Десять законов безопасности Microsoft
 
Десять законов безопасности Microsoft
04.07.2011 18:36:06
Разработка
529
Центр обеспечения компьютерной безопасности корпорации «Майкрософт» постоянно анализирует тысячи отчетов о нарушении безопасности. За многие годы работы сотрудники центра составили целый список проблем, который получил название «Десять непреложных законов безопасности»
Не стоит ждать, что в свет выйдет новое исправление, которое сможет защитить вас от проблем, которые описаны ниже. Многие проблемы обусловлены особенностями каждого компьютера, что не дает возможности корпорации «Майкрософт» или другому разработчику программного обеспечения решить эти проблемы. Разумеется, не следует терять надежду. Необходимо адекватно оценивать ситуацию и выполнять действия, которые принесут некоторое облегчение системе и сделают ее более защищенной.

Закон №1. Если вы допустили запуск на своем компьютере вредного приложения злоумышленника, то этот компьютер теперь не ваш.

Закон №2. Если злоумышленник успел внести изменения в операционную систему компьютера, то этот компьютер теперь не ваш.

Закон №3. Если злоумышленник имеет физический доступ к вашему компьютеру, то этот компьютер теперь не ваш.

Закон №4. Если злоумышленнику удалось загрузить приложение на ваш интернет-ресурс, то этот веб-узел теперь не ваш.

Закон №5. Ненадежность паролей сделает бесполезной любую систему безопасности, даже очень надежную.

Закон №6. Безопасность компьютера в прямой зависимости от надежности администратора.

Закон №7. Зашифрованные данные защищены настолько, насколько защищен ключ расшифровки.

Закон №8. Антивирусное приложение, которое давно не обновлялось, немногим лучше, чем его полное отсутствие

Закон №9. Ни в Интернете, ни в жизни абсолютная анонимность не достижима.

Закон №10. Технология – это не панацея.

Рассмотрим подробней все законы.

Закон №1. Если вы допустили запуск на своем компьютере вредного приложения злоумышленника, то этот компьютер теперь не ваш.

Любое приложение выполняет те функции, которые в нем заложены разработчиком, даже если они незаконные. Это печальный факт, и поэтому не стоит забывать, что запуская какое-либо приложение, вы доверяете ему управление своим компьютером. Например, приложение может фиксировать нажатие клавиш и отправлять полученные сведения в Интернет. Приложение может открывать ваши документы на компьютере и вносить произвольным образом изменения в содержимое, определять электронные адреса ваших друзей и отправлять им оскорбительные сообщения, форматировать жесткий диск. Кроме этого вредоносное приложение может установить
вирусную программу, с помощью которой вашим компьютером можно будет управлять удаленно, например, из Катманду.

Отсюда следует, что не стоит запускать приложения, которые получены из непроверенных источников. Причем «непроверенный источник» – это не тот человек, который поделился с вами какой-либо программой, а тот, кто ее написал. Можно сравнить программное обеспечение с бутербродом. Ведь вы не станете есть бутерброд, если вам его предложит случайный прохожий. А если бутербродом угостит друг, то тут можно и подумать, есть или не стоит. Вот так надо и с программным продуктом – используйте те же критерии. Таким образом вы сможете защитить свой компьютер от нежелательных последствий.

Закон №2. Если злоумышленник успел внести изменения в операционную систему компьютера, то этот компьютер теперь не ваш.

Говоря простым языком, операционная система – это набор нулей и единиц, которые процессор обрабатывает и выполняет определенные действия. Но стоит изменить порядок нулей и единиц, как компьютер начнет выполнять нечто другое. Хранится эта закодированная информация в обычных файлах. И если злоумышленник сможет их изменить, то все пропало!

Ведь это системные файлы, которые имеют повышенный уровень доступа. Замена системных файлов на другие приложения приведет к тому, что с вашего компьютера можно легко считать пароли, добавить новые функции в операционную систему. Необходимо защитить системные файлы и реестр, только так вы сможете предотвратить подобные атаки (см. на веб-узле Microsoft Security контрольные списки с требованиями по безопасности).

Закон №3. Если злоумышленник имеет физический доступ к вашему компьютеру, то этот компьютер теперь не ваш.

Существует большое разнообразие проблем, которые вы можете получить при физическом доступе злоумышленника к компьютеру. Самые простые – это кража или удар кувалдой, например. Чуть сложнее – это форматирование жесткого диска. И пароль на вход в BIOS здесь не спасет. Есть много способов обойти этот пароль. Или снять жесткий диск, подключить к другому ПК и перекачать все данные. Более изощренный способ – это заменить клавиатуру на специальную клавиатуру с радиопередатчиком. В результате ввод всех паролей будет фиксироваться. Позаботьтесь о физической защите компьютера. И помните, что его ценность не только в стоимости оборудования, но и в той информации, которая на нем хранится. Особо важные компьютеры, такие как серверы данных, контроллеры доменов, серверы печати стоит установить в закрываемом помещении, куда вход возможен только администраторам.

Если вы берете с собой в дорогу переносной компьютер, то не забудьте, что небольшой по размеру и весу компьютер удобен не только для вас. Злоумышленнику его тоже легче украсть. Для защиты переносных компьютеров существует ряд сигнализаций и замков, а некоторые модели таких компьютеров позволяют вынимать жесткий диск и хранить его отдельно. Но самый действенный метод – это носить компьютер с собой.

Закон №4. Если злоумышленнику удалось загрузить приложение на ваш интернет-ресурс, то этот
веб-узел теперь не ваш.

Этот закон в какой-то степени является зеркальным отображением первого закона. В первом случае вы сами запускает вредоносное приложение, а здесь ситуация такая: злоумышленник лично загружает программное обеспечение и выполняет его. Подобные случаи чаще всего встречаются, когда пользователь проявляет беспечность по отношению к своим интернет- ресурсам. Администраторам веб-узлов необходимо ограничить права всех, кто посещает веб-узел и разрешать запуск приложений, которые созданы проверенными разработчиками. Если злоумышленник сможет найти слабую сторону системы безопасности, то он получит контроль над всем сервером, следовательно, и над всеми веб-узлами. Поэтому, прежде чем давать доступ к
веб-серверу другим пользователям, убедитесь в том, что администратор сервера выполняет все рекомендации по безопасности, которые заложены в списке требований для IIS 4.0 и IIS 5.0.

Закон №5. Ненадежность паролей сделает бесполезной любую систему безопасности, даже очень
надежную.

Идентификация пользователя необходима для входа в систему. Операционная система, получив сведения о пароле и имени пользователя, разрешает доступ к определенным ресурсам. Если злоумышленник узнает пароль, то он также сможет получить доступ к информации. Система позволит ему выполнять все действия, которые предусмотрены для данного ресурса. Например, злоумышленник сможет познакомиться с вашей электронной почтой, просмотреть вашу переписку, отправить от вашего имени письмо. И вина за все его действия будет возложена на вас.

Чтобы избежать таких последствий, необходимо уметь защищать учетные записи. Используйте надежный пароль. Не стоит в качестве пароля вводить дату рождения или имя своей собаки. Используйте в пароле цифры в сочетании с буквами, строчными и заглавными. Не стоит записывать пароль в блокноте, который всегда лежит на столе. Или на наклейках, прикрепленных к экрану монитора. Как говорил знаменитый Бенджамин Франклин: «Два человека могут хранить тайну, если один из них мертв». Для особо секретных ресурсов современные системы безопасности предлагают использование смарт-карт, оборудование для проверки отпечатков пальцев или узора
сетчатки глаз и др.

Закон №6. Безопасность компьютера в прямой зависимости от надежности администратора.

В обязанности администратора входит установка программного обеспечения, выполнение настроек операционной системы, создание политики безопасности, добавление учетных записей пользователей и управление ими, а также выполнение других задач, которые поддерживают работоспособность компьютера. Администратор должен полностью управлять работой компьютера. Ненадежный администратор, имея полный доступ, может сделать бесполезными все меры безопасности, если он установит приложение-вирус или добавит фиктивных пользователей. В силу своей подготовленности такой администратор сможет убрать все следы своей деятельности и
принести значительный урон компании, в которой он работает.

При приеме на работу системного администратора не забудьте об ответственности этого специалиста, проверьте его рекомендации. Многие банки при приеме на работу сотрудника выполняют проверку его анкетных данных, проявляют повышенное внимание к мерам безопасности. Не спешите новому специалисту доверить все полномочия. Дождитесь полной проверки системного администратора, изучите его анкетные данные.

Не стоит провоцировать людей. Позаботьтесь, чтобы честный человек таким и оставался. Заведите книгу учета, в которой регистрируйте каждого входящего в серверную комнату. Пусть будет два человека, которые будут выполнять функции системного администратора. Разграничьте их полномочия. Сделайте две учетные записи с правами администратора. Это позволит контролировать действия каждого. И предпримите меры, чтобы злоумышленник не смог скрыть свои следы. Для этого храните данные проведенного аудита на одноразовом носителе. Чем полнее выполняется контроль деятельности администратора, тем больше вероятность успешности всей
компании.

Закон №7. Зашифрованные данные защищены настолько, насколько защищен ключ расшифровки.

Представьте себе ситуацию: на двери дома установлен надежный замок, а ключ от этой большой двери лежит под ковриком. Насколько важна при этом надежность замка? Если злоумышленник найдет ключ под ковриком, то дверь будет легко открыта. Вот так же и с шифрованием данных. При самом надежном алгоритме шифрования ключ должен быть защищен.

Некоторые операционные системы и приложения хранят ключи шифрования на этом же компьютере. Определенные преимущества при этом конечно просматриваются. Не приходится заботиться о месте для ключа, например. Но при этом снижается безопасность. Ведь как бы вы ни пытались спрятать ключ, его все равно можно найти. Старайтесь хранить ключ не на компьютере, например, на дискете или флэшке.

Закон №8. Антивирусное приложение, которое давно не обновлялось, немногим лучше, чем его
полное отсутствие.

Антивирусные программы могут обнаруживать только известные вирусы. И так как новые вирусы появляются каждый день, то и обновлять антивирусные программы необходимо как можно чаще. Наибольший ущерб от вирусной активности происходит на первом этапе заражения. Ведь в этот момент вирусы еще никак себя не проявляют, и поэтому происходит массовое заражение сразу многих компьютеров. Как только сведения о вирусе становятся более полными, и разработчики написали новые компоненты антивирусных программ, темпы распространения вируса снижаются.

Многие разработчики антивирусного программного обеспечения выкладывают на своих веб-узлах бесплатные версии файлов сигнатур. Кроме того, существуют специальные службы оповещения, которые сообщают пользователям о выходе обновлений. Пользуйтесь этими услугами служб. Следует знать, что обновлению подлежат не только сигнатуры, но и само антивирусное программное обеспечение. Появляются новые технологии, более изощренными становятся вирусы, и это требует постоянного изменения методов обезвреживания вирусов.

Закон №9. Ни в Интернете, ни в жизни абсолютная анонимность недостижима.

Общаясь друг с другом, люди передают многие сведения о себе. По этим сведениям, при необходимости можно составить достаточно полную картину о любом человеке. Даже при разговоре мы даем о себе много информации: о семье, о работе, о своих увлечениях, месте жительства. Т.е. любое общение или контакты – это распространение информации о себе. Точно так же происходит и общение в Интернете. Анонимности достигнуть сложно.

Но тем не менее существует немало способов, которые позволяют скрыть некоторые свои данные. Например, фактический IP-адрес компьютера можно скрыть, используя преобразование сетевых адресов. Попробуйте обращаться к веб-узлам из интернет-кафе, воспользуйтесь услугами службы обеспечения анонимности. Это затруднит вычисление вашего IP-адреса. Но при определенных усилиях определить IP-адрес все-таки можно. Например, службой обеспечения анонимности и веб-узлом управляет один и тот же человек. Вы обратились к веб-узлу, его владелец поделился сведениями о вас с другими веб-узлами. Кто-то сопоставил разные сведения и смог определить вашу личность.

Но это не означает, что соблюдать конфиденциальность в Интернете – это напрасная трата времени. Изучайте правила безопасности, которые предлагают веб-узлы. Вы вправе отказаться от посещения какого-либо веб-узла, если считаете, что ваши данные могут быть использованы не по правилам. Если считаете необходимым, отключите функцию использования файлов cookie. Не блуждайте беспорядочно по веб-узлам, там есть неблагополучные места, которые лучше не посещать. Иначе, для полной анонимности, придется искать пещеру.

Закон №10. Технология – это не панацея.

Поразительные вещи творит технология. За последние годы появилось еще более мощное компьютерное оборудование, еще более универсальные и удобные программы, которые дают пользователю огромные возможности. Но, тем не менее, новые технологии не избавят нас и окружающий мир от опасностей. Ведь разработка программного обеспечения – это сложная наука, и не все в ней совершенно. Есть ошибки, которые приводят к уязвимости в системе безопасности.

Во многом проблемы безопасности связаны с человеческим фактором. То есть, как бы ни развивались технологии, человек всегда найдет уязвимость в системе или допустит ошибку, которая приведет к уязвимости. Поэтому каждый сотрудник, в руках которого сосредоточена информационная безопасность компании, должен осознавать свою роль, чтобы не стать слабым звеном, из-за которого система защиты может стать бесполезной.

Для решения проблемы необходимо помнить простые правила. Во-первых, система безопасности – это не только технологические компоненты, но и политика, которая объединяет технологии и способы их применения. Во-вторых, процесс обеспечения безопасности является непрерывным, конечной цели не достичь. Это постоянная борьба со злоумышленниками. Сотрудники компании должны правильно оценивать все нюансы этой проблемы. Для этого существуют специальные
ресурсы, которые помогут в решении задачи безопасности. Сотни документов, контрольных списков, рекомендаций и программных средств содержит веб-узел Microsoft Security . Сотрудники корпорации Microsoft постоянно создают новые продукты. Использование современных технологи поможет защитить ваши системы. И не забудьте о рациональном подходе к проблеме.
Загрузка...