Одним из рисков для малого и среднего бизнеса является потеря банковских учетных данных злоумышленниками с помощью регистратора ключей или других вредоносных программ. Особую опасность представляют регистраторы ключей в реальном времени, о которых рассказывается в NY Times. Суть в том, что, имея информацию для входа в коммерческий банк, злоумышленники могут переводить деньги с ваших счетов, и, возможно, у вас не будет никаких средств правовой защиты.
Я решил существенно повысить уровень безопасности машин, на которых используются эти банковские учетные данные. Мои стандартные рекомендации по безопасности: Windows 7 с исправлениями, которые автоматически применяются каждую ночь. Защита от вирусов включена (мы обычно используем ESET). Пользователи являются ограниченными пользователями; они не могут добавлять программное обеспечение. Ограничения на программное обеспечение предотвращают случайную или преднамеренную загрузку пользователем программного обеспечения и его запуск из каталога пользователя. Мы используем IE8 из-за простоты управления им в среде Active Directory, но я признаю это как потенциальную слабость. К сожалению, наиболее вероятным вектором эксплойта нулевого дня является flash или acrobat, оба из которых мы используем.
Безопасность — это всегда компромисс между удобством и безопасностью, поэтому в ответах и предложениях должны быть указаны плюсы и минусы.
Ответ 1
Вы можете установить еще один ПК с Linux/BSD, который будет использоваться только для доступа к веб-сайту банка. Если вы действительно хотите стать параноиком, вы можете установить на нем отдельное выделенное подключение к интернету и не подключать к нему ничего другого в обычной сети. Это дает преимущества, схожие с двойной загрузкой, при этом ПК с Windows остается доступным для других задач. Недостатком является необходимость обслуживания дополнительного оборудования/программного обеспечения. Всегда есть вероятность, что какой-нибудь недобросовестный сотрудник может установить аппаратный USB-кейлоггер между клавиатурой и компьютером, независимо от того, как вы защищаете операционную систему и программное обеспечение.
Ответ 2
Как и в любом другом деле, лучше всего использовать подход, основанный на оценке риска, а степень, в которой вы будете его применять, будет зависеть от вашего бюджета, риска, времени и потенциального ущерба от нарушения. Я, конечно, не ожидаю, что вы сделаете все. Вот некоторые из векторов атак:
Физические атаки
Типичные атаки
Кража
Автономные атаки
Аппаратные регистраторы ключей
Злоумышленник пытается установить вредоносное ПО локально
Здесь вы должны сосредоточиться на контроле за физическим доступом:
Автоблокировка экранов, хорошие пароли (которые не хранятся под клавиатурой) и шифрование дисков помогут в случае кражи системы.
Отключение USB-портов в ОС или их закрытие, отключение автозапуска может помочь (но не полностью предотвратить кейлоггеры).
Хорошая физическая безопасность системы (хорошие дверные замки, прочные компьютерные шкафы, компьютерные замки, периодические проверки).
Экраны конфиденциальности и размещение систем вдали от окон помогают предотвратить «плечевой» серфинг.
Программные атаки
Вредоносные программы для интернета.
Социальная инженерия (фишинг).
Как только вы подключаете систему к сети, у вас появляется целый мир развлечений, чтобы предотвратить потерю контроля.
Сценарии VM или двойной загрузки могут помочь разделить критически важную и обычную информацию (одна система для критически важных банковских операций, другая — для электронной почты).
В любом случае вам понадобится неприватизированный доступ для пользователей.
Хорошие пароли для всех пользователей.
Эффективное управление уязвимостями (исправления, удаление ненужных служб и т. д.).
Блокировка безопасности (Windows имеет свои руководства по безопасности и ускорители, есть различные руководства по блокировке *Nix BSD).
Работающие и хорошо настроенные сетевые и локальные брандмауэры.
Сетевые атаки
В дополнение к укреплению машины вы также должны иметь надежную защиту транспорта:
DNS-атаки/SSL MITM-атаки и т. д.
То, что можно сделать на этом уровне:
Защита транспорта (IPSec на Windows, SSH на *Nix, SSL для web).
Хорошо настроенная и контролируемая сетевая инфраструктура (отсутствие паролей по умолчанию и т. д.).
Не передавайте конфиденциальные данные по беспроводной сети.
Рассмотрите возможность разделения сети на привилегированные и непривилегированные системы.
Ответ 3
Проверьте механизмы аутентификации вашего банка! Мой добавляет псевдо-RSA-токен в виде «кодовой карты», и большинство операций, кроме просмотра баланса и перемещения денег между своими счетами, требуют от меня ввода случайно выбранного числа из 100, напечатанных на этой карте. Каждый код можно использовать только один раз, и когда все они заканчиваются, я получаю новую карту. Это удовлетворяет требованию двухфакторности «что-то, что вы знаете, и что-то, что у вас есть» без необходимости выдавать всем пользователям настоящий токен RSA, и это только для личного счета. Если ваш банк не предоставит вам достойный уровень безопасности сверх этого для бизнес-счета, откажитесь от него и найдите тот, который предоставит!
Ответ 4
Microsoft разработало оригинальные руководства по безопасности. Документы довольно длинные, и я бы рекомендовал проверить настройки на компьютере, который вы можете переформатировать, поскольку вполне возможно заблокировать все настолько, что единственным лекарством будет загрузка с CD/DVD и стирание диска.
http://csrc.nist.gov/itsec/guidance_WinXP.html
http://technet.microsoft.com/en-us/library/cc163140.aspx
Я согласен с вашей идеей, что flash/acrobat являются наиболее вероятными угрозами. Ограничение прав пользователя — это самый большой шаг в защите компьютера, который я могу придумать.
Отключите автозапуск для всех компьютеров в gpedit.msc. Некоторые банки, в которых я работал, отключают USB-порты. Сейчас существуют приложения, которые могут контролировать их и разрешать только разрешенные подключения. Более старые банки использовали термоклей, чтобы запечатать порты и предотвратить подключение устройств (один банк использовал замки на флоппи-дисководах и увольнял на месте любого, у кого выпадал {дешевый} замок). Есть ряд статей, в которых исследователи бросают флешки на парковках возле офисов и смотрят, сколько из них подключается к компьютерам в офисе — установка заканчивалась просто отправкой IP-адреса домой; более серьезные установщики использовали значок, который можно увидеть для «открыть с помощью проводника», обманывая пользователя, чтобы он не обратил внимания и нажал на программу установки.
Ответ 5
Используйте шифрование диска. Что бы вы ни делали в ОС, пока вы можете загрузить CD и получить доступ к файловой системе вне Windows, вы не в безопасности. В WinVista/Win7 есть встроенная возможность шифрования, но существует множество сторонних решений, поддерживающих WinXP.
Рассмотрите политики типа NAP, при которых компьютер не получит доступ в интернет до того, как он будет исправлен в соответствии со стандартами компании (если вам нужен доступ в интернет, конечно же). Рассмотрите возможность виртуализации рабочего стола (решения для этого есть как у MS, так и у VMWare), чтобы изолировать банковские приложения в отдельную, жестко управляемую среду.
Security