Protegendo um computador Windows financeiramente crítico

Você pode configurar outro PC com Linux / BSD, que é usado apenas para acessar o site do banco. Se você realmente quisesse ficar paranóico, poderia colocá-lo em sua própria conexão dedicada à Internet e não ter mais nada conectado a ele na rede normal. Oferece os benefícios semelhantes ao dual boot, mantendo o Windows PC disponível para outras tarefas. Desvantagem é hardware / software adicional para manter. Há sempre a possibilidade de que algum funcionário nefário poderia colocar um keylogger USB de hardware em linha entre o teclado e o computador, independentemente de como / como você protege o sistema operacional e o software.

Como com todas as coisas, uma abordagem baseada em risco será a melhor, e o grau para o qual você toma isso será baseado em seu orçamento, risco, tempo e o dano potencial de uma violação. Eu certamente não espero que você faça tudo aqui.

Aqui estão alguns dos vetores de ataque:

Ataques físicos

Tipos de ataques

• Roubo
• Ataques off-line
• Registradores de chave de hardware
• Atacante tentando instalar malware localmente
• Ombro surfando

Este é o espaço onde você vai se concentrar em controlar as coisas relacionadas ao acesso físico:

• Telas de bloqueio automático, boas senhas (que não são armazenadas sob um teclado) e criptografia de disco ajudarão quando um sistema for roubado
• Desativar as portas USB no sistema operacional ou consolidá-las e desativar a execução automática pode ajudar (mas não impedir totalmente os keyloggers)
• Boa segurança física do sistema (boas fechaduras, armários robustos para computadores, travas de computadores, auditorias ocasionais)
• Telas de privacidade e manter os sistemas afastados das janelas ajudam a evitar o surfe no ombro

Ataques de software

• malware na Internet
• Engenharia social (phishing)

Uma vez que você coloca um sistema na rede, você tem um mundo de diversão para evitar que você perca o controle.

• cenários de VM ou de inicialização dupla podem ajudar a separar informações críticas e comuns (um sistema para serviços bancários críticos para email)
• Vale a pena considerar uma caixa completamente separada para esse tipo de coisa também se razoável
• De qualquer forma, você precisará de acesso não privilegiado para os usuários
• Boas senhas para todos os usuários
• Gerenciamento efetivo de vulnerabilidades (Correção, Remoção de serviços desnecessários, etc.)
• Bloqueio de segurança (o Windows tem os Guias de segurança e Aceleradores * existem vários guias para o bloqueio * Nix BSD por aí)
• Rede de trabalho e bem configurada AND firewalls locais

* Acabei de configurar uma estação de trabalho de funcionalidade limitada de segurança especializada e parece que está tudo bem.

Ataques de rede

Além de endurecer a máquina, você também deve ter proteções de transporte strongs:

• Sniffing de pacotes
• ataques DNS / ataques MITM SSL
• etc.

Coisas que você pode fazer neste nível:

• Proteções de transporte (IPSec no Windows, SSH no * Nix, SSL para web ***)
• Infraestrutura de rede bem configurada e monitorada (sem senhas padrão, etc.)
• Não envie dados sensíveis via wireless ***
• Considere a segregação de rede de sistemas privilegiados e não privilegiados

*** Ataques de SSL são hoje em dia uma dúzia, eles ainda são essencialmente MITM (como esta escrito) então você deve tomar medidas para proteger contra MITM

*** E se você precisa usar wireless, não use nada menos que WPA2-Enterprise

Verifique os mecanismos de autenticação do seu banco! O meu adiciona um token pseudo-RSA na forma de um "cartão de código", e a maioria das transações - além de exibir saldos e movimentar dinheiro entre minhas próprias contas - exige que eu insira um número selecionado aleatoriamente dentre os 100 impressos naquele cartão. Cada código só pode ser usado uma vez e, quando todos tiverem ido, recebo um novo cartão. Isso satisfaz o requisito "algo que você sabe e algo que você tem" de fator duplo sem a sobrecarga de emitir todos os usuários com um token RSA real, e isso é apenas para uma conta pessoal. Se o seu banco não lhe der um nível decente de segurança além do limite de uma conta comercial, abandone-o e encontre um que o faça!

Pare de navegar na rede a partir dessa máquina. Não cheque e-mail, não vá para sites fora da sua LAN, etc. Faça tudo isso em alguma outra máquina, depois publique o que você precisa fazer no computador financeiro em um wiki local (ou algo assim). Não use a máquina financeira como servidor de arquivos, servidor de impressão, etc etc etc.

Custos: uma Dell de US $ 500 para navegar de Benefícios: seus dados são mais seguros.

Eu também investirei em um firewall (hardware, não software) para colocar na frente da máquina. Não deixe nada entrar e tire as políticas do que foi dito acima, em vez de confiar que os usuários façam a coisa certa.

Atualize para o Vista x64. A sério. É muito mais difícil explorar de forma confiável.

Isso não impede que malwares sejam executados por seus usuários (acessando sites, etc.), mas interrompe ataques baseados em rede que você não terá muita detecção.

Dependendo do número de transações que essas pessoas precisam fazer, você pode optar por uma estação de trabalho sem disco somente para transações bancárias. Diskless implica imediatamente a inicialização a partir de um meio somente leitura como um CDROM. Algo como um Linux inicializável CDROM despojado que apenas o mínimo de software (ou seja, apenas um web browser) pode ser uma opção válida para este tipo de trabalho.

Além de técnicas específicas de proteção ao host, procure abordagens de defesa em profundidade para isso. Por exemplo, a maioria dos softwares de filtragem da Web bloqueará sites ruins conhecidos. Se um de seus usuários acessar um no início, isso não ajudará, mas, assim que um for descoberto, ele será incluído nas listas de filtragem rapidamente. Nessa mesma linha, analise as soluções de DNS externas, como OpenDNS , que executam uma função semelhante, mas sem o requisito de software / dispositivo de filtragem da Web. No seu firewall, execute a filtragem de saída. Bloqueie as portas conhecidas para o IRC, etc. Não, isso não impedirá que um malware use uma porta personalizada, mas muitos não. Espero que sua solução de filtragem da Web ajude aqueles que usam algo personalizado. Além disso, considere implementar o IDS / IPS. Se o dinheiro estiver apertado, sempre haverá Snort .

Força os usuários a fazerem uma dupla inicialização em algum outro sistema operacional (BSD?) ao realizarem atividades bancárias. Pro: muito seguro. Con: muito inconveniente, já que eles não terão acesso a vários aplicativos do Windows para descobrir quem e o quanto enviar.

Use criptografia de disco. O que quer que você faça no sistema operacional, contanto que você possa inicializar um CD e acessar o sistema de arquivos fora do Windows, você não estará seguro. O WinVista / Win7 tem capacidade de criptografia embutida, mas também há muitas soluções de terceiros compatíveis com WinXP.

Examine as políticas do tipo NAP, nas quais o computador não obtém acesso à Internet antes de ser corrigido para os padrões da empresa (se você precisar deles para acessar a Internet, por exemplo).

Veja a virtualização de desktops (tanto o MS quanto o VMWare têm soluções para isso) para isolar os aplicativos do banco em seu próprio ambiente bem gerenciado.

Apenas meus 5 centavos ...

Use o VMWare com um convidado linux básico para fazer todos os serviços bancários on-line, mas execute-os no computador com todo o software de contabilidade para que você possa alternar facilmente entre host e guest para visualizar os dados necessários.

Mude para o Windows 7 de 64 bits, pois o malware raramente alcança o código de 64 bits. Pro são menos vírus; Temos que ter novos hardware de 64 bits e lidar com várias incompatibilidades. O modo XP pode ser necessário .

A NSA e a Microsoft criaram os guias de segurança originais. Os documentos são bastante longos e eu recomendo testar as configurações em um computador que você pode reformatar, pois é bem possível bloquear as coisas tanto que a única cura é inicializar a partir de um cd / dvd e limpar a unidade.

link

link

Concordo com a sua ideia de que flash / acrobat são as ameaças mais prováveis. Limitar os direitos do usuário é o maior passo para proteger o computador em que posso pensar.

Desative a execução automática de todos os computadores no gpedit.msc. Alguns dos bancos em que trabalhei desativariam as portas USB. Existem agora aplicativos que podem monitorá-los e permitir apenas conexões permitidas. Os bancos mais antigos usavam cola quente para selar as portas e impedir que entravam as coisas (um banco usava trancas nas unidades de disquete e demitia qualquer pessoa que estivesse com o bloqueio {barato}). Há uma série de artigos onde os pesquisadores deixam pendrives USB em estacionamentos perto de escritórios e vêem quantos são plugados em computadores no escritório - a instalação acabou enviando o endereço IP para casa - instaladores mais malevolentes usaram o ícone que se vê para "abrir com o explorador" enganando o usuário para não prestar atenção, então eles clicam no instalador.