На фоне резкого роста числа удаленных сотрудников расширился корпоративный периметр и обострились вопросы защиты личных ПК. Тем более что, ввиду появления на них корпоративной информации, фокус интересов злоумышленников сместился в сторону атаки персональных ПК специалистов на home office.
ОС Windows и ПО Microsoft традиционно остаются наиболее атакуемыми. В связи с этим эксперты группы компаний Angara дают советы по личной защите и безопасной работе с данным ПО.
Атаки упрощенно можно разделить на два типа: случайного распространения и целевые. От качественной целевой атаки защититься очень сложно. Она выполняется целенаправленно и как правило продвинутым злоумышленником. Он изучает систему и последовательно применяет разные инструменты, эксплоиты, неизвестное вредоносное ПО. Пользователь может усложнить и тем самым удорожить атаку, используя средства защиты. Они же обезопасят и от случайных атак, жертвами которых в интернете становятся любые плохо защищенные системы. Например, так чаще всего делает вымогательское ПО.
Помимо цифровой гигиены, базовые рекомендации следующие:
1. Обязательно устанавливайте обновления. Это один из самых действенных механизмов защиты системы.2. Используйте антивирусное ПО – в большинстве атак применяется известное вредоносное ПО, которое успешно блокируется антивирусом. Однако такой метод не эффективен в отношении целенаправленных атак с использованием неизвестного ранее вредоносного ПО.
3. Не используйте Internet Explorer без необходимости – очень большая часть уязвимостей Windows связана с ним. Браузеры на движках Chromium Blink (Chrome, Opera, Edge) или Mozilla Gecko (Firefox) значительно безопаснее. В разрезе ИБ активнее развивается Edge на базе Chromium – если оставаться на продуктах Microsoft, то лучше использовать его. Также для защиты интернет-серфинга используйте такие плагины, как NoScript, AddBlock, а также функцию privacy.resistFingerprinting.
4. Не используйте Flash, макросы в офисных документах из неизвестных источников – это очень распространенные каналы инсталляции вирусов в систему.
5. Когда вы устанавливаете ПО из поиска в поисковой системе (Yandex, Google), то в первые рекламные ссылки может попасть недобросовестное ПО (даже зараженное). Поэтому надо быть внимательнее при переходе по ссылкам. Рекомендуем проверить на сайте загрузки, что все ссылки, включая новостные и «Меню», работают и ведут на тот же домен, а также что цифровая подпись выпущена на нужный домен и подписана доверенным УЦ (проверка – Пути сертификации, например, Microsoft подписан DigiCert).
6. Перед установкой ПО инсталляционный файл можно проверить на наличие вирусов на сайте virustotal.com.
Для тех, кто подключает ПК непосредственно к провайдеру, все немного сложнее, поскольку в этом случае система видна в открытой сети, а значит опасности для нее больше. Потребуется усилить внимание для снижения рисков успешной атаки:
7. Отключите удаленное управление компьютером по RDP (если вы сами не используете).8. При возможности запретите обмен по протоколам SMB, NetBios, Netlogon – большая часть вирусов использует эти протоколы и уязвимости в этих службах.
9. При возможности остановите службы Обозреватель компьютеров, Модуль поддержки NetBIOS через TCP/IP, TCP/IP NetBIOS Helper.
10. Отключите NetBIOS over TCP/IP в свойствах WINS Сетевого соединения (если провайдер, какое-либо ПО или принтер не требуют его включения).
11. Включите межсетевой экран минимум на рекомендуемую политику (используйте профиль Public сети).
Если вы подозреваете интерес к себе со стороны опасного злоумышленника или готовы выстроить безукоризненную ИБ своего устройства, то:
12. Необходимо решить вопрос с Fingerprinting – определением версии ПО и системы по неправильно сформированным сетевым пакетам. Отключите сообщения об ошибках в ПО, блокируйте внешние соединения по сетевым протоколам с функцией Drop (отбрасывание пакета без ответного сообщения) и т.д.13. Настройте системный межсетевой экран в режиме black list.
14. Используйте по возможности два и более различных антивирусных решения, а также сервисы фильтрации e-mail сообщений.
Все рекомендации необходимо рассматривать с точки зрения возможности применения и сопоставления необходимости или принятия рисков. У Microsoft можно найти массу материалов о настройке указанных функций и рекомендаций по организации ИБ при работе с их продуктами.
