Die zehn wichtigsten Sicherheitstipps für nicht technische Benutzer

10

Ich werde später in dieser Woche den Mitarbeitern des Unternehmens, in dem ich arbeite, eine Präsentation geben. Das Ziel der Präsentation ist es, als Auffrischung / Remidner bewährter Verfahren zu dienen, die dazu beitragen können, unser Netzwerk sicher zu halten. Das Publikum besteht sowohl aus Programmierern als auch aus nicht technischen Mitarbeitern, sodass die Präsentation auf nicht technische Benutzer ausgerichtet ist.

Ich möchte, dass ein Teil dieser Präsentation eine Top-Liste von "Tipps" ist. Die Liste muss kurz sein (um das Gedächtnis zu fördern) und spezifisch und relevant für den Benutzer sein.

Ich habe bisher die folgenden fünf Artikel:

  • Öffnen Sie niemals einen Anhang, den Sie nicht erwartet haben
  • Laden Sie nur Software von einer vertrauenswürdigen Quelle wie download.com herunter
  • Verteilen Sie keine Passwörter, wenn Sie per Telefon oder E-Mail dazu aufgefordert werden
  • Seien Sie vorsichtig beim Social Engineering
  • Speichern Sie keine vertraulichen Daten auf einem FTP-Server

Einige Klarstellungen:

  • Dies ist für unser Arbeitsnetzwerk
  • Dies müssen "Best Practices" -Tipps für den Endbenutzer sein, keine IT-Richtlinien
  • Wir haben Backups, Betriebssystem-Patches, Firewall, AV usw., die alle zentral verwaltet werden
  • Dies ist für ein kleines Unternehmen (weniger als 25 Personen)

Ich habe zwei Fragen:

  1. Schlagen Sie zusätzliche Artikel vor?
  2. Schlagen Sie Änderungen an vorhandenen Elementen vor?
Justin
quelle
1
Diese Frage gehört zu superuser.com - und sollte zumindest Community Wiki sein
Mark Henderson
Angenommen, dies ist Teil der Sicherheitsrichtlinie der IT-Abteilung, stimme ich nicht zu. Meine IT-Abteilung hat einen Teil des Materials geschrieben und die Schulungsperson für die jährliche Sicherheitsschulung für Endbenutzer geschult.
Warner
3
Zumindest ist es nur eine andere Version von "Your Favourite (x)", die eigentlich ein Community-Wiki sein sollte
Mark Henderson
@Farseeker: Ich stimme zu.
@Farseeker - Dies ist keine Frage von superuser.com. Dies ist für ein Arbeitsnetzwerk.
Justin

Antworten:

7

Es hört sich so an, als wären Sie eine Person außerhalb der IT, die versucht, Ihre Kollegen zu schulen. Dies ist zwar eine gute Sache und etwas, das ich fördern möchte, aber Ihre IT-Abteilung sollte die Sicherheitsstandards und -richtlinien vorantreiben.

Diese Schulung sollte als Mittel zur Durchsetzung und Aufklärung der Gründe für die bereits geltenden Sicherheitsrichtlinien dienen. Wenn es kein schriftliches Sicherheitsrichtliniendokument gibt, sollte es eines geben.

Viele der Dinge, die Sie auflisten, sollten nicht der Kontrolle des Endbenutzers unterliegen. Beispielsweise sollte der durchschnittlich weniger technische Endbenutzer keine Software auf seiner Workstation installieren können. Ich vermute, dass es im Unternehmen zahlreiche Support-, Konfigurations- und Malware-Probleme gibt, die durch Richtlinien leicht verhindert werden könnten, wenn dies möglich ist.

Wenn die Grundlagen noch nicht durch IT-Richtlinien geschrieben und durchgesetzt wurden, sollten diese Probleme behoben werden, bevor versucht wird, die Benutzer zu schulen. Einige der auf Endbenutzer ausgerichteten Richtlinien umfassen:

  • Die geringsten Berechtigungen, die zur Ausführung der Jobfunktion erforderlich sind
  • Software-Updates werden automatisch unter Berücksichtigung des Sicherheitsrisikos durchgeführt
  • Durch Richtlinien erzwungene Sicherheitsstandards (IE. Webbrowser-Einstellungen)
  • Ablauf des Passworts (90 Tage)
  • Durchsetzung der Kennwortstärke (alphanumerisch, Groß- und Kleinschreibung, 9+ Zeichen usw.)
  • Die letzten 5 Passwörter können nicht verwendet werden
  • Speicherverschlüsselung für tragbare Geräte (Laptops)
  • Datenklassifizierungsrichtlinie
  • Richtlinie, die den Umgang mit eingeschränkten und vertraulichen Daten vorschreibt, wie in der Klassifizierungsrichtlinie definiert.
  • Datenentsorgungsrichtlinie
  • Datenzugriffsrichtlinie
  • Richtlinie für tragbare Geräte

Es gibt eine Vielzahl zusätzlicher Richtlinien und Verfahren, die sowohl für die ordnungsgemäße Entwicklung als auch für die technische Wartung innerhalb der Infrastrukturgruppen gelten. (Änderungskontrolle, Codeüberprüfung, Systemstandards und vieles mehr.)

Nachdem die gesamte Grundlage vorhanden ist, sollten den Mitarbeitern Kopien der schriftlichen Sicherheitsrichtlinie zur Verfügung gestellt werden, und eine entsprechende Schulung wäre ebenfalls angemessen. Dies würde Best Practices für Endbenutzer abdecken, die sowohl technisch als auch nicht durchgesetzt werden. Einige davon sind:

  • Umgang mit eingeschränkten und vertraulichen Informationen im Rahmen des Geschäfts.
    • Senden Sie keine E-Mails oder senden Sie keine unverschlüsselten Daten, entsorgen Sie sie nicht ordnungsgemäß usw.
  • Umgang mit Passwörtern.
    • Lassen Sie es nicht unter der Tastatur, auf Haftnotizen, Teilen usw. schreiben.
  • Teilen Sie keine Konten oder Authentifizierungsdaten. (Nochmal)
  • Lassen Sie Workstations nicht unverschlossen oder Unternehmenseigentum (Daten) ungesichert (Laptops).
  • Führen Sie keine Software ohne Rücksicht aus
    • Wie E-Mail-Anhänge.
  • Risiken und Szenarien rund um Social Engineering
  • Aktuelle Malware-Trends für Unternehmen oder Branchen.
  • Richtlinien und Risiken für das Unternehmen oder die Branche.
  • Allgemeine Aufklärung darüber, wie (ob) sie überwacht werden
  • Wie die IT die Sicherheitsrichtlinien technisch und administrativ durchsetzt.

Das PCI DSS zeigt viele Best Practices in Bezug auf Sicherheitsrichtlinien. Darüber hinaus behandelt das Buch " Praxis der System- und Netzwerkadministration" grundlegende Best Practices in Bezug auf die IT-Sicherheit.

Warner
quelle
Warum wurde dies abgelehnt?
Warner
Danke für die nachdenkliche Antwort. Wir haben gute Richtlinien usw., die unterzeichnet sind. Um es klar auszudrücken, suche ich nach einer guten Liste von Top-Tipps, um das Verhalten zu fördern, das die Sicherheit der Endbenutzer erhöht. (Wir haben keine Probleme mit Malware / Viren usw. Ich verstehe nicht die ganze Aufregung, ein lokaler Administrator zu sein. Nach einem Artikel, den ich vor einigen Jahren gelesen habe, ist dies die Standardeinstellung als MSFT Corp.)
Justin
Die Abwertung war mein Fehler, aber ich kann ihn anscheinend nicht ändern. Ich denke, wenn Sie Ihre Antwort bearbeiten (ein Leerzeichen oder etwas hinzufügen), kann ich das beheben.
Justin
Ah cool, danke. Es war ein bisschen entmutigend! Ich habe einige Zeit mit meiner Antwort verbracht. In Bezug auf die Sache mit dem lokalen Administrator stimme ich Ihnen etwas zu. Dies hängt vom Unternehmens- und Technologieumfeld ab. Es hat sich gezeigt, dass Endbenutzer manchmal mit Administratoren in technischen Unternehmen oder hochtechnischen Gruppen einverstanden sind. Ich habe beide Seiten des Spektrums arbeiten sehen. Ein Kollege von mir ist für ein Intranet verantwortlich, das sich aus Mitarbeitern ohne technische Kenntnisse zusammensetzt. Das Unternehmen benötigt einen Administrator, der sich regelmäßig mit Malware-Problemen in unterschiedlichem Umfang befasst.
Warner
Keine Sorge, ich habe es behoben :)
l0c0b0x
2

Mein Top-Tipp (den ich langsam schaffe, Menschen zu unterrichten) ist eine Variation Ihrer Nummer 1:

Wissen, wie man überprüft, woher eine E-Mail wirklich kommt, und jede Nachricht überprüft, die am wenigsten seltsam ist.

Für Outlook bedeutet dies, dass Sie wissen, wie die Internet-Header angezeigt werden und was die empfangenen Zeilen bedeuten.

Für nicht-technische Mitarbeiter ist das Herunterladen und Installieren von Software keine Option (und ich würde sagen, sollte es auch nicht sein). Sie sollten keinen Administratorzugriff haben, um Software zu installieren. Selbst für Programmierer, denen wir Administratorzugriff gewähren, empfehlen wir dringend, sich vor dem Herunterladen und Installieren bei der IT zu erkundigen.

Bei Passwörtern wiederhole ich immer den Rat von Bruce Schneier: Passwörter sollten stark genug sein, um etwas Gutes zu tun, und um die Schwierigkeiten beim Erinnern zu bewältigen, können Sie sie auf ein Blatt Papier schreiben und in Ihrer Brieftasche aufbewahren - behandeln Sie Ihre Passwortkarte wie eine Kreditkarte und wissen, wie man sie storniert (ändert), wenn man seinen Geldbeutel verliert.

Abhängig davon, wie viele Laptops Sie haben und wie Sie sie sichern, würde ich einen Tipp zum Schutz der Daten auf Laptops hinzufügen. Wenn Sie kein System zum Sichern / Replizieren von Daten auf Laptops in Ihrem Netzwerk haben, sollten Sie dies tun. Wenn Sie über ein System verfügen, sollten Sie sicherstellen, dass die Laptopbenutzer wissen, wie es funktioniert. Ein verlorener oder gestohlener Laptop voller Daten ist zumindest ein Ärgernis.

Ward - Monica wieder einsetzen
quelle
Vielen Dank. Wir haben gute Backups. Wir werden TrueCrypt-Freigaben bereitstellen, um die Daten auf Laptops zu schützen. Starke Passwörter + Beispiele sind auf jeden Fall eine Erwähnung wert. Vielen Dank.
Justin
Wenn Sie mich davon überzeugen möchten, dass eine E-Mail echt ist, fügen Sie einen Text in den Text ein, damit ich ihn mit Ihnen verbinden kann.
David Thornley
2

Definieren Sie, was ein schwaches und ein starkes Passwort sind, und geben Sie ihnen einige gute Möglichkeiten, um starke Passwörter zu finden und sich diese zu merken.

Ihr zweiter Punkt scheint darauf hinzudeuten, dass Benutzer Software auf ihren Computern installieren dürfen. Ich würde sagen, dass dies in den meisten Fällen ein Problem ist. Aber wenn sie Software installieren dürfen, ist dies ein guter Punkt.

Stellen Sie sicher, dass Sie Beispiele für Social Engineering haben. Dies hilft ihnen zu wissen, wonach sie suchen müssen, und macht ihnen ein wenig Angst, paranoider zu sein. Ich frage die Leute gerne, was sie tun würden, wenn sie einen USB-Stick auf dem Bürgersteig direkt vor dem Büro finden würden. Die meisten ehrlichen Leute würden es abholen und an ihren Computer anschließen, um zu sehen, ob etwas auf dem Laufwerk erkennen würde, wer der Besitzer ist. Die meisten unehrlichen Leute werden das Gleiche tun ... aber wahrscheinlich nur, um zu sehen, ob etwas Gutes daran ist, bevor sie es löschen, um es zu benutzen. In beiden Fällen über Autorun, böswillige PDFs usw. ist es eine ziemlich einfache Möglichkeit, einen Computer in einem Unternehmen Ihrer Wahl zu besitzen, einen Tastendruck-Logger zu installieren usw.

3dinfluence
quelle
Ihr Beispiel für einen USB-Stick ist gut. Eine Warnung vor Verwendung und Missbrauch von USB-Sticks sollte wahrscheinlich einer seiner Tipps sein.
Ward - Stellen Sie Monica am
Vielen Dank. Betreff: Beispiele für Social Engineering, ja, ich spreche normalerweise gerne über die Unsichtbarkeit von Zwischenablage und Arbeitsoverall. Der USB ist ein gutes Beispiel.
Justin
2

Wie wäre es mit

  • Halten Sie Ihr Betriebssystem und Ihre Apps auf dem neuesten Stand. Dies schließt auch Hauptversionen ein, zumindest wenn eine Hauptversion einige Monate gereift ist. Ein vollständig gepatchtes XP SP3 mit einem vollständig gepatchten IE6 ist immer noch viel weniger sicher als Windows 7 mit IE8 (oder noch besser Chrome).
  • Vermeiden Sie beliebte Betriebssysteme und Apps - es ist weitaus wahrscheinlicher, dass sie ausgenutzt werden. Wenn Sie wichtige Produkte von Microsoft (Windows, IE, Outlook, Office, WMP), Apple (iTunes, Quicktime) und Adobe (Flash, PDF Reader) vermeiden können, ist die Wahrscheinlichkeit, dass Sie von der überwiegenden Mehrheit der Produkte beeinträchtigt werden, weitaus geringer aktive Exploits da draußen.
  • Halten Sie Ihr Antivirenprogramm (Anti-Malware-Suite) auf dem neuesten Stand und scannen Sie es regelmäßig.
  • Halten Sie Ihre persönliche Firewall auf dem neuesten Stand und laufen Sie.
  • Verwenden Sie sichere E-Mail-Protokolle (dh stellen Sie sicher, dass Ihr POP / IMAP / SMTP SSL-geschützt ist).
  • Aktivieren Sie nicht Windows File Sharing (SMB) oder sshd (dies sind die beiden am häufigsten angegriffenen Ports).
  • Aktivieren Sie die WPA2-Verschlüsselung in Ihrem WLAN-Heimnetzwerk.
  • Besuchen Sie nicht einmal nicht vertrauenswürdige Websites.
Spiff
quelle
Ich gehe davon aus, dass es sich bei der Frage um ein Unternehmensnetzwerk handelt. Daher sollten Updates, AV-, Wireless- und Firewall-Einstellungen eher das Problem der IT als das des Benutzers sein.
Nun, es scheint sich um ein Unternehmensnetzwerk zu handeln, in dem Benutzer ihre eigene Software herunterladen / installieren können, wenn man den Tipp "Nur Software von einer vertrauenswürdigen Quelle wie download.com herunterladen" in der ursprünglichen Frage verwendet. Daher halte ich meinen Tipp, Ihre Software auf dem neuesten Stand zu halten, für wichtig. Außerdem erlauben viele Corps Laptops, die sich im Besitz eines Unternehmens befinden, mit Benutzern nach Hause zu gehen (und zu reisen), sodass auch die Sicherheit des Heimnetzwerks gültig ist.
Spiff
Das ist unser Arbeitsnetzwerk, ja. Patches, Firewall, Backups usw. werden auf GPO / IT-Teamebene erledigt. Updates für die eigene Software sind jedoch wichtig. Ich werde das erwähnen.
Justin
+ Eine nicht vertrauenswürdige Website ist gut.
Justin
1

Sie haben einen guten Start, aber wie andere bereits erwähnt haben, haben Sie einen Nachteil, wenn Benutzer Software installieren können. Ich würde nicht empfehlen, download.com zu verwenden. Stattdessen sollten Benutzer die IT nach einem Programm fragen, das ihr Problem löst, anstatt selbst zu versuchen, eines zu finden (es sei denn, die meisten sind Entwickler oder ziemlich versiert). Das Entfernen von Administratorrechten löst dieses Problem.

Ergänzungen:

  1. Verwenden Sie für die meisten Websites unterschiedliche Kennwörter und verwenden Sie einen Kennwort-Safe, um den Überblick zu behalten (KeePass, PWSafe usw.). Gehen Sie durch, wie die E-Mails von MediaDefender gehackt wurden, und fragen Sie die Benutzer, welche Maßnahmen das Eindringen verhindert hätten. Verwenden Sie Ihr Arbeitsdomänenkennwort niemals irgendwo anders und leiten Sie die E-Mails / den Datenverkehr des Unternehmens nicht über nicht vertrauenswürdige Systeme weiter.
  2. Wählen Sie anständig komplexe Passwörter. Führen Sie einen Live-Crack mit John the Ripper für einen Beispiel-Passwort-Hash durch (stellen Sie sicher, dass Sie zuerst die Erlaubnis erhalten, Cracking-Tools in schriftlicher Form vom Unternehmen zu verwenden, falls Personen überreagieren). Das Zeigen von Benutzern, dass 'PRISCILLA1' in <2 Sekunden geknackt ist, ist ein Augenöffner. Wir verwenden hier Anixis 'Password Policy Enforcer, um sicherzustellen, dass keine miesen Passwörter eingehen.
  3. Schließen Sie nichts an, was Ihnen von der IT nicht zur Verfügung gestellt wird. Veranschaulichen Sie den Punkt, indem Sie einen Keylogger-USB-Stick oder einen Autor anschließen, der einen Trojaner ausführt (Autorun sollte deaktiviert sein, aber das ist eine andere Geschichte).
  4. Angenommen, der gesamte Datenverkehr in allen Netzwerken wird an beiden Enden verfolgt und protokolliert, auch wenn er verschlüsselt ist, um MitM-Angriffe zu verhindern. WikiScanner ist ein gutes Beispiel für die Verwendung von IP-Adressen für Finger, die "anonyme" Änderungen vorgenommen haben.
Hurfdurf
quelle
Wir sind ein kleines Unternehmen und haben daher keine Vollzeit-IT-Abteilung. Gute Tipps. Vielen Dank.
Justin