エグゼクティブのラップトップを保護するための現在のベストプラクティスは何ですか?
幹部は、機密性の高いドキュメント(高額の入札、M&A情報、技術仕様)を処理します。そのため、それらは標的型攻撃またはAPTの潜在的な犠牲者です。彼らは主にウェブ、電子メール、およびオフィスを使用します。そして、彼らはオフラインで作業できる必要があります。
最低限のベストプラクティスは次のとおりです。
ただし、これらの予防措置は、ラップトップがAPTに抵抗することを保証するものではありません。より安全な環境を作成するためのさまざまなアイデアを見てきました(例: Qubes )。ただし、これらはかなり実験的であり、幹部ではなく技術者を対象としているようです。では、高感度のラップトップを保護するために、今日どのような実用的な手順を実行できますか?
あなたができる最大のことはユーザートレーニングです。標的となる侵害の大部分は、愚かなユーザーの結果です。 PHB(先のとがった髪の野郎)が仲間の電子メールアドレスからカスタムマルウェアが蔓延しているポルノサイトになりすましているリンクをたどり、表示されるすべてのダイアログで[OK]をクリックすると、システムをどれだけ安全にすることができますか。
セキュリティとコンピュータの適切な使用法を認識できず、経営幹部の賛同を得られない場合は、追加の努力をしても少しの違いはありません。システムを安全に保つために彼らの賛同と投資を得ることができれば、あなたが説明したことのほとんどは問題ありません。
もう1つの方法は、常時インターネット接続を提供し、会社のネットワーク内でホストされている仮想マシンのダム端末のように使用することです。それはもう少し高価で少し厄介ですが、ラップトップ自体には何もないので、紛失した場合にラップトップがハッキングされる可能性があるかどうかを心配する必要がないため、さらに安全です盗む価値があります。
技術者にQubesでWindowsをセットアップしてもらい、信頼できるアクティビティと信頼できない/個人的なアクティビティを分離するように幹部に教えます(右クリック-Disposable VMで同僚の楽しい」リンクを開くか、開く前に個人のメールアドレスに再送信します)。 Qubesのセットアップは非常に技術的かもしれません。それを使用するのは、主に安全なコピー貼り付けと、どのファイルを開く/アクセスできるようにするか、余分な手間を最小限に抑えることです。彼は、覚えやすいパスフレーズ(パスワードではない)を取得できます。パスワードマネージャーを備えたボールト。各ドメインは、Firefox/Chromeなどにパスワードを保存することもできます。Javaまたは使い捨てVMで何でも使用できます。もちろん実用的かどうかは、ただし、データの価値が十分にある場合は、これを実装してユーザーに教える方が、そうしないことで機密データを失うリスクが高くなるよりも実用的です。
「ベストプラクティス」のほとんどは特定のネットワークやビジネス向けに作成されたものであり、自分のものではないため、私は常に「ベストプラクティス」に関する問題を抱えていました。すべてのビジネスは異なり、歴史的に、ベストプラクティスは妥協を遅らせるために何もしていません。私はベストプラクティスに反対していません。人々は聖杯としてそれらに頼るべきではないと思います。
あなたはトップティアのベストプラクティスに名前を付けたので、ベストプラクティスに関して人々が見逃しがちなことを指摘します。
ファイアウォール:そうです。これで、双方向ルールやすべてのログ記録などを実装する人の数が増えました。中国がドアに入るのを「ブロック」するのは1つのことですが、「状態」ルールをスローしても、マシンが中国へのOUTBOUND接続を開始するのを妨げるものは何もありません。ファイアウォールに関するルールとポリシーは、フェンスの両側に配置する必要があります。
これについて少し考えてみてください。あなたは出張に行く幹部のためのラップトップを持っています。その旅行中の彼の目標は何ですか。おそらく、プレゼンテーションを行うために、彼がプレゼンテーションを行うために企業との間で接続する必要があるかもしれない場所、またはピッチ? 1つのルール、toおよびfromは、他のすべてをブロックします。極端に到達する必要があるわけではありませんが、ファイアウォールは頻繁に誤って構成されているため、役に立たないのです。
アンチウイルス:高度な脅威に対する多くのシグネチャが作成されていないため、ターゲット攻撃にはほとんど効果がありません。より効果的なツールは、幹部が出張しているときの何らかの形の通知です。例:「あなたのマシンは(彼が理解できるWHOISルックアップを実行する)への接続を開始し、このデータにアクセスしようとしています」
すべてのソフトウェアを更新しても、防御にはなりません(私はこの用語が嫌いです):ゼロデイ攻撃。
幹部がパスワードを単純にすることを要求している場合、ラップトップの暗号化(Truecryptなど)は機能しません。
APT攻撃のように防御する方法はありますが、ほとんどはバンデードです。ほとんどの人が攻撃の原因であるため、これを言います。スピアフィッシングメールを開き、アクセスしてはいけないサイトにアクセスします。置換たとえばFoxitを使用したAdobeAcrobatは、フラッシュを削除し、Java + javascriptをブロックし、プロキシを使用してChromeに切り替え、攻撃がどこまで進むかを確認します。同時に、苦情に対処してみてください。セキュリティではなく、「今すぐこれを開く」ことを望んでいる高レベルの幹部の数。その問題を解決すれば、脅威のようなAPTの心配が減ります。