中小企业面临的一个风险是,银行凭证可能被黑客利用键盘记录器或其他恶意软件窃取。Bruce Schneier 在博客中谈到. 一个特定的威胁是《纽约时报》描述的实时键盘记录器。最重要的是,有了商业银行登录信息,坏人就可以从您的账户中转账,而且可能没有追索权。商业银行账户登录信息确实是王国的钥匙。
我决定大幅提高使用这些银行凭证的机器的安全性。我的标准安全建议是使用 Windows XP SP3,每晚自动应用补丁。病毒防护已打开(我们通常使用 ESET)。用户是受限用户;他们无法添加软件。软件限制可防止用户意外或故意下载软件并在其用户目录之外运行。我们使用 IE8 是因为它在 Active Directory 环境中易于管理,但我意识到这是一个潜在的弱点。不幸的是,最有可能的零日漏洞载体是 flash 或 acrobat,我们都使用这两种浏览器。
安全性总是在便利性和安全性之间进行权衡,因此答案和建议应该给出利弊。我将给出一些建议,这样你就能明白我的想法了。
答案1
您可以设置另一台装有 Linux/BSD 的 PC,仅用于访问银行网站。如果您真的想变得谨慎,您可以将其放在自己的专用互联网连接上,而不要将任何其他东西连接到常规网络上。为您提供与双启动类似的好处,同时仍让 Windows PC 可用于其他任务。缺点是需要维护额外的硬件/软件。总有可能一些邪恶的员工会将内联硬件 USB 键盘记录器无论您如何保护操作系统和软件,键盘和计算机之间都是如此。
答案2
与所有事情一样,基于风险的方法将是最好的,并且程度您要采取何种措施取决于您的预算、风险、时间和违规的潜在损害。我当然不期望您在这里做所有事情。
以下是一些攻击媒介:
物理攻击
攻击类型
- 盗窃
- 离线攻击
- 硬件键盘记录器
- 攻击者尝试在本地安装恶意软件
- 肩窥
这是您将重点控制与物理访问相关的事物的空间:
- 自动锁定屏幕、好的密码(不存储在键盘下)和磁盘加密将有助于系统被盗时
- 禁用操作系统中的 USB 端口或将其关闭,并禁用自动运行可能会有所帮助(但不能完全防止键盘记录器)
- 系统物理安全性良好(良好的门锁、坚固的计算机柜、计算机锁、偶尔的审计)
- 隐私屏幕和将系统远离窗户有助于防止肩窥
软件攻击
- 互联网恶意软件
- 社会工程学(网络钓鱼)
一旦您将系统放到网络上,您就会拥有一个充满乐趣的世界,以防止您失去控制。
- VM 或双启动场景可以帮助分离关键信息和常见信息(一个系统用于关键银行业务,一个系统用于电子邮件)
- 如果合理的话,也值得考虑为这类东西设置一个完全独立的盒子
- 无论如何,你都需要为用户提供非特权访问权限
- 适合所有用户的良好密码
- 有效的漏洞管理(修补、删除不必要的服务等)
- 安全锁定(Windows 有其安全指南和加速器* 关于 *Nix BSD 锁定,有多种指南可供选择)
- 工作正常且配置良好的网络和本地防火墙
*我刚刚设置了一个专门的安全有限功能工作站,它似乎运行良好。
网络攻击
除了加固机器之外,您还应该拥有强大的运输保护措施:
- 数据包嗅探
- DNS 攻击/SSL MITM 攻击
- ETC。
在此级别您可以做的事情:
- 传输保护(Windows 上的 IPSec、*Nix 上的 SSH、Web 上的 SSL***)
- 配置良好且监控良好的网络基础设施(没有默认密码等)
- 不要通过无线方式发送敏感数据***
- 考虑特权系统和非特权系统的网络隔离
***如今,SSL 攻击比比皆是,它们本质上仍然是 MITM(截至撰写本文时),因此您应该采取措施防范 MITM
***如果你必须使用无线,请不要使用低于 WPA2-Enterprise 的任何版本
答案3
检查您银行的身份验证机制!我的银行以“代码卡”的形式添加了伪 RSA 令牌,大多数交易(除了查看余额和在自己的账户之间转移资金)都需要我输入卡上印刷的 100 个随机选择的数字。每个代码只能使用一次,当它们全部用完时,我会得到一张新卡。这满足了双因素“您知道和拥有的东西”的要求,而无需向所有用户发放真正的 RSA 令牌,而且这仅适用于个人账户。如果您的银行不会为您的商业账户提供超出此水平的适当安全级别,请放弃它并寻找一个可以这样做的银行!
答案4
升级到 Vista x64。说真的。要可靠地利用漏洞要困难得多。
这并不能阻止用户运行的恶意软件(通过访问网站等),但它可以阻止您无法检测到的基于网络的攻击。