Задать вопрос
@root365

Как обезопасить бухгалтерию работающую с разными банковскими счетами и криптоплагинами?

Есть несколько людей работающих с банковскими счетами ОООшки ИПшки (нет это не обнал, и вообще ничего криминального, все законно, но в подробности вдавать не буду, "меньше знаний у конкурентов - лучше бизнес".)
Начитавшись всякой лабуды в последнее время о вирусных атаках (особенно актуальны шифровальщики ) и сливе данных и паролей хотелось бы как то обезопасить и личные данные и весь свой офис (хоть он и не большой всего 7-8 пк)

Нанимать системного администратора и поднимать сервер - не вижу смысла по трем причинам
1) вряд-ли удастся найти хорошо квалифицированного специалиста кто будет серьзно администрировать 7-8 компьютеров, а даже если и найдем то не факт что он на 100% обеспечит защиту да и даже наоборот если нанять "олуха" то станет гораздо проще потерять пароли и деньги.
Вообщем работаем только с доверенными людьми и не хотелось бы нанимать х. пойми кого
2) пока не планирую расширятся ближайший год, возможно при расширении задумаюсь о найме ИТ специалиста с высокой зп и т.д.
3) все люди работают с разными счетами и разными людьми, хоть и сидят в одном офисе.
объеденив их всех в одну сеть или даже к локалку - думаю, вероятность заражения, взлома и т.д. станет куда проще (или я не прав?)

Одним словом не доверяю я, наши с коллегами деньги неграмотным специалистам, а таких сейчас на рынке труда пруд пруди, университеты пачками штампуют недоСИСЬ-АДМИНОВ. И ведь никак не проверишь хорошо ли он знает свою работу или нет.
spoiler
Кстати об этом: Друг - владелец небольшой компании недавно потерял круглую сумму только потому что доверился идиоту сис.админу который как выяснилось сам себе отправлял скрины с логином и паролем сервера через какой-то файлообменник с открытым доступом, а ведь с виду казался довольно умным парнем. Надеюсь этого оленя никуда больше не устроят.
Еще один случай был у одного моего знакомого директора в начале года, опять же из-за глупости админа: вирус шифровальщик, который положил весь сервер. Глупость админа в данном случае была в неправильной настройке бэкапа сервера. Бэкап файлы тоже зашифровались и в итоге бизнес человеку спас мой "пьяный" совет, на всякий случай загрузить все данные с сервера себе на жесткий диск, к сожалению скопировал он их за 2 месяца до случившегося, поэтому данные за последние 2 месяца пропали.
(прошу прощения если кого-то обижаю из ХАБРА и ТОСТЕРА своими словами, но факт фактом)
<---к слову о нелепых сись админах

А теперь к вопросу о безопасности.

1) посоветовали VIPnetMonitor от Infoteks, но не совсем пока вдавался в подробности что это и не совсем понял через кого и каким образом будут проходить весь этот зашифрованный трафик
2) нужно ли поставить прогу которая будет рандомно менять mac ? (или это уже уровень паранойи?)
3) как лучше всего хранить пароли?

Главное:
Вообщем уважаемые специалисты и просто читатели данного вопроса, прошу ваших предложений по безопасности и комментариев по поводу проделанных действий. Хотелось бы максимально обезопаситься как от вирусов, так и от лишних глаз гос.органов ;)

spoiler
p.s да, я знаю что полностью от гос. органов скрыть незаконные действия невозможно особенно учитывая что работаем с банками, да это и не в приоритете. Поэтому оставим тему об полной анонимности для школы. Тем не менее чем меньше информации о нас будет знать как провайдер так и поисковики тем лучше.
Кроме того я прекрасно понимаю что главная проблема в кибербезопасности находится "между креслом и монитором" опустим тему соц.инженерии. Кстати своим ребятам я описал все что знаю об фишинге и угону паролей, дабы не кликали по документам и картинкам на почте не понятно от кого + дал люлей за легкие пароли и за работу с домашних ПК и андроидов
  • Вопрос задан
  • 232 просмотра
Подписаться 1 Средний 8 комментариев
Решения вопроса 1
@rPman
Соглашусь со всеми отписавшимися в ответах и комментариях, но все же отвечу одним советом, который возможно в вашем случае может сильно помочь.

Разделяйте и стандартизируйте все и как можно сильнее. Т.е. буквально, каждая подзадача должна решаться в независимом окружении, в идеале разделять по железу, но это дорого (т.е. грубо говоря ставить по компьютеру на задачу) - работа с банками, работа с почтой, работа с интернетом, работа с клиентом, работа аналитика, работа с отчетами, работа по настройке и администрированию окружения, обеды, туалеты, планерки,.. сядьте и запишите все это на бумажке, вдумчиво, зачем, когда, почему, как.

Избегайте сборной солянки, не должно быть такого чтобы разные работники у вас работали с разными продуктами, если можно делать в одном. Т.е. если почта то пусть у всех будет один продукт а не десять (потому что каждый привык к своему). Ни в коем случае не должно смешиваться личное и рабочие задачи, я не говорю о запрете, я говорю об разделении и изоляции.

Самое простое и дешевое решение для изоляции, это виртуализация и сервера терминалов. Поверьте, если вы посадите пользователей лазить в абстрактном интернете на отдельной машине, подключаясь к ней по терминалу (rdp/vnc/..), которое не имеет никакого доступа к вашей локальной сети и машине, то это станет почти непреодолимым препятствием для вирусов любого толка (есть свои ньюансы), причем эти машины могут штатными средствами средств виртуализации автоматически очищаться (сбрасываться на дефолтное состояние, с автоматическими обновлениями по ночам), это будет наилучшим противовирусным и достаточно просто с настройкой.

Пусть почта и чаты у вас будут в одной песочнице, а открытие вебстраничек и документов, пришедших снаружи, в другой, с закрытым доступом друг к другу не только по файлам но и сеть (одна из причин почему софт должен быть унифицирован, настраивать эти ограничения проще).

На самом деле вам действительно может понадобиться передача информации между этими зонами, в большинстве случаев с этим может справиться обычный буфер clipboard вашего рабочего места (с оговорками) но всеравно какие то пути передачи информации настраивать придется, так вот, что и куда передавать должно контролироваться, в идеале отделом безопасников, или хотя бы специлизированным софтом (если боитесь утечек секретной информации например), но хотя бы здравым смыслом. Например вам пришла pdf-ка или docx- документ, по почте,.. это уже вектор атаки, и открывать такие документы нужно в изолированной песочнице, но вам же с ними нужно работать, так вот обычно это копирование конкретной информации и вставка в ваши рабочие документы, реже - загрузка этих документов в ваш софт или сохранение, так вот пусть эти файлы копируются управляемо снаружи песочниц (гипервизор обычно имеет доступ к песочницам) таким образом чтобы не создавать общую папку доступную на запись из нескольких.

То же самое делайте и с другими задачами, пусть они будут максимально разнесены. Я знаю, люди привыкли делать общую файлопомойку, доступную во всей локальной сети без какого то ни было разделения прав, но это первый вектор атаки и огромная дыра для утечки информации. Каждому должно быть доступно ровно столько сколько ему требуется. Не ленитесь, настраивайте и разграничивайте, причем нет ничего постоянного, не получится один раз настроить и потом к этому вопросу не возвращаться, думать и перенастраивать придется (хоть и значительно меньше чем в первый раз), и речь не о знаниях администрирования компьютера, речь об умении формулировать свои задачи, так как если у вас будет администратор, вы точно так же должны все это делать только человеческими словами, общаясь с ним.

p.s. меня сейчас тут запопсуют, но я повторяю, изоляция песочницами (на базе виртуальных машин и нескольких независимых сегментов сети) не самое верное, но самое простое и дешевое решение, доступное мелким организациям, не готовым платить за готовые ЕРП решения.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
Moskus
@Moskus
Это называется "культ карго". Смысл этого термина в том, что люди делают какие-то вещи абсолютно не понимая механизмы их работы, но обращаясь с ними, как с магическими ритуалами, которые, согласно их вере, должны привести к искомому результату.
Использование Tor "для анонимности" при совершении действий в сети, которые сами по себе вас полностью деанонимизируют - тому лучший пример, но не единственный.
Остальное - просто такие же магические действия. "Я читал, что чистка реестра - хорошо для безопасности" ни чем не отличается от "я читал, что есть имбирь - хорошо для здоровья". Или как кто-нибудь покупает себе самый дорогой набор инструментов и лезет что-то чинить, несмотря на то, что инструменты никак не влияют на факт, что у него руки растут из жопы и в устройстве того, что он собирается чинить, он не понимает ничего.

Попробуйте нанять человека, который действительно разбирается в ИБ. Хотя это и будет сложно: такой почитает ваше техническое задание, повернется и уйдет. А останется - такой, который будет для понта сыпать жаргонными словами и тоже ставить вам "волшебные" программы.
Ответ написан
Zoominger
@Zoominger
System Integrator
Постараюсь всё-таки ответить серьёзно на этот поток сознания.

Скачайте и прочтите книги Оглтри по информационной безопасности, сделайте нормальную сеть, настройте DMZ, поставьте нормальный антивирус, настройте файрвол. Не занимайтесь х*рнёй в стиле "Я начитался Хабра и Хацкера и теперь круто всё защищу, йа крутой бизапаснег".

То, что вы сделали - оверхед и по большей части вообще вредно для безопасности.
Ответ написан
Jump
@Jump
Системный администратор со стажем.
Как обезопасить бухгалтерию работающую с разными банковскими счетами и криптоплагинами?
Нормально настроить ОС. В принципе никаких левых программ для этого не требуется, только настройки брандмауэра, и политик.

Все что вы описали с точки зрения системного администратора явный бред. Бессмысленный и беспощадный.
По принципу не знаю для чего, но на всякий случай поставим- глядишь какой толк будет.

2.Антивирус - нормальный адекватный антивирус встроен в ОС. Если не устраивает, тогда уж стоит смотреть на лидеров рынка, а не на малоизвестный софт.
3. Вот чем эта почта безопасна?
4. Это просто нечто. Тор браузер отличная вещь, и при правильном использовании позволяет добиться довольно высокой степени анонимности. К безопасности он никакого отношения не имеет.
А анонимность обеспечивает только при правильном использовании и настройке ОС, а если вы будете через этот браузер подключатся к банкам, и заходить на свои рабочие аккаунты - какой в нем смысл?
7.Если вы говорите о безопасности, какой смысл тащить на компьютер всякий вредоносный софт вроде Reg Organaizer?
11.С таким же успехом можете купить пистолет и рандомно стрелять себе в колено. Это примерно так же отразится на безопасности как и регулярная замена mac. И да - к паранойе это не имеет отношения.
12. В голове. Если не умещаются - KeePass
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы