Security

Усиление защиты критически важного с финансовой точки зрения компьютера с Windows

Одним из рисков для малого и среднего бизнеса является потеря банковских учетных данных злоумышленниками с помощью регистратора ключей или других вредоносных программ. Особую опасность представляют регистраторы ключей в реальном времени, о которых рассказывается в NY Times. Суть в том, что, имея информацию для входа в коммерческий банк, злоумышленники могут переводить деньги с ваших счетов, и, возможно, у вас не будет никаких средств правовой защиты. 

Я решил существенно повысить уровень безопасности машин, на которых используются эти банковские учетные данные. Мои стандартные рекомендации по безопасности: Windows 7 с исправлениями, которые автоматически применяются каждую ночь. Защита от вирусов включена (мы обычно используем ESET). Пользователи являются ограниченными пользователями; они не могут добавлять программное обеспечение. Ограничения на программное обеспечение предотвращают случайную или преднамеренную загрузку пользователем программного обеспечения и его запуск из каталога пользователя. Мы используем IE8 из-за простоты управления им в среде Active Directory, но я признаю это как потенциальную слабость. К сожалению, наиболее вероятным вектором эксплойта нулевого дня является flash или acrobat, оба из которых мы используем.

Безопасность это всегда компромисс между удобством и безопасностью, поэтому в ответах и предложениях должны быть указаны плюсы и минусы.

Ответ 1

Вы можете установить еще один ПК с Linux/BSD, который будет использоваться только для доступа к веб-сайту банка. Если вы действительно хотите стать параноиком, вы можете установить на нем отдельное выделенное подключение к интернету и не подключать к нему ничего другого в обычной сети. Это дает преимущества, схожие с двойной загрузкой, при этом ПК с Windows остается доступным для других задач. Недостатком является необходимость обслуживания дополнительного оборудования/программного обеспечения. Всегда есть вероятность, что какой-нибудь недобросовестный сотрудник может установить аппаратный USB-кейлоггер между клавиатурой и компьютером, независимо от того, как вы защищаете операционную систему и программное обеспечение.

Ответ 2

Как и в любом другом деле, лучше всего использовать подход, основанный на оценке риска, а степень, в которой вы будете его применять, будет зависеть от вашего бюджета, риска, времени и потенциального ущерба от нарушения. Я, конечно, не ожидаю, что вы сделаете все. Вот некоторые из векторов атак:

  1. Физические атаки

  2. Типичные атаки

  3. Кража

  4. Автономные атаки

  5. Аппаратные регистраторы ключей

  6. Злоумышленник пытается установить вредоносное ПО локально

Здесь вы должны сосредоточиться на контроле за физическим доступом:

  1. Автоблокировка экранов, хорошие пароли (которые не хранятся под клавиатурой) и шифрование дисков помогут в случае кражи системы.

  2. Отключение USB-портов в ОС или их закрытие, отключение автозапуска может помочь (но не полностью предотвратить кейлоггеры).

  3. Хорошая физическая безопасность системы (хорошие дверные замки, прочные компьютерные шкафы, компьютерные замки, периодические проверки).

  4. Экраны конфиденциальности и размещение систем вдали от окон помогают предотвратить «плечевой» серфинг.

Программные атаки

  1. Вредоносные программы для интернета.

  2. Социальная инженерия (фишинг).

  3. Как только вы подключаете систему к сети, у вас появляется целый мир развлечений, чтобы предотвратить потерю контроля.

  4. Сценарии VM или двойной загрузки могут помочь разделить критически важную и обычную информацию (одна система для критически важных банковских операций, другая для электронной почты).

  5. В любом случае вам понадобится неприватизированный доступ для пользователей.

  6. Хорошие пароли для всех пользователей.

  7. Эффективное управление уязвимостями (исправления, удаление ненужных служб и т. д.).

  8. Блокировка безопасности (Windows имеет свои руководства по безопасности и ускорители, есть различные руководства по блокировке *Nix BSD).

  9. Работающие и хорошо настроенные сетевые и локальные брандмауэры.

Сетевые атаки

В дополнение к укреплению машины вы также должны иметь надежную защиту транспорта:

  1. DNS-атаки/SSL MITM-атаки и т. д.

То, что можно сделать на этом уровне:

  1. Защита транспорта (IPSec на Windows, SSH на *Nix, SSL для web).

  2. Хорошо настроенная и контролируемая сетевая инфраструктура (отсутствие паролей по умолчанию и т. д.).

  3. Не передавайте конфиденциальные данные по беспроводной сети.

  4. Рассмотрите возможность разделения сети на привилегированные и непривилегированные системы.

Ответ 3

Проверьте механизмы аутентификации вашего банка! Мой добавляет псевдо-RSA-токен в виде «кодовой карты», и большинство операций, кроме просмотра баланса и перемещения денег между своими счетами, требуют от меня ввода случайно выбранного числа из 100, напечатанных на этой карте. Каждый код можно использовать только один раз, и когда все они заканчиваются, я получаю новую карту. Это удовлетворяет требованию двухфакторности «что-то, что вы знаете, и что-то, что у вас есть» без необходимости выдавать всем пользователям настоящий токен RSA, и это только для личного счета. Если ваш банк не предоставит вам достойный уровень безопасности сверх этого для бизнес-счета, откажитесь от него и найдите тот, который предоставит!

Ответ 4

Microsoft разработало оригинальные руководства по безопасности. Документы довольно длинные, и я бы рекомендовал проверить настройки на компьютере, который вы можете переформатировать, поскольку вполне возможно заблокировать все настолько, что единственным лекарством будет загрузка с CD/DVD и стирание диска.

http://csrc.nist.gov/itsec/guidance_WinXP.html

http://technet.microsoft.com/en-us/library/cc163140.aspx

 

Я согласен с вашей идеей, что flash/acrobat являются наиболее вероятными угрозами. Ограничение прав пользователя — это самый большой шаг в защите компьютера, который я могу придумать.

Отключите автозапуск для всех компьютеров в gpedit.msc. Некоторые банки, в которых я работал, отключают USB-порты. Сейчас существуют приложения, которые могут контролировать их и разрешать только разрешенные подключения. Более старые банки использовали термоклей, чтобы запечатать порты и предотвратить подключение устройств (один банк использовал замки на флоппи-дисководах и увольнял на месте любого, у кого выпадал {дешевый} замок). Есть ряд статей, в которых исследователи бросают флешки на парковках возле офисов и смотрят, сколько из них подключается к компьютерам в офисе установка заканчивалась просто отправкой IP-адреса домой; более серьезные установщики использовали значок, который можно увидеть для «открыть с помощью проводника», обманывая пользователя, чтобы он не обратил внимания и нажал на программу установки.

Ответ 5

Используйте шифрование диска. Что бы вы ни делали в ОС, пока вы можете загрузить CD и получить доступ к файловой системе вне Windows, вы не в безопасности. В WinVista/Win7 есть встроенная возможность шифрования, но существует множество сторонних решений, поддерживающих WinXP.

Рассмотрите политики типа NAP, при которых компьютер не получит доступ в интернет до того, как он будет исправлен в соответствии со стандартами компании (если вам нужен доступ в интернет, конечно же). Рассмотрите возможность виртуализации рабочего стола (решения для этого есть как у MS, так и у VMWare), чтобы изолировать банковские приложения в отдельную, жестко управляемую среду.

Схожие статьи

Security

Как я могу использовать rsync с файловой системой FAT?

Обфускация и деобфускация кода: всё про этот метод защиты ПО
Security

Обфускация и деобфускация кода: всё про этот метод защиты ПО

Как защитить сервер от взлома без сторонней помощи и затрат?
Security

Как защитить сервер от взлома без сторонней помощи и затрат?

Security

Что требуется разработчикам для запуска собственного сервера виртуальных машин в корпоративной среде