2022:TOP10 Практик кибергигиены для компаний (часть 2)
CCHP — Companies CyberHygiene Practice, практики кибергигиены для компаний
CCHP1 — CCHP3 рассмотрены в предыдущей статье — 2022:TOP10 Практик кибергигиены для компаний (часть 1)
CCHP4. Организация способа хранения паролей
Где вы храните ваши пароли? Казалось бы — простой вопрос, но поверьте — он многих ставит в тупик. И пусть кинет в меня камень тот безопасник, в парольной политике которого предложено организационное решение, отличное от папки-скоросшивателя.
Коварнейший риф, о который разобьются корвет «Мощность алфавита» и баркас «Криптостойкий» — необходимая периодическая смена паролей. Безусловно, это полезная и даже очевидная мера, но только если вы работаете в службе информационной безопасности. А мы возьмем и посмотрим на нее с точки зрения простого сотрудника.
Он тратит усилия на запоминание новых и новых фраз, а это действительно тяжкий труд, если ваш администратор — сторонник 32-символьных псевдослучайных паролей на основе массива из цифр, строчных, заглавных и специальных символов. Запомнить же надо не одну и не две комбинации — в современных компаниях количество сервисов вполне сравнимо с числом трудящихся. При этом прилежное выполнение такой задачи никак не поощряется, вместо награды за усердие работника могут только наказать за невыполнение политик и распоряжений.
Но есть луч света в темном царстве и это — кто бы мог подумать — менеджеры паролей. На любой вкус и цвет, любые, какие только можно себе представить: облачные и локальные, бесплатные и не очень, с двухфакторной и с биометрической аутентификацией, а также со встроенными генераторами паролей. Благо за сравнительным анализом предложений далеко ходить не надо .
Попробуйте предложить такое решение вашим сетевым администраторам, чтобы наконец избавиться от множества раскиданных по всем закоулкам сети файлов с названиями вроде «Пароли от серверов.xlsx» и «VIPnet бухгалтерии.doc».
CCHP5. Избавление от лишнего в вашей сети
Наведение порядка — увлекательный и творческий процесс, который не заканчивается никогда. По уровню вовлеченности участников он может сравниться только с укладкой асфальта на специально подготовленную поверхность из свежевыпавшего снега. Но если четко наметить цели и вовремя пресекать лишние телодвижения, вполне можно вписать его в рамки разумного.
1. Общие ресурсы/папки.
Известное зло, на рукопашную борьбу с которым уйдут все силы даже у самого опытного IT-отдела в сопровождении лучших специалистов ручки и дырокола. Гораздо эффективнее настроить службу индексирования, которая в плановом режиме будет выявлять доступные сетевые папки, перебирать горы файлов в поисках пометок «Конфиденциально» и логинов/паролей от вашей сетевой инфраструктуры. Для составления более полной картины того, что видно вашим сотрудникам в сети, можно предоставить этой службе пользовательские права в домене. В рамках общего хранилища на сервере с задачей прекрасно справятся стандартные Windows Search и Служба индексирования. Для более изысканных вариантов с обходом сети подойдут поисковые движки Archivarius 3000, dtSearch или DocFetcher.
2. Старые/дублирующие сервисы.
Некоторые из них достались вам от старших братьев и сестер. Другие же были здесь, кажется, всегда: никто не помнит, как и кем они настраивались, но выключать их запрещает устав предприятия. Старые проржавевшие СУБД, забытые тестовые сервера, API умной кофеварки, а также множество микросервисов всех форм и расцветок, на которые мы обязательно когда-нибудь перейдем. Конечно, невозможно взять все это и разом отключить/выбросить/сжечь. Но почему бы не организовать мониторинг этих устройств? Попробуйте использовать Zabbix, NetXMS, LanState — или что там больше любит ваш devops. Небольшое усилие правильно приложенных золотых рук, и вы получите управляемую сеть, в которой визуализированы основные жизненные показатели вашего железа, начиная от жестких дисков и батарей, и заканчивая сетевыми портами основных прикладных сервисов.
3. Личные устройства.
Со времен, когда маркетологи начали активно продвигать в бизнес-кругах термин «BYOD» (Bring Your Own Device), утекло много воды. Так много, что она размыла даже стойкие, выведенные твердой рукой регулятора надписи про «неучтенные устройства в пределах контролируемой зоны» и «возможный источник утечки информации». В наши дни, когда экономика должна быть экономной, а сотрудников даже премируют за использование домашних устройств в работе, нужно найти баланс между возможностями и запретами.
А теперь, положа руку на «Энциклопедию профессора Фортрана», честно ответьте на следующие вопросы:
- Каким образом вы будете обеспечивать безопасность инфраструктуры, в которой постоянно появляются устройства с подмоченной репутацией?
- Есть ли у вас готовый алгоритм действий и настроенные средства защиты на случай попадания в сеть очередного wannacry-подобного чуда?
- Как вы будете контролировать трафик устройств по GPRS/Bluetooth, а также развернутые на них точки доступа?
Если у вас есть ответы на эти вопросы — все дороги вам открыты. В противном случае, лучше будет сначала эти ответы найти, и только потом начинать считать, сколько вы сэкономите на использовании работниками их личных устройств.
И самое главное — для поддержания порядка важны не столько прописанные в политиках ограничения и штрафы, сколько быстрые и удобные инструменты для обзора различных уровней сети. Они позволят специалистам как можно чаще посещать даже самые захолустные места ваших киберджунглей, где, возможно, и не ступала нога человека, но куда обязательно дотянется рука хакера.
CCHP6. Контроль ваших IT-поставщиков
Давайте смоделируем ситуацию. К вам приходит сантехник/кабельщик/участковый инспектор для решения ваших, а заодно и своих проблем. Сотрудничество проходит плодотворно, общие темы для разговора найдены, вопросы улаживаются практически сами собой. Уходя, контрагент предлагает вам передать ему запасные ключи от домофона и входной двери, чтобы в следующий раз, когда в нем возникнет необходимость, не отрывать вас от работы или отдыха. Какой будет ваша реакция на такую оптимизацию на местах? Очевидно, негативной.
Почему же тогда, когда дело касается рабочих вопросов, связанных с интеграционными решениями, в большинстве случаев руководители соглашаются и на постоянный удаленный и физический доступ к сети, и на общие пропуска для сотрудников подрядной организации? Такое когнитивное искажение должно быть обязательно изучено и включено в программу подготовки менеджеров от информатизации.
Как всегда, начинать разбираться в проблеме нужно с правильной постановки вопросов. Отталкиваться можно от следующих:
- К каким сегментам подключаются ваши IT-поставщики?
- Какую технику приносят с собой их сотрудники?
- Имеют ли подрядные организации постоянный доступ в вашу сеть?
- Имеют ли IT-поставщики bugbounty-программу для своего продукта? Выпускают ли securityfix-патчи?
Список можно продолжить самостоятельно, после чего провести мозговой штурм среди айтишников и безопасников. В результате сформируется перечень проблемных мест, который с поправкой на актуальность рисков для конкретной компании станет вашим руководством к действию.
Продолжение следует.
Автор: Савва Игнатьев, originsecurity