Безопасность в Internet- Intranet
       

Решение проблемы


Для предотвращения подобных атак в будущем были предприняты следующие меры:

  • Был обновлен межсетевой экран, и в нем была установлена последняя версия программного обеспечения, позволяющего сканировать приложения к письмам на вирусы и известных троянских коней. Кроме того, любые приложения, имеющие размер больше определенного, удалялись, а вместо них в письмо включалось сообщение об этом.
  • Был разработан ряд политик безопасности и инструкций, которые были доведены до пользователей, чтобы они знали, как себя вести в случае повторения подобных ситуаций.
  • Стали регулярно проверяться журналы телефонных звонков на специфические виды звонков и разговоры сотрудников с уволенными сотрудниками, которых уволили не по их собственному желанию, вскоре после их увольнения.
  • При увольнении сотрудников с ними стали проводиться собеседования с целью определения списка машин, к которым они имели доступ, и уровня этого доступа, чтобы системные администраторы сразу же узнали об увольнении сотрудников и тут же удалили их аккаунты со всех этих машин.
  • Были обновлены программы на почтовом сервере компании. В новой версии добавлена возможность сканирования писем на определенные слова, чтобы своевременно выявить потенциально опасные письма до того, как они будут получены пользователями.
  • Во всех критических системах компании (в том числе и в бухгалтерской системе) стало проводиться регулярное аудирование их использования, и в них были добавлены программы, которые отслеживают все изменения в контролируемых ими базах данных.
  • Стало обращаться должное внимание на создание архивных копий данных пользователей, и было предложено пользователям хранить свои критические файлы на серверах, которые стали регулярно архивироваться системными администраторами.

    • Хотя все эти меры и не являются совершенными, тем не менее они обеспечивают уровень безопасности в три раза выше прежнего уровня, и являются достаточными для противодействия соответствующим угрозам.


    Следующие изменения были сделаны для повышения сетевой безопасности:
  • Было установлено программное обеспечение для повышения безопасности рабочей станции НОА, а также ряд других систем, содержащих критическую информацию. В состав его входит программа шифрования файлов, средства аудирования работы в сети, средства создания персональной виртуальной сети и персональный пакетный фильтр.
  • Коммутаторы и маршрутизаторы стали фильтровать трафик в сети для дополнения межсетевых экранов, чтобы быть уверенным, что только разрешенные системы могут получить доступ к наиболее важным системам в сети.
  • Стал проводиться периодический аудит безопасности наиболее важных систем отделом аудита.
  • Были удалены все ненужные программы из рабочей станции НОА, чтобы они не могли быть использованы для атак на систему.
  • Было минимизировано число пользователей, имеющих возможность удаленного доступа к наиболее важным системам.
  • Были внедрены и обновлены политики безопасности и инструкции пользователям в отношении вопросов безопасности персональных данных.
  • На межсетевом экране было установлено программное обеспечение, которое может блокировать доступ к определенным URL, чтобы минимизировать возможность доступа к порнографическим сайтам из корпоративной сети.
  • На все ключевые системы были установлены системы аутентификации на базе смарт-карт, чтобы быть уверенным, что только авторизованные пользователи могут иметь доступ к этим системам.
  • Резервные копии данных с ключевых систем и другие важные данные стали храниться в защищенном месте, чтобы исключить неавторизованный доступ людей к ним.
  • Были разработаны политики безопасности и инструкции сотрудникам, чтобы быть уверенным, что все сотрудники знают о том, какие действия можно совершать при просмотре персональной информации, а какие повлекут за собой наказания.
  • Стали проводиться периодические скрытые проверки службой безопасности лиц, занимающих наиболее важные посты в организации.
  • Все сотрудники теперь должны расписываться за то, что они знают корпоративные политики в отношении работы с критической информацией и будут соблюдать их, а также должны подтвердить, что знают, какие действия они должны предпринимать в случае обнаружения дыры в системе безопасности.
  • Стало проводиться периодическое тестирование системы безопасности, чтобы быть уверенным, что не произошло изменений в уровне защиты, и что нет новых уязвимых мест в системе НОА и установленных на ней программах, которые нужно заделать.



    • Следующие меры были приняты, чтобы избежать повторения подобных случаев в будущем:
  • Было внесено стратегическое изменение в руководящие документы организации в отношении того, кто может запросить установку и телефона и причин, которые считаются достаточными. Основную массу пользователей заставили использовать для удаленных соединений способы, которые рекомендовал отдел автоматизации. Существующие телефонные линии стали постепенно отключаться, и поэтому со временем все пользователи будут подключаться только так, как это разрешил отдел автоматизации.
  • Была усилена аутентификация на почтовых серверах, чтобы точно идентифицировать того, кто выполняет системное администрирование на них в то или иное время. Используя смарт-карты, можно точно установить, кто пришел в серверную и работает на том или ином сервере.
  • Постепенно устанавливаются дополнительные меры защиты на всех серверах в сети, чтобы можно было фиксировать соединения пользователей с серверами и протоколировать работу пользователей с серверами для проведения ее аудита в дальнейшем.
  • Был разработан принципиально новый проект удаленного доступа по телефонным линиям пользователей к сети, после чего он стал внедряться. Было решено использовать комбинацию технологий клиент-сервер на основе создания VPN и управления доступом таких удаленных пользователей с помощью межсетевых экранов, использующихся для работы с Интернетом. Таким образом будет обеспечено безопасное соединение с удаленными пользователями, фильтрация содержимого, аутентификация пользователей и централизованное протоколирование их сеансов - единая методология доступа, которая может использоваться во всей организации.
  • Резервные копии журналов АТС стали храниться более 90 дней. Кроме того, был полностью изменен порядок контроля за аналоговыми линиями с целью выявления попыток обойти рекомендованные отделом автоматизации методы удаленного доступа.
  • Были рекомендованы конкретные методы и программы для удаленного доступа пользователей, чтобы пользователи могли иметь те же самые возможности, что и раньше, но только через Интернет, только с помощью конкретных программ с возможностями аутентификации, только после обучения правилам безопасного удаленного доступа, и только при условии включения в этой программе функций протоколирования сеансов пользователя (для предоставления в дальнейшем возможности службе компьютерной безопасности провести аудит сеансов пользователя и проверить, не было ли попыток несанкционированного доступа к сети).

    • Со временем все эти работы значительно улучшили безопасность сети при удаленном доступе к ней.


    Следующие действия были предприняты для предотвращения повторения подобных проблем в будущем:
  • Был разработана автоматизированная процедура еженедельного аудирования всех систем и ежедневного аудирвоания всех сетевых компонент. О любых изменениях в сетевых компонентах теперь становится известно после следующего запуска программ аудирования ночью.
  • Для всех увольняющихся сотрудников организации (и особенно для технических специалистов) отделом кадров и отделом автоматизации был разработан новый, очень строгий порядок увольнения. Как только отдел кадров узнает о том, что нужно уволить кого-то из организации, его сотрудники предпринимают действия, гарантирующие, что увольняющиеся технические работники уведомлены о том, что доступ к компьютерам организации после увольнения является незаконен, и что их аккаунты будут корректно отключены после их увольнения.
  • Была произведена замена ряда сетевых компонент на аналогичные, но поддерживающие аутентификацию с использованием криптографии. Это позволило защититься от любых атак, связанных с паролями.
  • Был заново составлен контракт для всех новых работников, чтобы можно было законно наказать их в случае попыток несанкционированного доступа к системам организации.

    • Драйвера для всех протоколов должны иметь конфигурационные файлы, которые должны изменяться крайне редко. Лучший способ гарантировать, что конфигурационные файлы не были изменены неавторизованным образом - контроль за этими файлами и использование специальных программ для их модификации.

    Содержание раздела