Книга: Безопасность веб-приложений. Исчерпывающий гид для начинающих разработчиков
Назад: Непрерывное сканирование
Дальше: Упражнения

Загрузки и устройства

Не стоит скачивать случайные программы, коды, музыку или другие файлы из интернета и запускать их на рабочем компьютере. Нельзя подключать собственные устройства к рабочей сети без зафиксированного в политике разрешения на это. В большинстве случаев в рабочей сети могут располагаться только одобренные устройства, программное обеспечение и другие компоненты.



НЕИЗВЕСТНЫЙ КОД

Боб помнит, как один его коллега скопировал в разрабатываемое им приложение непроверенный код. Этот код обратился к вредоносной библиотеке (к сайту командно-контрольной службы в интернете) и тем самым вызвал инцидент безопасности, который, к счастью, заметила и заблокировала служба безопасности. У коллеги Боба тогда были серьезные проблемы.



Все мы уверены в безопасности наших личных вещей, которые приносим на рабочее место. Однако все мы ошибаемся.

Блокировка рабочей техники

Всегда блокируйте компьютер, когда отлучаетесь от него, если только речь не идет о работе из дома. Нельзя оставлять рабочие системы открытыми на время своего отсутствия. Доверие к коллегам не отменяет опасность инсайдерских угроз, к которым следует относиться с максимальной серьезностью.





БОЛЬШЕ, ЧЕМ ПРОСТО ШУТКИ

Каждый раз, когда Алиса видит, что ее подчиненный отлучился, не заблокировав свой компьютер, она отправляет от его имени электронное письмо всему коллективу с темой «Бесплатное пиво!». Несмотря на то что этот поступок немного детский и несерьезный, ей нравится слышать смех команды. Все знают, что произошло.

Приватность

С появлением социальных сетей многие начали утверждать, что частная жизнь умерла. Однако это не обязательно так.

Важно хранить конфиденциальную информацию о себе подальше от интернета, поскольку все, что выкладывается в сеть, может быть использовано против человека в атаках социальной инженерии. Например, если разместить в интернете свою дату рождения, девичью фамилию матери и домашний адрес, кто-то может легко воспользоваться этой информацией и получить доступ к интернет-банкингу, сменить номер телефона, к которому привязаны аккаунты, и т. д.

Общественность (люди, не работающие в сфере информационной безопасности) часто недооценивает ценность личной информации. Ниже приведен список того, чем не следует делиться в интернете:

• девичья фамилия матери;

• дата рождения;

• фотография удостоверения личности либо рабочего пропуска;

• домашний адрес;

• номер домашнего телефона;

• фотография водительских прав, свидетельства о рождении или любого другого удостоверения личности;

• номер социального страхования;

• любая информация, связанная с банковским счетом или номерами кредитных карт;

• любая информация, используемая для создания пароля или ответа на контрольный вопрос для доступа к аккаунту;

• фотография номерного знака машины;

• фотография фасада дома (по которому можно угадать домашний адрес);

• фотографии офиса, особенно те, на которых изображена физическая или интеллектуальная собственность.

Довольно часто мы не задумываемся о том, что загружаем в социальные сети. Прежде чем нажать кнопку «Твитнуть», стоит потратить секунду и подумать, может ли выкладываемая информация быть использована против вас или вашего работодателя. Эта секунда значительно снизит риск атаки злоумышленника.

В случае неуверенности по поводу какого-либо аспекта, связанного с безопасностью, следует проконсультироваться с сотрудниками службы безопасности. Они готовы дать вам совет, ведь это буквально их работа.

Итоги

Очень важно обращать особое внимание на управление своими и чужими паролями (до тех пор, пока необходимость в паролях полностью не исчезнет). Лучшими практиками являются использование менеджера паролей (который требует только одной парольной фразы для доступа ко всем хранящимся там паролям), отмена правил сложности и требования ротации паролей, а также избегание повторного использования паролей. Единственный пароль, который ни в коем случае нельзя забывать, – парольная фраза, используемая для входа в менеджер паролей.

В каждой важной учетной записи должна быть включена многофакторная аутентификация. Второй уровень защиты абсолютно оправдывает потраченные дополнительные усилия.

Следует поговорить с членами группы реагирования на инциденты и узнать, не нужно ли им что-нибудь от вас. Проводите учебные тренировки по всем важным вопросам касательно действий в критической ситуации: например, какие действия необходимо предпринять, если расплавится сервер, или сколько времени потребуется на восстановление резервных копий базы данных.

Еще одной важной привычкой является сканирование всего, что только можно, с последующим исправлением найденных ошибок.

Необходимо также сделать все, что в ваших силах, чтобы команда не накапливала слишком большой технический долг, даже если придется перенести его в будущий проект. Также следует постоянно обновлять реестр приложений, чтобы знать об объектах защиты.

Не следует забывать блокировать компьютер при необходимости отлучиться от него. Рабочие устройства требуют такой же заботы, как и личные. Кроме того, важно внимательно относиться к приватности в интернете, поскольку любая фотография может быть использована против ее владельца. По этой причине стоит подумать дважды перед публикацией какой бы то ни было информации.

Формирование полезных привычек не требует особых усилий, но дает отличные результаты. Станьте защитником безопасности, внеся эти небольшие изменения в свои рабочие будни.

Назад: Непрерывное сканирование
Дальше: Упражнения