3 Прикладные технические рекомендации по информационной безопасности

Шарапов Николай Николаевич

1. Содержание операционной системы и установленных программ в актуальном состоянии

Современное программное обеспечение настолько сложно, что может разрабатываться группой специалистов до нескольких сотен человек в течение многих месяцев или даже лет. Выявление и исправление ошибок в коде программы является не исключением, а обязательной составляющей цикла жизни программы. Конечно, в «Идеальном» мире, хорошо бы обнаруживать все ошибки кода на этапах внутреннего тестирования (альфа-тестирования) и тестирования сообществом пользователей (бета-тестирования), ещё до официального выхода программы. Было бы здорово, чтобы релизная (выпускаемая) версия продукта не содержала никаких ошибок, но в реальном мире такая задача практически не выполнима, и ошибки в работе комплексной программы находят даже годы спустя релиза. Поэтому разработчики занимаются поддержкой программы в течение заранее оговоренного срока. В случае нахождения очередной ошибки кода разработчики оперативно выпускают обновление для её устранения.

Порой, ошибки кода могут привести не только к остановке выполнения программы (зависанию), но и к появлению возможности перехвата управления над программой или целым устройством. Такую ошибку называют уязвимостью (эксплоит). На чёрном рынке злоумышленники готовы отдать десятки, а в некоторых случаях сотни тысяч долларов за возможность беспрепятственно проникнуть на устройства пользователей. Поэтому крайне важно содержать всё программное обеспечение в актуальном состоянии, т.е. устанавливать все выходящие обновления.

Пример: самый поразительный пример использования уязвимостей в коде – это сетевой червь stuxnet, предположительно разработанный спецслужбами США и Израиля. Используя уязвимости операционной системы Windows, вирус поражал промышленные контроллеры на производстве по обогащению урана. Немного меняя условия штатного режима работы оборудования, вирус медленно выводил его из строя, тем самым надолго задержал развитие Иранской атомной промышленности и нанёс ощутимый материальный ущерб.

В школе всё программное обеспечение должно систематически обновляться, независимо от наличия или отсутствия Интернета в конкретном кабинете. 

 

2. Использование антивируса

Антивирус – это программное обеспечение, целью которого является раннее выявление вредоносного кода (вируса) и устранение последствий его деятельности. Суть работы антивируса сводится к двум составляющим:

  • проактивная защита;
  • реактивная защита.

Проактивная защита выявляет угрозы ещё до их внедрения в систему. Она позволяет вообще не получать ущерб от вредоносного кода. Но у такой защиты есть серьёзный недостаток – ложные срабатывания. Многие полезные прикладные программы могут по своему действию напоминать вирусы, но ими не являться. Проактивная защита поместит такую программу в изолированную область памяти (карантин) или вообще удалит, тем самым нарушит работу полезной программы.

Реактивная защита позволяет обнаруживать вредоносный код уже на этапе, когда заражение произошло и вирус уже начал свою разрушительную деятельность. Такую угрозу обнаружить легче, но гораздо сложнее устранить полученный ущерб.

Обе защиты работают в комплексе и похожи по принципу действия на вакцину и антидот. Первая готовит организм к возможному заражению, а второй позволяет нейтрализовать (уменьшить) последствия заражения.

К сожалению, как и биологические вирусы склонны к постоянным мутациям, так и компьютерные вирусы постоянно совершенствуются, используя всё новые методы обхода защиты и внедрения в систему. Важно, при появлении нового, ранее никем не обнаруженного вредоносного кода, отправить его образец на изучение к разработчикам антивирусных программ. Там выясняют принцип действия и характерные признаки (сигнатуры), по которым можно будет легко обнаруживать подобный вирус в будущем. Такие сигнатуры поступают на устройства пользователей в виде обновлений антивируса, поддерживая защиту в актуальном состоянии.

Поэтому крайне важно, чтобы на устройстве была установлена профессиональная антивирусная программа, которая должна обновляться ежедневно, чтобы оперативно реагировать на появление новых видов вирусов.

Пример: вирус-шифровальщик WannaCry шифровал большинство файлов на устройстве пользователя и вымогал деньги за возможность их расшифровать. Ставка была сделана на то, что стоимость зашифрованных данных превысит стоимость выкупа.

В школе все компьютеры администрации, бухгалтерии, отдела кадров и локальный сервер должны иметь постоянно обновляемые профессиональные антивирусные пакеты. Остальные компьютеры, из-за высокой итоговой стоимости антивирусов, обеспечиваются защитой на сервере школы.

 

3. Использование интернет-фильтрации и аудит трафика

Часто угрозой для становления личности подростков является сама информация, это могут быть сведения экстремистского, террористического, преступного, порнографического содержания, активная пропаганда девиантного поведения или оправдание подобных действий. Через интернет сейчас проходит львиная доля наркотрафика. А также развлечения, которые предоставляет сеть Интернет, могут отвлекать от здорового развития, получения образования и выполнения служебных обязанностей. Таким образом, анализировать интернет-трафик и вовремя блокировать нежелательные ресурсы - обязанность системного администратора сети. Для этих целей применяются множество инструментов:

  • сетевой экран/брандмауэр/файрвол;
  • рупповые политики безопасности сервера;
  • альтернативный DNS-сервер для контент-фильтрации;
  • функция родительского контроля;
  • специализированный браузер с контент-фильтром;
  • маршрутизатор Wi-Fi с функциями брандмауэра;
  • сим-карта для детского смартфона с функцией родительского контроля.

Для школы важно (и с точки зрения законодательства тоже), чтобы весь контент, к которому может получить доступ ученик, проходил обязательную фильтрацию и, крайне важно, исключить возможность обхода этой фильтрации: - запретить использование VPN, анонимайзеров, Proxy-серверов и сети TOR, отключить доступ к мессенджерам, поддерживающим сквозное шифрование. Кроме того, администратор сети должен иметь инструменты для анализа подозрительного интернет-трафика на сервере школы. Должно осуществляться журналирование (аудит) всего входящего и исходящего трафика, а также последующее хранение журналов для возможного анализа.

 

4. Использование криптостойких паролей

Криптостойкий пароль – это кодовое слово, подбор которого является настолько вычислительно сложной задачей, что займет больше времени, чем будет актуальна защищаемая информация. Либо стоимость взлома ощутимо превысит стоимость защищаемой информации.

Для подбора пароля злоумышленником может быть использована программа для полного перебора (брутфорс). Она работает в двух режимах:

- перебор по словарю (радужные таблицы);

- полный перебор.

В первом случае в качестве пароля подставляется набор самых популярных в мире (России) паролей или набор личных данных атакуемого пользователя, взятых из открытых источников, например: 123456, 12345, Nikolay86 и т.д. Если пользователь использует подобный пароль, то время, затраченное на подбор пароля, будет исчисляться секундами. Но если на этом этапе пароль не будет подобран, то брутфорс переключится в режим непосредственного полного перебора, т.е. будет подставлять в качестве пароля все возможные комбинации букв, цифр и символов. Такой перебор, в зависимости от длины и сложности пароля, может длиться от нескольких часов до нескольких миллиардов лет.

Таким образом, рекомендуется использовать пароли большей длины, они должны содержать буквы в верхнем и нижнем регистре, цифры и другие специальные символы, например, 5tR3V012An$$Lu48. Важно, чтобы кодовое слово не содержало личной информации: Ф.И.О., дата рождения, номер школы и т.д.

 

5. Использование двухфакторной аутентификации

Аутентификация – это процесс подтверждения личности пользователя. Существует три метода аутентификации:

  • пользователь должен что-то знать, например, пароль или ответ на контрольный вопрос;
  • пользователь должен что-то иметь, например, идентификационную карту, электронный ключ, т.е. некий физический объект, который принадлежит только проверяемому пользователю;
  • пользователь должен кем-то быть, т.е. должен предоставить свои биометрические данные.

Двухфакторная аутентификации – это обязательное использование сразу двух методов аутентификации, что позволяет резко понизить шанс того, что к системе получит доступ незарегистрированный пользователь.

Пример: на многих смартфонах установлена возможность разблокировки не только при помощи графического ключа (пароля), но и при помощи камеры (faceID) или сканера отпечатка пальца. Кроме того, учётные записи многих социальных сетей требуют установить привязку к телефону, т.е. к физическому устройству, которое принадлежит проверяемому пользователю. Для входа на данный сервис требуется подтверждение от устройства.

Важно отметить, что применение многофакторной аутентификации сильно уменьшает вероятность предоставления доступа неавторизированному пользователю (т.е. тому, кто не имеет прав на доступ).

В школе все компьютеры администрации и официальные учётные записи школы должны быть настроены на двухфакторную аутентификацию без исключения.

 

6. Резервное копирование важной информации

Любой носитель информации подвершен старению, а также не застрахован от случайных сбоев или полного выхода из строя. Перепады напряжения питания или ошибка в работе пользователя могут привести к утере критически важной информации. Подобное редкое событие может нанести ощутимый материальный урон образовательной организации. Например, могут быть безвозвратно утеряны финансовые документы перед отчётным периодом, информация о прочитанных часах по предметам, больничных, отпусках и т.д. Чаще всего на компьютере секретаря организации находится огромный архив документов за десятки лет деятельности, а в случае сбоя одного такого компьютера может появиться существенный простой в работе администрации, не говоря уже о стрессе ответственных сотрудников. Решением данной проблемы является создание системы резервного копирования данных. Суть работы системы заключается в ежедневном автоматическом копировании и архивировании важных документов на удалённом сервере. Реализация возможна как с материальными расходами, так и без них. Например, можно выделить один компьютер с бесплатной операционной системой Linux и настроить резервное копирование данных из локальной сети организации на него. Другим вариантом является копирование важной информации в облачные хранилища, такие как Google Drive, iCloud, Dropbox или Яндекс Диск. У большинства подобных сервисов есть небольшой объем памяти, который можно использовать безвозмездно. Правда, остаётся вопрос безопасности передачи финансовой документации третьим лицам. Поэтому использование собственного выделенного сервера под систему резервного копирования имеет больше преимуществ.

 

7. Использование источников бесперебойного питания

Источник бесперебойного питания (UPS) – это устройство, сочетающее в себе стабилизатор напряжения и аккумуляторную батарею высокой ёмкости, которое защищает подключенные к ней устройства от перепадов напряжения питания. Позволяет продлить срок службы подключенного компьютера и защитить данные от порчи в случае скачков напряжения.

В школе все компьютеры администрации, а также дорогостоящее сетевое и демонстрационное оборудование должны быть подключены к электрической сети через источники бесперебойного питания.