[ Pobierz całość w formacie PDF ]
.Wszelkie punkty dostępu do sieci firmowej ze zdalnych lokaliza-cji muszą być chronione skutecznymi mechanizmami uwierzytelniającymi,takimi jak dynamiczne hasła lub urządzenia biometryczne.Uwagi.Wiele firm opiera się na hasłach statycznych jako wystarczającymśrodku uwierzytelniającym dla użytkowników zdalnych.Praktyka ta nie jestbezpieczna: hakerzy obierają sobie za cel jeden ze zdalnych punktów dostępu,który może być słabym ogniwem sieci ofiary.Należy pamiętać, że nigdy niemamy pewności, czy ktoś inny nie zna naszego hasła.Dlatego też każdy punkt zdalnego dostępu musi być chroniony pewnymnarzędziem uwierzytelniającym, takim jak kody zależne od czasu, specjalnekarty lub urządzenia biometryczne.Dzięki temu przejęte przez intruza hasłanie będą miały dla niego wartości.Kiedy uwierzytelnianie oparte na hasłach dynamicznych jest rozwiąza-niem niepraktycznym, użytkownicy muszą ściśle przestrzegać instrukcjiwybierania trudnych do odgadnięcia haseł.7.6.Konfiguracja systemów operacyjnychInstrukcja.Administratorzy systemu powinni zapewnić, aby systemy opera-cyjne były w miarę możliwości skonfigurowane tak, aby pozostawać w zgo-dzie ze wszystkimi odnośnymi procedurami i instrukcjami bezpieczeństwa.Uwagi.Pisanie i dystrybucja instrukcji bezpieczeństwa jest fundamental-nym krokiem w kierunku redukcji ryzyka, ale w większości przypadków do-stosowanie się do nich zależy już od samych pracowników.Pewną część za-leceń można uczynić obowiązkową poprzez odpowiednie ustawienia syste-mu operacyjnego, jak np.minimalna długość hasła.Automatyzacja instruk-cji bezpieczeństwa przez konfigurację parametrów systemu operacyjnegow efektywny sposób ogranicza kompetencje człowieka, zwiększając ogólnebezpieczeństwo organizacji.7.7.Wygasanie kontInstrukcja.Wszelkie konta komputerowe muszą automatycznie wygasać poupływie roku.Uwagi.Celem tej instrukcji jest wyeliminowanie kont, które nie są już uży-wane, ponieważ stają się one częstym celem ataków hakerów.Proces ten za-pewnia, że jakiekolwiek konta należące do byłych pracowników lub współ-pracowników firmy, które przez niedopatrzenie pozostały w systemie, ule-gną automatycznej dezaktywacji.319 7.8.Wydziałowe adresy e-mailInstrukcja.Dział informatyki musi ustalić ogólny adres e-mail dla każdegowydziału w ramach organizacji, który zwykle wykorzystywany jest do ko-munikowania się ze światem zewnętrznym.Uwagi.Ogólny adres e-mail może być podawany przez recepcjonistkę przeztelefon lub umieszczany na witrynie internetowej firmy.Pracownicy powin-ni podawać swoje indywidualne adresy e-mail tylko wtedy, gdy jest to ko-nieczne.W ramach pierwszej fazy ataku socjotechnicznego napastnik często starasię uzyskać numery telefonów, nazwiska lub informacje o stanowisku pra-cowników.W większości przypadków informacje te są dostępne dla ogółuna stronie internetowej lub są udzielane przez telefon.Tworzenie ogólnychskrzynek poczty głosowej i elektronicznej utrudnia skojarzenie nazwisk pra-cowników z konkretnymi wydziałami i obowiązkami.7.9.Informacje kontaktowe podczas rejestracji domenInstrukcja.Podczas rejestracji domen internetowych informacje kontakto-we personelu administracyjnego czy technicznego nie powinny wskazywaćnazwisk konkretnych osób, a zamiast tego podawać listę adresów ogólnychskrzynek e-mail i numer telefonu do centrali firmy.Uwagi.Celem tej instrukcji jest zapobieżenie wykorzystaniu informacjikontaktowych przez hakera.Kiedy w informacjach kontaktowych wymie-nione są nazwiska osób i ich numery telefonów, intruz może próbować zma-nipulować którąś z tych osób, wyłudzając od niej informację lub nakłaniającją do wykonania czynności, która pomoże mu osiągnąć zamierzony cel.So-cjotechnik może też podawać się za osobę wymienioną z nazwiska, oszuku-jąc w ten sposób personel firmy.Zamiast adresu e-mail indywidualnego pracownika, informacje kontakto-we powinny zawierać adresy w formie np.administrator@firma.com.pl.Per-sonel działu telekomunikacji może ustanowić ogólną skrzynkę poczty głoso-wej na potrzeby kontaktów w sprawach techniczno-administracyjnych, abyograniczyć zakres ujawnianych informacji, które mogą przydać się socjo-technikowi.320 7.10.Instalacja aktualizacji systemów operacyjnych i zabezpieczeńInstrukcja.Wszelkie aktualizacje systemu operacyjnego i używanych apli-kacji powinny być instalowane, gdy tylko się pojawią.Jeżeli instrukcja ta ko-liduje z działaniem krytycznych systemów produkcyjnych, aktualizacje po-winny być dokonane, kiedy tylko pojawi się taka możliwość.Uwagi.Po wykryciu luki w systemie należy natychmiast skontaktować sięz jego producentem, by dowiedzieć się, czy została udostępniona nakładkałatająca tę lukę.Nie zaktualizowany system stanowi jedno z największychzagrożeń bezpieczeństwa w przedsiębiorstwie.Jeżeli administrator systemuzwleka z instalacją koniecznych aktualizacji, zostawia otwarte drzwi dla ha-kerów.Dziesiątki informacji o lukach w systemach są identyfikowane i publi-kowane każdego tygodnia w Internecie.Jeżeli personel informatyczny fir-my nie trzyma ręki na pulsie i nie pilnuje jak najsprawniejszej bieżącej ak-tualizacji systemu, niezależnie od jego rodzaju, bezpieczeństwo sieci firmo-wej zawsze będzie zagrożone.Bycie na bieżąco z publikowanymi informacja-mi o lukach w zabezpieczeniach systemów operacyjnych i wszelkich aplika-cji będących w codziennym użyciu firmy jest niezwykle istotne.7.11.Informacje kontaktowe na witrynach internetowychInstrukcja.Zewnętrzna witryna internetowa firmy nie powinna ujawniaćżadnych szczegółów dotyczących struktury firmy ani wymieniać nazwiskpracowników.Uwagi.Informacje o strukturze firmy, np.struktura organizacyjna, struk-tura podległości, listy pracowników, struktura raportowania, nazwiska, sta-nowiska, wewnętrzne numery kontaktowe, numery pracowników itp.niepowinny być udostępniane na zewnętrznej witrynie internetowej.Hakerzy często uzyskują wiele użytecznych informacji na stronach firm,które zamierzają zaatakować.Napastnik używa tych informacji, podając sięza obeznanego w sprawach firmy pracownika i starają się za ich pomocą zy-skać zaufanie rozmówcy [ Pobierz całość w formacie PDF ]
zanotowane.pl doc.pisz.pl pdf.pisz.pl milosnikstop.keep.pl
.Wszelkie punkty dostępu do sieci firmowej ze zdalnych lokaliza-cji muszą być chronione skutecznymi mechanizmami uwierzytelniającymi,takimi jak dynamiczne hasła lub urządzenia biometryczne.Uwagi.Wiele firm opiera się na hasłach statycznych jako wystarczającymśrodku uwierzytelniającym dla użytkowników zdalnych.Praktyka ta nie jestbezpieczna: hakerzy obierają sobie za cel jeden ze zdalnych punktów dostępu,który może być słabym ogniwem sieci ofiary.Należy pamiętać, że nigdy niemamy pewności, czy ktoś inny nie zna naszego hasła.Dlatego też każdy punkt zdalnego dostępu musi być chroniony pewnymnarzędziem uwierzytelniającym, takim jak kody zależne od czasu, specjalnekarty lub urządzenia biometryczne.Dzięki temu przejęte przez intruza hasłanie będą miały dla niego wartości.Kiedy uwierzytelnianie oparte na hasłach dynamicznych jest rozwiąza-niem niepraktycznym, użytkownicy muszą ściśle przestrzegać instrukcjiwybierania trudnych do odgadnięcia haseł.7.6.Konfiguracja systemów operacyjnychInstrukcja.Administratorzy systemu powinni zapewnić, aby systemy opera-cyjne były w miarę możliwości skonfigurowane tak, aby pozostawać w zgo-dzie ze wszystkimi odnośnymi procedurami i instrukcjami bezpieczeństwa.Uwagi.Pisanie i dystrybucja instrukcji bezpieczeństwa jest fundamental-nym krokiem w kierunku redukcji ryzyka, ale w większości przypadków do-stosowanie się do nich zależy już od samych pracowników.Pewną część za-leceń można uczynić obowiązkową poprzez odpowiednie ustawienia syste-mu operacyjnego, jak np.minimalna długość hasła.Automatyzacja instruk-cji bezpieczeństwa przez konfigurację parametrów systemu operacyjnegow efektywny sposób ogranicza kompetencje człowieka, zwiększając ogólnebezpieczeństwo organizacji.7.7.Wygasanie kontInstrukcja.Wszelkie konta komputerowe muszą automatycznie wygasać poupływie roku.Uwagi.Celem tej instrukcji jest wyeliminowanie kont, które nie są już uży-wane, ponieważ stają się one częstym celem ataków hakerów.Proces ten za-pewnia, że jakiekolwiek konta należące do byłych pracowników lub współ-pracowników firmy, które przez niedopatrzenie pozostały w systemie, ule-gną automatycznej dezaktywacji.319 7.8.Wydziałowe adresy e-mailInstrukcja.Dział informatyki musi ustalić ogólny adres e-mail dla każdegowydziału w ramach organizacji, który zwykle wykorzystywany jest do ko-munikowania się ze światem zewnętrznym.Uwagi.Ogólny adres e-mail może być podawany przez recepcjonistkę przeztelefon lub umieszczany na witrynie internetowej firmy.Pracownicy powin-ni podawać swoje indywidualne adresy e-mail tylko wtedy, gdy jest to ko-nieczne.W ramach pierwszej fazy ataku socjotechnicznego napastnik często starasię uzyskać numery telefonów, nazwiska lub informacje o stanowisku pra-cowników.W większości przypadków informacje te są dostępne dla ogółuna stronie internetowej lub są udzielane przez telefon.Tworzenie ogólnychskrzynek poczty głosowej i elektronicznej utrudnia skojarzenie nazwisk pra-cowników z konkretnymi wydziałami i obowiązkami.7.9.Informacje kontaktowe podczas rejestracji domenInstrukcja.Podczas rejestracji domen internetowych informacje kontakto-we personelu administracyjnego czy technicznego nie powinny wskazywaćnazwisk konkretnych osób, a zamiast tego podawać listę adresów ogólnychskrzynek e-mail i numer telefonu do centrali firmy.Uwagi.Celem tej instrukcji jest zapobieżenie wykorzystaniu informacjikontaktowych przez hakera.Kiedy w informacjach kontaktowych wymie-nione są nazwiska osób i ich numery telefonów, intruz może próbować zma-nipulować którąś z tych osób, wyłudzając od niej informację lub nakłaniającją do wykonania czynności, która pomoże mu osiągnąć zamierzony cel.So-cjotechnik może też podawać się za osobę wymienioną z nazwiska, oszuku-jąc w ten sposób personel firmy.Zamiast adresu e-mail indywidualnego pracownika, informacje kontakto-we powinny zawierać adresy w formie np.administrator@firma.com.pl.Per-sonel działu telekomunikacji może ustanowić ogólną skrzynkę poczty głoso-wej na potrzeby kontaktów w sprawach techniczno-administracyjnych, abyograniczyć zakres ujawnianych informacji, które mogą przydać się socjo-technikowi.320 7.10.Instalacja aktualizacji systemów operacyjnych i zabezpieczeńInstrukcja.Wszelkie aktualizacje systemu operacyjnego i używanych apli-kacji powinny być instalowane, gdy tylko się pojawią.Jeżeli instrukcja ta ko-liduje z działaniem krytycznych systemów produkcyjnych, aktualizacje po-winny być dokonane, kiedy tylko pojawi się taka możliwość.Uwagi.Po wykryciu luki w systemie należy natychmiast skontaktować sięz jego producentem, by dowiedzieć się, czy została udostępniona nakładkałatająca tę lukę.Nie zaktualizowany system stanowi jedno z największychzagrożeń bezpieczeństwa w przedsiębiorstwie.Jeżeli administrator systemuzwleka z instalacją koniecznych aktualizacji, zostawia otwarte drzwi dla ha-kerów.Dziesiątki informacji o lukach w systemach są identyfikowane i publi-kowane każdego tygodnia w Internecie.Jeżeli personel informatyczny fir-my nie trzyma ręki na pulsie i nie pilnuje jak najsprawniejszej bieżącej ak-tualizacji systemu, niezależnie od jego rodzaju, bezpieczeństwo sieci firmo-wej zawsze będzie zagrożone.Bycie na bieżąco z publikowanymi informacja-mi o lukach w zabezpieczeniach systemów operacyjnych i wszelkich aplika-cji będących w codziennym użyciu firmy jest niezwykle istotne.7.11.Informacje kontaktowe na witrynach internetowychInstrukcja.Zewnętrzna witryna internetowa firmy nie powinna ujawniaćżadnych szczegółów dotyczących struktury firmy ani wymieniać nazwiskpracowników.Uwagi.Informacje o strukturze firmy, np.struktura organizacyjna, struk-tura podległości, listy pracowników, struktura raportowania, nazwiska, sta-nowiska, wewnętrzne numery kontaktowe, numery pracowników itp.niepowinny być udostępniane na zewnętrznej witrynie internetowej.Hakerzy często uzyskują wiele użytecznych informacji na stronach firm,które zamierzają zaatakować.Napastnik używa tych informacji, podając sięza obeznanego w sprawach firmy pracownika i starają się za ich pomocą zy-skać zaufanie rozmówcy [ Pobierz całość w formacie PDF ]