Собрали 10 простых советов для системных администраторов и руководителей организаций.
Системному администратору
Используйте антивирусы на уровне шлюза
Главный источник вирусов и прочего вредоносного кода — интернет. Установив антивирус на уровне шлюза, вы защитите сразу все компьютеры локальной сети, так как он проверяет проходящий через прокси-сервер трафик. Не забудьте прописать каждому пользователю в качестве прокси-сервера шлюз с антивирусом.
Госкомпаниям необходимо использовать решения, сертифицированные ФСТЭК, например антивирус «Лаборатории Касперского». Помимо него в универсальном шлюзе безопасности Traffic Inspector Next Generation можно использовать бесплатный плагин ClamAV, а также подключить другой антивирус, поддерживающий протокол ICAP.
Используйте систему обнаружения/предотвращения вторжений (IDS/IPS)
Атаки на компьютерные сети организаций происходят в основном извне. Целью хакеров может стать как внешний ресурс (например, веб-сайт), так и внутренний (скажем, база данных).
Решение — система обнаружения/предотвращения атак (IDS/IPS), которая распознает источники атак и атакуемые машины по определенным сигнатурам сетевого трафика и «очищает» трафик от подобных негативных воздействий. Кроме того, система оповещает администратора о происходящем и создает отчеты действий для того, чтобы по ним можно было провести расследование вторжений.
Одна из наиболее популярных IDS — Suricata. База сигнатур содержит актуальный список компьютерных атак, при этом можно подключить базы еще одной популярной системы обнаружения атак — Snort.
Как правило, функция IDS/IPS входит в состав универсальных UTM-систем информационной безопасности, причем не только дорогих западных, но и более доступных отечественных.
Используйте прокси-сервер для фильтрации сетевого трафика
Часто системному администратору ставят задачу заблокировать нерегламентированные действия пользователей рабочих станций (просмотры видеороликов, общение в соцсетях, скачивание «пиратского» контента). Эти действия не только отнимают рабочее время, но и могут привести к заражению рабочей станции. Для предотвращения подобных действий на прокси-сервере необходимо установить правила блокировки доступа к определенным веб-ресурсам.
Например, прокси-сервер Squid позволяет настроить правила как для входящего, так и для исходящего трафика. Кроме того, в состав прокси-сервера входят средства SSL-bump, которые умеют расшифровывать защищенный трафик (HTTPS).
Используйте виртуальные частные сети (VPN)
Если у организации есть филиалы, то для обмена информацией между ними нежелательно использовать открытые каналы. Кроме того, угрозу представляет удаленный доступ сотрудника к офисной сети (часто корпоративные сети взламывают, используя Wi-Fi в гостиницах и других публичных местах.
Защитить коммуникации поможет создание виртуальной частной сети. Например, в универсальном шлюзе безопасности Traffic Inspector Next Generation есть средства построения VPN-сетей в режиме «сеть — сеть» и «клиент — сеть» на основе протокола OpenVPN и IPsec.
Регулярно проверяйте безопасность локальной сети
Ежемесячно выявляются несколько десятков видов уязвимостей в операционных системах, а также системах электронного документооборота и другом общем программном обеспечении.
Системный администратор должен регулярно проверять находящиеся в его ведении компьютеры на наличие уязвимостей и устранять их. В этом помогают сканеры уязвимостей на уровне приложений, а также низкоуровневые средства, такие как сканер портов, для выявления и анализа возможных приложений и протоколов, выполняющихся в системе.
UTM-решения, как правило, содержат сканеры безопасности. Например, у Traffic Inspector Next Generation есть GoLismero — интеграционный фреймворк для сканеров безопасности с акцентом на веб-безопасность, а также OpenVAS, Webspider, Netmap, sqlmap и другие сканеры, работающие по разным профилям.
Руководителю
Не пренебрегайте официальными документами
Вышестоящие организации или ведомства выпускают положения по обеспечению информационной безопасности, регламенты и т. п. Как правило, это длинные и малопонятные тексты, написанные канцелярским языком. Попросите системного администратора выделить из них суть и обсудите вместе с ним реализацию главных поставленных задач.
Следите за тем, чтобы сотрудники надежно хранили пароли
Доведите до персонала опасность раскрытия их паролей. Бумажка с шифром, приклеенная к монитору, даст хакеру ключ для взлома всей сети. Поставьте сотрудникам в обязанность менять пароли не реже чем раз в полгода (для наиболее важных сотрудников, таких как руководство и бухгалтерия, — раз в квартал). Если длинный пароль трудно запомнить, его можно разбить на две части — одну записать на видное место, а другую держать в голове.
Распорядитесь о резервном копировании
Резервное копирование — это периодическая запись всех цифровых данных организации на внешний накопитель информации. В случае утраты рабочих данных их можно будет вернуть с помощью бэкапа. Как часто делать бэкапы и как долго их хранить? Оптимальный вариант — часто сохранять недавнюю информацию и долго хранить отдельные срезы, например делать бэкапы каждый день, хранить последние 30 дней, а также хранить срезы, сделанные 2, 3, 6, 12 и 24 месяца назад.
Обучайте персонал информационной безопасности
Базовые вещи объяснит системный администратор, но желательно подходить к вопросу обучения комплексно, используя специальные курсы (например, Kaspersky ASAP). Для новых сотрудников сделать прохождение курсов обязательным.
Проводите периодические проверки
Например, поставьте задачу системному администратору сымитировать хакерскую атаку: отправить всем сотрудникам почтовое сообщение с подменой отправителя и «вирусным» файлом в архиве (например: отправитель — руководитель отдела кадров, тема — Новый год, вложение — Работа в праздники.zip, в файле — скрипт, который даст системному администратору понимание, на каком компьютере был запущен файл). Проведите разъяснительную работу среди тех, кто открыл опасное вложение.
