技術者以外のユーザー向けのトップ10のセキュリティのヒント

今週後半に、私が働いている会社のスタッフにプレゼンテーションを行います。プレゼンテーションの目的は、ネットワークのセキュリティを維持するのに役立つ、優れた実践の復習/復習として役立つことです。対象者はプログラマーと非技術スタッフの両方で構成されているため、プレゼンテーションは非技術ユーザー向けです。

このプレゼンテーションの一部を「ヒント」のトップリストにしたい。リストは短く（記憶を促すため）、ユーザーに固有で関連性がある必要があります。

これまでに次の5つのアイテムがあります。

• 予期しない添付ファイルを開かないでください
• download.comなどの信頼できるソースからのみソフトウェアをダウンロードする
• 電話またはメールで要求されたときにパスワードを配布しない
• ソーシャルエンジニアリングに注意する
• 機密データをFTPサーバーに保存しない

いくつかの説明：

• これは私たちの仕事のネットワーク用です
• これらはITポリシーではなく、エンドユーザー向けの「ベストプラクティス」のヒントである必要があります
• バックアップ、OSパッチ、ファイアウォール、AVなどをすべて一元管理
• これは中小企業（25人未満）向けです

2つの質問があります。

1. 追加のアイテムを提案しますか？
2. 既存のアイテムへの変更を提案しますか？

ITの外で同僚を教育しようとしているように思われるかもしれません。これは良いことであり、私が推奨することですが、IT部門はセキュリティ標準とポリシーを推進する必要があります。

このトレーニングは、すでに実施されているセキュリティポリシーの背後にある理由を強化および教育する手段として役立つはずです。書かれたセキュリティポリシードキュメントがない場合は、あるはずです。

あなたがリストするものの多くは、エンドユーザーの管理下にあるべきではありません。たとえば、平均的で技術的ではないエンドユーザーは、自分のワークステーションにソフトウェアをインストールできないはずです。社内にはサポート、構成、マルウェアの問題が数多くあり、可能であればポリシーによって簡単に防止できると思います。

ITポリシーによって基本事項がまだ記述および実施されていない場合、これらはユーザーの教育を試みる前に対処する必要がある問題です。エンドユーザーに焦点を当てたポリシーには、次のものがあります。

• ジョブ機能を実行するために必要な最小限の特権
• セキュリティリスクに注意して自動的に実行されるソフトウェアアップデート
• ポリシーによって実施されるセキュリティ標準（IE。Webブラウザー設定）
• パスワードの有効期限（90日）
• パスワード強度の強制（英数字、大/小文字混合、9文字以上など）
• 最後の5つのパスワードを使用できません
• ポータブルデバイス（ラップトップ）ストレージの暗号化
• データ分類ポリシー
• 分類ポリシー内で定義されている、制限された機密データの処理を指示するポリシー。
• データ廃棄ポリシー
• データアクセスポリシー
• ポータブルデバイスポリシー

インフラストラクチャグループ内の適切な開発と技術的なメンテナンスの両方に適用される無数の追加のポリシーと手順があります。（変更管理、コードレビュー、システム標準など）

すべての基盤が整ったら、従業員にはセキュリティポリシーのコピーのコピーを提供する必要があり、そのポリシーに関するトレーニングも適切です。これは、技術的に適用されるものとそうでないものの両方のエンドユーザーのベストプラクティスをカバーします。これらのいくつかは次のとおりです。

• ビジネスの一環としての制限された機密情報の取り扱い。
  • 電子メールを送信したり、暗号化せずに送信したり、適切に廃棄したりしないでください。
• パスワードの取り扱い。
  • キーボードの下に書いたままにしないでください。投稿時には、メモ、共有などを投稿してください。
• アカウントや認証データを共有しないでください。（再び）
• ワークステーションのロックを解除したり、会社の資産（データ）を保護しない（ラップトップ）ままにしないでください
• 考慮せずにソフトウェアを実行しないでください
  • 電子メールの添付ファイルなど。
• ソーシャルエンジニアリングを取り巻くリスクとシナリオ
• ビジネスまたは業界に適用可能な現在のマルウェアの傾向。
• ビジネスまたは業界に固有のポリシーとリスク。
• それらがどのように監視されているか（もしあれば）に関する一般教育
• ITが技術的および管理的にセキュリティポリシーを実施する方法。

PCI DSSの例セキュリティポリシーに関する多くのベストプラクティス。さらに、本「システムとネットワーク管理の実践」では、ITセキュリティに関する基本的なベストプラクティスについて説明しています。

私の一番のヒント（私はゆっくりと人に教えることができています）は、あなたの＃1のバリエーションです：

メールが実際にどこから送信されてきたかを確認する方法を知って、少しでも奇妙なメッセージを確認します。

Outlookの場合、これはインターネットヘッダーの表示方法と、Received-From行の意味を知ることを意味します。

技術者以外のスタッフは、ソフトウェアのダウンロードとインストールを選択することはできません（そうすべきではないと思います）。ソフトウェアをインストールするための管理者アクセス権は必要ありません。管理者にアクセスを許可するプログラマーであっても、ダウンロードしてインストールする前にIT部門に確認することを強くお勧めします。

パスワードについては、私は常にブルース・シュナイアーのアドバイスを繰り返します。パスワードは、いくつかの良いことをするのに十分強力である必要があり、紙に書き留めてそれを財布に入れておくことができることを覚えておくのが難しいことに対処するには、パスワードカードを次のように扱いますクレジットカードと、ウォレットを紛失した場合にそれらをキャンセル（変更）する方法を知っている。

ラップトップの数とバックアップ方法に応じて、ラップトップのデータを安全に保つためのヒントを紹介します。ラップトップ上のデータをネットワークにバックアップ/複製するためのシステムがない場合は、そうする必要があります。また、システムがある場合は、ラップトップのユーザーがそれがどのように機能するかを確認する必要があります。データでいっぱいの紛失または盗難されたラップトップは、少なくとも、お尻の痛みです。

脆弱なパスワードと強力なパスワードを定義し、強力なパスワードを思いついて思い出すための良い方法をいくつか提供します。

2番目の点は、ユーザーがコンピューターにソフトウェアをインストールすることを許可されていることを示しているようです。それはほとんどの場合問題だと思います。ただし、ソフトウェアのインストールが許可されている場合は、カバーすることをお勧めします。

ソーシャルエンジニアリングの例があることを確認してください。これは彼らが何を探すべきかを知るのに役立ち、より妄想的になるために彼らを少し怖がらせます。オフィスのすぐ外の歩道にUSBサムドライブがあったらどうするか考えてもらいたいです。ほとんどの正直な人はそれを手に取り、自分のコンピューターに差し込んで、ドライブ上の何かが所有者を特定できるかどうかを確認します。ほとんどの不正直な人は同じことをします...しかし、おそらくそれを消去して使用する前に、それに何か良いものがあるかどうかを確認するだけです。いずれの場合も、自動実行や悪意のあるPDFなどを使用して、選択した会社内でコンピューターを所有したり、キーストロークロガーをインストールしたりするのは非常に簡単です。

どうですか

• OSとアプリを最新の状態に保ちます。これには、メジャーバージョンも含まれます。少なくとも、メジャーバージョンが成熟するまでに数か月かかります。完全にパッチが適用されたIE6を実行している完全にパッチが適用されたXP SP3は、IE8を実行しているWindows 7（より良いのはChrome）よりもはるかに安全ではありません。
• 人気のあるOSやアプリは避けてください。これらは悪用される可能性がはるかに高いです。主要なMicrosoft（Windows、IE、Outlook、Office、WMP）、Apple（iTunes、Quicktime）、およびAdobe（Flash、PDFリーダー）製品を回避できる場合は、大多数の製品によって危険にさらされる可能性ははるかに低くなります。アクティブなエクスプロイトがあります。
• ウイルス対策（マルウェア対策スイート）を最新の状態に保ち、定期的にスキャンします。
• パーソナルファイアウォールを最新の状態に保ち、実行します。
• 安全な電子メールプロトコルを使用してください（つまり、POP / IMAP / SMTPがSSLで保護されていることを確認してください）。
• Windowsファイル共有（SMB）またはsshd（これらは最も攻撃されている2つのポートです）を有効にしないでください。
• 自宅のWi-FiネットワークでWPA2暗号化を有効にします。
• 信頼できないWebサイトにもアクセスしないでください。

あなたは良いスタートを切ったが、他の人が述べたように、ユーザーがソフトウェアをインストールできるなら不利なところからスタートしている。download.comの使用はお勧めしません。代わりに、ユーザーは自分で問題を解決するプログラムをITに依頼する必要があります。管理者権限を削除すると、この問題が解決します。

追加：

1. ほとんどのサイトでは異なるパスワードを使用し、それらを追跡するために何らかのパスワードセーフ（KeePass、PWSafeなど）を使用します。MediaDefenderの電子メールがどのようにハッキングされたかを確認し、侵入を防ぐためにどのような対策が取られていたのかをユーザーに尋ねます。仕事用ドメインのパスワードを他の場所で使用したり、信頼できないシステムを経由して会社のメールやトラフィックを転送したりしないでください。
2. かなり複雑なパスワードを選択してください。John the Ripperを使用して、サンプルのパスワードハッシュでライブクラックを実行します（人が過剰に反応した場合に備えて、まず会社からクラックツールを使用する許可を取得してください）。「PRISCILLA1」が2秒未満でクラックされることをユーザーに示すことは、目を見張るものです。ここでは、Anixisのパスワードポリシーエンフォーサを使用して、お粗末なパスワードが侵入しないようにします。
3. ITから提供されていないものは接続しないでください。キーロガーUSBスティックまたはトロイの木馬を自動実行するプラグを差し込んで要点を説明します（自動実行は無効にする必要がありますが、それは別の話です）。
4. MitM攻撃を防ぐために暗号化されている場合でも、すべてのネットワーク上のすべてのトラフィックが追跡され、両端で記録されると想定します。 WikiScannerは、IPアドレスを使用して「匿名」編集を行った指の良い例です。