비 기술적 인 사용자를위한 10 가지 보안 팁

이번 주 후반에 내가 일하는 회사의 직원에게 프레젠테이션을하고 있습니다. 프레젠테이션의 목표는 네트워크 보안을 유지하는 데 도움이되는 모범 사례를 새로 고침 / 중급자 역할을하는 것입니다. 청중은 프로그래머와 비 기술 직원으로 구성되어 있으므로 비전문 사용자를 대상으로 프레젠테이션이 구성됩니다.

이 프레젠테이션의 일부가 "팁"의 최상위 목록이되기를 바랍니다. 목록은 짧아야하고 (메모리를 장려하기 위해) 사용자에게 구체적이고 관련성이 있어야합니다.

지금까지 다음 5 가지 항목이 있습니다.

• 예상치 못한 첨부 파일을 열지 마십시오
• download.com과 같은 신뢰할 수있는 소스에서만 소프트웨어를 다운로드하십시오.
• 전화 나 이메일을 통해 요청시 비밀번호를 배포하지 마십시오
• 사회 공학에주의하십시오
• FTP 서버에 민감한 데이터를 저장하지 마십시오

몇 가지 설명 :

• 이것은 우리의 작업 네트워크를위한 것입니다
• IT 정책이 아닌 최종 사용자를위한 "모범 사례"팁이어야합니다.
• 백업, OS 패치, 방화벽, AV 등을 모두 중앙에서 관리
• 소기업 용 (25 명 미만)

두 가지 질문이 있습니다.

1. 추가 품목을 제안 하시겠습니까?
2. 기존 항목에 대한 변경 사항을 제안합니까?

IT 외부에서 동료 교육을 시도하는 사람 일 수 있습니다. 이것이 좋은 일이며 권장 할만한 것이지만 IT 부서는 보안 표준 및 정책을 추진해야합니다.

이 교육은 이미 시행중인 보안 정책의 원인을 다시 강화하고 교육하는 수단으로 사용되어야합니다. 서면 보안 정책 문서가 없으면 있어야합니다.

당신이 나열한 많은 것들이 최종 사용자 통제 내에 있지 않아야합니다. 예를 들어, 덜 기술적 인 최종 사용자는 워크 스테이션에 소프트웨어를 설치할 수 없어야합니다. 회사 내에는 정책에 의해 쉽게 예방할 수있는 수많은 지원, 구성 및 맬웨어 문제가 있다고 생각합니다.

기본 사항이 IT 정책에 의해 작성되고 시행되지 않은 경우 이러한 문제는 사용자 교육을 시도하기 전에 해결해야합니다. 최종 사용자 중심 정책 중 일부는 다음과 같습니다.

• 직무 수행에 필요한 최소 권한
• 보안 위험에주의하여 자동으로 소프트웨어 업데이트 수행
• 정책에 의해 시행되는 보안 표준 (IE. 웹 브라우저 설정)
• 비밀번호 만료 (90 일)
• 비밀번호 강도 적용 (영숫자, 대소 문자 혼합, 9 자 이상 등)
• 마지막 5 개의 비밀번호를 사용할 수 없습니다
• 휴대용 장치 (노트북) 스토리지 암호화
• 데이터 분류 정책
• 분류 정책에 정의 된 제한된 기밀 데이터 처리를 지시하는 정책.
• 데이터 처리 정책
• 데이터 액세스 정책
• 휴대용 장치 정책

인프라 그룹 내에서 적절한 개발 및 기술 유지 관리에 적용되는 무수한 추가 정책 및 절차가 있습니다. (변경 제어, 코드 검토, 시스템 표준 등)

모든 기초가 마련된 후에는 직원들에게 서면 보안 정책의 사본을 제공해야하며 해당 정책을 둘러싼 교육도 적합해야합니다. 여기에는 기술적으로 시행되거나 시행되지 않은 최종 사용자 모범 사례가 포함됩니다. 이들 중 일부는 다음과 같습니다.

• 비즈니스의 일부로 제한적이고 기밀 정보를 처리합니다.
  • 이메일을 보내거나 암호화되지 않은 상태로 전송하거나 올바르게 폐기하지 마십시오.
• 비밀번호 처리.
  • 키보드 아래에 메모를 남기고 공유하고 기타를 적어 두지 마십시오.
• 계정이나 인증 데이터를 공유하지 마십시오. (다시)
• 워크 스테이션을 잠금 해제하거나 회사 자산 (데이터)을 보안되지 않은 상태로 두지 마십시오 (노트북)
• 고려하지 않고 소프트웨어를 실행하지 마십시오
  • 전자 우편 첨부 파일과 같은.
• 사회 공학을 둘러싼 위험과 시나리오
• 비즈니스 또는 산업에 적용 가능한 현재 맬웨어 경향.
• 비즈니스 또는 산업과 관련된 정책 및 위험.
• 그들이 어떻게 모니터링되는지에 관한 일반 교육
• IT가 기술 및 관리적으로 보안 정책을 시행하는 방법.

PCI DSS의 예 보안 정책에 관한 많은 모범 사례를. 또한 시스템 및 네트워크 관리 실무 책 은 IT 보안에 관한 기본 모범 사례를 다룹니다.

내 팁 (내가 천천히 사람들을 가르치기 위해 관리하고 있음)은 # 1의 변형입니다.

이메일이 실제로 어디에서 왔는지 확인하고 가장 이상하지 않은 메시지를 확인하십시오.

Outlook의 경우 인터넷 헤더를 표시하는 방법과 Received-From 행의 의미를 아는 것입니다.

비 기술 직원의 경우, 다운로드 및 설치 소프트웨어는 (내가 말할 것없는 안 될) 옵션, 그들은 소프트웨어를 설치하려면 관리자 액세스 권한이 있어야합니다. 관리자 액세스 권한을 부여한 프로그래머라도 다운로드 및 설치하기 전에 IT 부서에 확인하도록 강력히 권장합니다.

암호는 항상 Bruce Schneier의 조언을 반복합니다. 암호는 좋은 일을하기에 충분히 강력해야하며, 기억하기 어려운 문제를 해결하기 위해 종이에 기록하여 지갑에 보관할 수 있습니다. 지갑을 잃어버린 경우 신용 카드를 취소하고 취소하는 방법을 알고 있어야합니다.

보유한 랩톱 수와 백업 방법에 따라 랩톱의 데이터를 안전하게 유지하는 방법에 대한 팁을 제공합니다. 랩탑의 데이터를 네트워크에 백업 / 복제 할 수있는 시스템이없는 경우, 시스템이있는 경우 랩탑 사용자에게 작동 방식을 알려 주어야합니다. 데이터로 가득 찬 분실 또는 도난당한 랩탑은 최소한 엉덩이에 통증이 있습니다.

약하고 강력한 암호가 무엇인지 정의하고 강력한 암호를 만들고 기억하는 좋은 방법을 제공하십시오.

두 번째 요점은 사용자가 컴퓨터에 소프트웨어를 설치할 수 있음을 나타냅니다. 나는 그것이 대부분의 경우 문제라고 말합니다. 그러나 소프트웨어를 설치할 수 있다면 다루기에 좋은 점입니다.

사회 공학의 예가 있는지 확인하십시오. 이것은 그들이 무엇을 찾아야하는지 아는 데 도움이되고 좀 더 편집증이되기 위해 조금 두려워합니다. 사무실 밖에서 보도에서 USB 썸 드라이브를 발견하면 어떻게해야할지 사람들에게 물어 보는 것을 좋아합니다. 대부분의 정직한 사람들은 그것을 집어 들고 컴퓨터에 꽂아 드라이브의 어떤 것이 소유자인지 식별합니다. 대부분의 부정직 한 사람들은 똑같은 일을 할 것입니다.하지만 그것을 사용하기 전에 지우기 전에 좋은 것이 있는지 알 수 있습니다. 자동 실행, 악성 PDF 등을 통해 원하는 회사 내에서 컴퓨터를 소유하고 키 스트로크 로거 등을 설치하는 것은 매우 쉬운 방법입니다.

이건 어떤가요

• OS 및 앱을 최신 상태로 유지하십시오. 여기에는 메이저 버전도 포함되는데, 메이저 버전이 성숙하기까지 몇 개월이 걸린 적이 있습니다. 완전히 패치 된 IE6을 실행하는 완전히 패치 된 XP SP3은 여전히 ​​IE8 (또는 Chrome)을 실행하는 Windows 7보다 훨씬 덜 안전합니다.
• 널리 사용되는 OS 및 앱은 사용하지 마십시오. 악용 될 가능성이 훨씬 높습니다. 주요 Microsoft (Windows, IE, Outlook, Office, WMP), Apple (iTunes, Quicktime) 및 Adobe (Flash, PDF 리더) 제품을 피할 수 있다면 적극적인 익스플로잇.
• 안티 바이러스 (맬웨어 방지 제품군)를 최신 상태로 유지하고 정기적으로 스캔하십시오.
• 개인 방화벽을 최신 상태로 유지하십시오.
• 보안 이메일 프로토콜을 사용하십시오 (예 : POP / IMAP / SMTP가 SSL로 보안되어 있는지 확인).
• Windows 파일 공유 (SMB) 또는 sshd를 사용하지 마십시오 (이것이 가장 많이 공격받는 포트입니다).
• 홈 Wi-Fi 네트워크에서 WPA2 암호화를 활성화하십시오.
• 신뢰할 수없는 웹 사이트를 방문하지 마십시오.

시작은 좋지만 다른 사람들이 언급했듯이 사용자가 소프트웨어를 설치할 수 있다면 단점이 있습니다. download.com을 사용하지 않는 것이 좋습니다. 대신, 사용자는 스스로를 찾으려고하지 않고 문제를 해결하는 프로그램을 IT에 요청해야합니다 (대부분 개발자가 아니거나 정통한 경우는 제외). 관리자 권한을 제거하면이 문제가 해결됩니다.

추가 :

1. 대부분의 사이트에 다른 암호를 사용하고 암호 안전 장치를 사용하여 암호를 추적하십시오 (KeePass, PWSafe 등). MediaDefender의 이메일이 어떻게 해킹 당 했는지 살펴 보고 침입을 막는 방법을 사용자에게 묻습니다. 다른 곳에서는 회사 도메인 비밀번호를 사용하지 말고 신뢰할 수없는 시스템을 통해 회사 메일 / 트래픽을 전달하지 마십시오.
2. 상당히 복잡한 비밀번호를 선택하십시오. 샘플 암호 해시에서 John the Ripper를 사용하여 라이브 크랙을 수행하십시오 (사람이 과잉 반응하는 경우 먼저 회사에서 쓰기 도구로 크래킹 도구를 사용할 수있는 권한을 얻으십시오). 'PRISCILLA1'이 (가) 2 초 이내에 균열되었음을 사용자에게 알리는 것은 눈을 er 수 없습니다. 여기에서는 Anixis의 비밀번호 정책 집행자 (Password Policy Enforcer)를 사용하여 불분명 한 비밀번호가 입력되지 않도록합니다.
3. IT에서 제공하지 않은 것을 꽂지 마십시오. Keylogger USB 스틱을 꽂거나 트로이 목마를 자동으로 실행하여 요점을 설명하십시오 (자동 실행을 비활성화해야하지만 다른 이야기입니다).
4. MitM 공격을 방지하기 위해 암호화 된 경우에도 모든 네트워크의 모든 트래픽을 추적하고 양쪽 끝에 기록한다고 가정합니다. WikiScanner 는 "익명"편집을 한 사람에게 IP 주소를 사용하는 좋은 예입니다.