ ] ^ _ ` | { } ~ =
-
не используйте имена, а также обозначения, которые могут быть связаны с Вами, например фамилию, имя, день рождения, прозвище, персональный номер)
-
изменяйте свои пароли минимум каждые шесть месяцев. В качестве помощи можно использовать, например, первые буквы какого-нибудь предложения, перемешанные с цифрами и специальными знаками.
-
измените пароль немедленно, если вы подозреваете, что кто-то знает его.
-
Рекомендуется загружать любые данные только с заслуживающих доверия веб-сайтов.
-
Никогда не используйте неизвестные USB накопители.
-
Сообщите ИТ-администраторам немедленно, если вы подозреваете, что ваш компьютер заражен вредоносными программами и немедленно выключите соответствующий компьютер.