Security

Усиление защиты критически важного с финансовой точки зрения компьютера с Windows

Одним из рисков для малого и среднего бизнеса является потеря банковских учетных данных злоумышленниками с помощью регистратора ключей или других вредоносных программ. Особую опасность представляют регистраторы ключей в реальном времени, о которых рассказывается в NY Times. Суть в том, что, имея информацию для входа в коммерческий банк, злоумышленники могут переводить деньги с ваших счетов, и, возможно, у вас не будет никаких средств правовой защиты. 

Я решил существенно повысить уровень безопасности машин, на которых используются эти банковские учетные данные. Мои стандартные рекомендации по безопасности: Windows 7 с исправлениями, которые автоматически применяются каждую ночь. Защита от вирусов включена (мы обычно используем ESET). Пользователи являются ограниченными пользователями; они не могут добавлять программное обеспечение. Ограничения на программное обеспечение предотвращают случайную или преднамеренную загрузку пользователем программного обеспечения и его запуск из каталога пользователя. Мы используем IE8 из-за простоты управления им в среде Active Directory, но я признаю это как потенциальную слабость. К сожалению, наиболее вероятным вектором эксплойта нулевого дня является flash или acrobat, оба из которых мы используем.

Безопасность это всегда компромисс между удобством и безопасностью, поэтому в ответах и предложениях должны быть указаны плюсы и минусы.

Ответ 1

Вы можете установить еще один ПК с Linux/BSD, который будет использоваться только для доступа к веб-сайту банка. Если вы действительно хотите стать параноиком, вы можете установить на нем отдельное выделенное подключение к интернету и не подключать к нему ничего другого в обычной сети. Это дает преимущества, схожие с двойной загрузкой, при этом ПК с Windows остается доступным для других задач. Недостатком является необходимость обслуживания дополнительного оборудования/программного обеспечения. Всегда есть вероятность, что какой-нибудь недобросовестный сотрудник может установить аппаратный USB-кейлоггер между клавиатурой и компьютером, независимо от того, как вы защищаете операционную систему и программное обеспечение.

Ответ 2

Как и в любом другом деле, лучше всего использовать подход, основанный на оценке риска, а степень, в которой вы будете его применять, будет зависеть от вашего бюджета, риска, времени и потенциального ущерба от нарушения. Я, конечно, не ожидаю, что вы сделаете все. Вот некоторые из векторов атак:

  1. Физические атаки

  2. Типичные атаки

  3. Кража

  4. Автономные атаки

  5. Аппаратные регистраторы ключей

  6. Злоумышленник пытается установить вредоносное ПО локально

Здесь вы должны сосредоточиться на контроле за физическим доступом:

  1. Автоблокировка экранов, хорошие пароли (которые не хранятся под клавиатурой) и шифрование дисков помогут в случае кражи системы.

  2. Отключение USB-портов в ОС или их закрытие, отключение автозапуска может помочь (но не полностью предотвратить кейлоггеры).

  3. Хорошая физическая безопасность системы (хорошие дверные замки, прочные компьютерные шкафы, компьютерные замки, периодические проверки).

  4. Экраны конфиденциальности и размещение систем вдали от окон помогают предотвратить «плечевой» серфинг.

Программные атаки

  1. Вредоносные программы для интернета.

  2. Социальная инженерия (фишинг).

  3. Как только вы подключаете систему к сети, у вас появляется целый мир развлечений, чтобы предотвратить потерю контроля.

  4. Сценарии VM или двойной загрузки могут помочь разделить критически важную и обычную информацию (одна система для критически важных банковских операций, другая для электронной почты).

  5. В любом случае вам понадобится неприватизированный доступ для пользователей.

  6. Хорошие пароли для всех пользователей.

  7. Эффективное управление уязвимостями (исправления, удаление ненужных служб и т. д.).

  8. Блокировка безопасности (Windows имеет свои руководства по безопасности и ускорители, есть различные руководства по блокировке *Nix BSD).

  9. Работающие и хорошо настроенные сетевые и локальные брандмауэры.

Сетевые атаки

В дополнение к укреплению машины вы также должны иметь надежную защиту транспорта:

  1. DNS-атаки/SSL MITM-атаки и т. д.

То, что можно сделать на этом уровне:

  1. Защита транспорта (IPSec на Windows, SSH на *Nix, SSL для web).

  2. Хорошо настроенная и контролируемая сетевая инфраструктура (отсутствие паролей по умолчанию и т. д.).

  3. Не передавайте конфиденциальные данные по беспроводной сети.

  4. Рассмотрите возможность разделения сети на привилегированные и непривилегированные системы.

Ответ 3

Проверьте механизмы аутентификации вашего банка! Мой добавляет псевдо-RSA-токен в виде «кодовой карты», и большинство операций, кроме просмотра баланса и перемещения денег между своими счетами, требуют от меня ввода случайно выбранного числа из 100, напечатанных на этой карте. Каждый код можно использовать только один раз, и когда все они заканчиваются, я получаю новую карту. Это удовлетворяет требованию двухфакторности «что-то, что вы знаете, и что-то, что у вас есть» без необходимости выдавать всем пользователям настоящий токен RSA, и это только для личного счета. Если ваш банк не предоставит вам достойный уровень безопасности сверх этого для бизнес-счета, откажитесь от него и найдите тот, который предоставит!

Ответ 4

Microsoft разработало оригинальные руководства по безопасности. Документы довольно длинные, и я бы рекомендовал проверить настройки на компьютере, который вы можете переформатировать, поскольку вполне возможно заблокировать все настолько, что единственным лекарством будет загрузка с CD/DVD и стирание диска.

http://csrc.nist.gov/itsec/guidance_WinXP.html

http://technet.microsoft.com/en-us/library/cc163140.aspx

 

Я согласен с вашей идеей, что flash/acrobat являются наиболее вероятными угрозами. Ограничение прав пользователя — это самый большой шаг в защите компьютера, который я могу придумать.

Отключите автозапуск для всех компьютеров в gpedit.msc. Некоторые банки, в которых я работал, отключают USB-порты. Сейчас существуют приложения, которые могут контролировать их и разрешать только разрешенные подключения. Более старые банки использовали термоклей, чтобы запечатать порты и предотвратить подключение устройств (один банк использовал замки на флоппи-дисководах и увольнял на месте любого, у кого выпадал {дешевый} замок). Есть ряд статей, в которых исследователи бросают флешки на парковках возле офисов и смотрят, сколько из них подключается к компьютерам в офисе установка заканчивалась просто отправкой IP-адреса домой; более серьезные установщики использовали значок, который можно увидеть для «открыть с помощью проводника», обманывая пользователя, чтобы он не обратил внимания и нажал на программу установки.

Ответ 5

Используйте шифрование диска. Что бы вы ни делали в ОС, пока вы можете загрузить CD и получить доступ к файловой системе вне Windows, вы не в безопасности. В WinVista/Win7 есть встроенная возможность шифрования, но существует множество сторонних решений, поддерживающих WinXP.

Рассмотрите политики типа NAP, при которых компьютер не получит доступ в интернет до того, как он будет исправлен в соответствии со стандартами компании (если вам нужен доступ в интернет, конечно же). Рассмотрите возможность виртуализации рабочего стола (решения для этого есть как у MS, так и у VMWare), чтобы изолировать банковские приложения в отдельную, жестко управляемую среду.

Схожие статьи

Security

Легко ли подделать IP-адреса?

Сквозное шифрование данных на компьютере для защиты своих данных
Security

Сквозное шифрование данных на компьютере для защиты своих данных

Security

Может ли виртуальная машина (ВМ) «взломать» другую ВМ, работающую на той же физической машине?

Security

Должны ли веб-серверы Windows иметь аппаратный брандмауэр?

×