Ошибки, совершаемые людьми, которые приводят к проблемам с безопасностью
Операции с документом
Технические уязвимости становятся причиной огромного количества успешных проникновений в компьютерные системы, однако человеческие ошибки также вносят весьма существенный вклад. Институтом SANS был подготовлен список часто совершаемых людьми ошибок, которые приводят к успешным реализациям атак на компьютерные системы.
Обновлено 10 сентября 2005 года
Пять основных ошибок, совершаемых конечными пользователями
- Пренебрежение установкой антивирусного программного обеспечения, обновлением антивирусных сигнатур и их применением ко всем файлам.
- Открытие незапрошенных вложений в электронные сообщения без предварительной проверки их источника и содержимого, либо запуск игр или хранителей экрана или других программ из недоверенных источников.
- Пренебрежение установкой обновлений безопасности, особенно для Microsoft Office, Microsoft Internet Explorer, Firefox и Netscape.
- Пренебрежение созданием резервных копий и их тестированием.
- Подключение более чем к одной сети, такой как беспроводная сеть или Ethernet, либо использование модема во время работы в локальной сети.
Семь основных ошибок, совершаемых высшим руководством
- Делегирование обязанностей по обеспечению безопасности необученным людям, а затем не предоставление им ни обучения, ни времени на то, чтобы они были в состоянии грамотно выполнять свои обязанности.
- Не понимание взаимосвязи между информационной безопасностью и проблемой бизнеса -- они понимают смысл физической безопасности, однако не видят последствий низкого уровня информационной безопасности.
- Неадекватное управление операционными аспектами безопасности: делаются некоторые исправления и затем не осуществляются контрольные процедуры, необходимые для того, чтобы гарантировать, что проблемы действительно были устранены.
- Надежды возлагаются, главным образом, на межсетевой экран.
- Не осознование того, сколько стоит информация и репутация организации.
- Поощрение реактивных краткосрочных мер, после принятия которых те же самые проблемы бысто возникают снова.
- Ожидание что проблема исчезнет сама, если ее проигнорировать.
Одинадцать основных ошибок, совершаемых специалистами в области информационных технологий
- Подключение систем к Интернет без предварительного принятия мер по усилению защиты.
- Подключение тестовых систем к Интернет с оставленными по умолчанию учетными записями и/или паролями.
- Не обновление систем, после того как в них были обнаружены уязвимости защиты.
- Использование для управления системами, маршрутизаторами, межсетевыми экранами и PKI telnet и других протоколов, не поддерживающих шифрование.
- Предоставление пользователям паролей по телефону или смена их паролей в ответ на телефонный звонок или персональную просьбу, когда запрашивающий смену пароля не аутентифицирован.
- Пренебрежение созданием и тестированием резервных копий.
- Запуск сервисов, в которых нет необходимости, особенно это касается ftpd, telnetd, finger, rpc, mail и rservices
- Внедрение межсетевых экранов, правила которых не останавливают злонамеренный или опасный входящий или исходящий трафик.
- Пренебрежение внедрением или обновлением антивирусного программного обеспечения.
- Пренебрежение обучением пользователей тому, на что следует обращать внимание и что делать, когда они обнаруживают потенциальную проблему с безопасностью.
- Разрешение необученным и несертифицированным людям брать на себя ответственность за обеспечение безопасности важных систем.