网络安全意识培训
提供网络安全意识培训
组织应确保为所有人员提供网络安全意识培训,以帮助他们了解自己的安全责任。此外,网络安全意识培训的内容应根据特定人员群体的需求量身定制。例如,责任超出普通用户的人员将需要量身定制的特权用户培训。
所有人员每年接受网络安全意识培训,内容包括:
-
网络安全意识培训的目的
-
安全预约和联系方式
-
系统及其资源的授权使用
-
保护系统及其资源
-
报告网络安全事件以及系统及其资源的疑似泄露事件。
所有特权用户每年都会接受量身定制的特权用户培训。
管理和报告银行详细信息或付款请求的可疑变化
商业电子邮件诈骗是一种金融欺诈形式,是指恶意行为者试图利用被盗电子邮件账户骗取组织的金钱或资产。恶意行为者通常会通过发票欺诈、冒充员工或冒充公司来实现这一目的。
发票欺诈是指恶意行为者入侵供应商的电子邮件账户,并通过该账户获取合法发票。恶意行为者随后会编辑发票上的联系方式和银行详细信息,并将其发送给使用被入侵电子邮件账户的客户。然后,客户会支付发票款项,以为是在向供应商付款,但实际上钱是汇到了恶意行为者的银行账户。
通过冒充员工,恶意行为者会入侵组织的电子邮件帐户并通过电子邮件冒充员工。然后利用此信息以多种方式实施金融欺诈。一种常见的方法是冒充有权威的人,例如首席执行官或首席财务官,并开具虚假发票。另一种方法是要求更改员工的银行详细信息。然后,虚假发票或员工工资的资金将被发送到恶意行为者的银行账户。
通过冒充公司,恶意行为者会注册一个与另一个组织名称相似的域名。然后,恶意行为者在发给供应商的电子邮件中冒充该组织,并要求对一定数量的昂贵资产(例如笔记本电脑)进行报价,随后协商在付款前将资产交付给他们。然后,这些资产被运送到恶意行为者指定的地点,发票被发送给从未订购或收到这些资产的合法组织。
为了减轻商业电子邮件泄露的风险,应教育人员寻找以下警告信号:
-
意外的银行信息变更请求
-
紧急付款请求,或不付款将导致严重后果的威胁
-
权威人士提出的意外付款请求,尤其是当此人的付款请求不寻常时
-
从可疑电子邮件地址收到的电子邮件,例如与组织名称不匹配的电子邮件地址。
在处理这种情况时,人员应有明确的指导来核实银行账户的详细信息;在执行不寻常的付款请求之前要认真思考;并有一个流程来报告威胁性地要求立即采取行动、保密压力或规避正常业务流程和程序的请求。
处理银行详细信息和付款请求的人员应了解什么是商业电子邮件泄露、如何处理此类情况以及如何报告。
通过在线服务报告可疑联系
恶意行为者可能会利用电子邮件、互联网论坛、消息应用程序和社交媒体上的直接消息等在线服务,试图从人员那里获取敏感或机密信息。因此,应告知人员什么是通过在线服务进行的可疑联系以及如何举报。
告知人员什么是通过在线服务进行的可疑联系以及如何报告。
将工作信息发布到在线服务
应建议人员特别注意,除非获得授权,否则不要将工作信息发布到在线服务上,尤其是聊天服务、互联网论坛、社交媒体和人工智能工具。即使是单独看起来无害的信息,如果与其他信息一起发布,也可能产生相当大的安全影响。此外,为了确保个人意见不被误解,应建议人员为在线服务保留单独的工作和个人账户,尤其是在使用社交媒体时。
建议人员不要将工作信息发布到未经授权的在线服务,并举报发布此类信息的情况。
建议人员为在线服务保留单独的工作和个人账户。
将个人信息发布到在线服务
应告知员工,他们在社交媒体等在线服务上发布的任何个人信息都可能被恶意行为者利用,详细了解他们的生活方式和兴趣。反过来,这些信息可能被用来建立信任,以便从他们那里获取敏感或机密信息,或影响他们采取特定行动,例如打开恶意电子邮件附件或访问恶意网站。此外,发布有关行动和活动的信息可能会让恶意行为者将企图进行金融欺诈的时间安排在当权者无法联系的时候,例如参加会议或旅行。最后,鼓励员工使用任何可用的在线服务隐私设置,可以通过限制谁可以查看他们的信息以及他们与此类服务的互动来降低安全风险。
建议人员注意将个人信息发布到在线服务所带来的安全风险,并鼓励他们使用任何可用的隐私设置来限制谁可以查看此类信息。
通过在线服务发送和接收文件
当人员通过未经授权的在线服务(例如消息应用程序和社交媒体)发送和接收文件时,他们通常会绕过为检测和隔离恶意代码而设置的控制措施。建议人员通过授权的在线服务发送和接收文件将确保文件得到适当保护并扫描恶意代码。
建议人员不要通过未经授权的在线服务发送或接收文件。
访问系统及其资源
安全许可
当这些指南提及安全许可时,它适用于澳大利亚安全许可或澳大利亚正式承认的外国政府安全许可。
系统使用政策
为了使组织能够让人员对其在系统上执行的操作负责,重要的是组织制定、实施和维护管理系统使用的系统使用政策。
制定、实施和维护系统使用政策。
系统访问要求
记录系统及其资源的访问要求有助于确定人员是否具有访问系统及其资源的适当授权、安全许可、简报和必要信息。应记录访问要求的用户类型包括非特权用户、特权用户、外国公民和承包商。
系统及其资源的访问要求记录在其系统安全计划中。
人员必须经过适当的就业筛选,并在必要时获得适当的安全许可,然后才能获得访问系统及其资源的权限。
人员在被授予访问系统及其资源的权限之前会收到任何必要的简报。
人员同意遵守与系统及其资源相关的使用政策,然后才被授予访问系统及其资源的权限。
用户识别
拥有唯一可识别的用户可确保对系统及其资源的访问权限。此外,当系统处理、存储或传达仅供澳大利亚人查看 (AUSTEO)、仅供澳大利亚政府访问 (AGAO) 或可发布给 (REL) 的数据,并且外国公民可以访问该系统时,识别外国公民的身份非常重要。
获得系统及其资源访问权限的人员是唯一可识别的。
共享用户帐户的使用受到严格控制,使用此类帐户的人员具有唯一可识别性。
承包商人员被识别为承包商。
当系统处理、存储或传达 AUSTEO、AGAO 或 REL 数据时,外国国民人员将被识别,包括通过其具体国籍。
非特权系统访问
寻求访问系统、应用程序和数据存储库的人员应该具有由其经理或其他适当权力机构验证的真正的业务需求。
此外,集中记录和分析非特权访问事件有助于监控系统的安全态势、检测恶意行为并有助于网络安全事件后的调查。
对系统、应用程序和数据存储库的非特权访问请求在首次请求时进行验证。
对系统、应用程序和数据存储库的非特权访问仅限于用户和服务履行其职责所需的范围。
非特权访问的使用情况集中记录。
外国人无特权访问系统
由于 AUSTEO、AGAO 和 REL 数据具有额外的敏感性,因此对此类数据的外国访问受到严格控制。
外国公民(包括借调的外国公民)无权访问处理、存储或传达 AUSTEO 或 REL 数据的系统,除非采取有效的控制措施确保他们无法访问此类数据。
外国公民(借调外国公民除外)无权访问处理、存储或传达 AGAO 数据的系统,除非采取有效控制措施确保他们无法访问此类数据。
系统的特权访问
特权帐户(例如特权用户帐户和特权服务帐户)被视为可以更改或规避系统控制的帐户。这也适用于可能仅具有有限权限但仍有能力绕过部分系统控制的帐户。
特权用户帐户经常成为恶意行为者的目标,因为它们可能授予系统完全访问权限。因此,确保特权帐户无法访问互联网、电子邮件和网络服务,可以最大限度地减少这些帐户被入侵的机会。但是,如果特权帐户被明确授权访问在线服务,则应严格限制其访问用户和服务执行其职责所需的内容。
最后,集中记录和分析特权访问事件以及特权帐户和组管理事件,可以帮助监控系统的安全态势,检测恶意行为并有助于网络安全事件后的调查。
对系统、应用程序和数据存储库的特权访问请求在首次请求时进行验证。
对系统、应用程序和数据存储库的特权访问仅限于用户和服务履行其职责所需的范围。
特权帐户(明确授权访问在线服务的帐户除外)不得访问互联网、电子邮件和网络服务。
明确授权访问在线服务的特权帐户严格限于用户和服务履行其职责所需的范围。
即时管理用于管理系统和应用程序。
特权用户被分配一个专用的特权帐户,仅用于需要特权访问的任务。
唯一的特权帐户用于管理单个服务器应用程序。
特权访问事件集中记录。
特权帐户和组管理事件集中记录。
外国人享有系统特权访问权
由于特权账户通常能够绕过系统的控制,因此强烈建议不要授予外国人访问处理、存储或传达 AUSTEO、AGAO 或 REL 数据的系统的特权访问权限。
外国人(包括借调的外国人)无权访问处理、存储或传达 AUSTEO 或 REL 数据的系统。
外国人(借调外国人除外)无权访问处理、存储或传达 AGAO 数据的系统。
暂停访问系统
删除或暂停对系统、应用程序和数据存储库的访问,最好尽可能使用自动机制,可以在不再有合法业务需求时(例如人员变动、离开组织或被发现进行恶意活动时)阻止对它们的访问。
当人员不再具有合法访问要求时,对系统、应用程序和数据存储库的访问权限将被删除或暂停。
当检测到人员从事恶意活动时,将尽快删除或暂停对系统、应用程序和数据存储库的访问权限。
45 天不活动后,对系统和应用程序的非特权访问将被禁用。
45 天不活动后,对系统和应用程序的特权访问将被禁用。
45 天不活动后,数据存储库的访问权限将被禁用。
除非重新验证,否则对系统、应用程序和数据存储库的特权访问将在 12 个月后被禁用。
记录人员访问系统的授权
保留系统帐户请求记录将有助于维护人员责任制。这是为了确保记录所有被授权访问系统的人员、他们的用户身份、他们同意遵守系统及其资源的使用政策、谁授权他们访问、何时授予他们授权以及上次审查他们访问的时间。
在每个系统的生命周期内都会维护一份安全记录,涵盖每个用户的以下内容:
-
他们的用户身份
-
他们签署的协议遵守系统及其资源的使用政策
-
谁授权他们访问
-
当他们的访问权限被授予时
-
他们被授予的访问级别
-
上次审核其访问权限和访问级别的时间
-
他们的访问级别何时发生变化,变化程度如何(如果适用)
-
他们的访问权限何时被撤销(如果适用)。
临时访问系统
在严格的情况下,可以向缺乏适当安全许可或简报的人员授予对系统、应用程序或数据存储库的临时访问权限。在这种情况下,应对人员的访问权限进行控制,使他们只能访问履行职责所需的数据。
当人员被授予系统临时访问权限时,将实施有效的控制措施以限制他们仅访问履行职责所需的数据。
不允许临时访问处理、存储或传达警告或敏感隔离信息的系统。
紧急访问系统
重要的是,组织不会失去对其系统的访问权限。因此,组织应始终有一种在紧急情况下获取访问权限的方法。通常,紧急情况发生在无法通过正常身份验证流程访问系统时,例如由于身份验证服务配置错误、安全设置配置错误或由于网络安全事件。在这些情况下,可以使用 break glass 帐户(也称为紧急访问帐户)来获取访问权限。由于 break glass 帐户具有系统可用的最高级别权限,因此应格外小心地保护它们,并监视它们是否有任何被入侵或滥用的迹象。
使用破窗账户时,执行的任何管理活动都不会直接归因于个人,系统可能不会生成事件日志。因此,需要实施额外的控制措施以维护系统的完整性。为此,组织应确保识别和记录使用破窗账户执行的任何管理活动,以支持变更管理流程和程序。这包括记录使用破窗账户的个人、使用破窗账户的原因以及使用破窗账户执行的任何管理活动。
由于每个破窗账户的保管人应该是唯一知道该账户凭证的一方,因此在另一方获得任何授权访问后,保管人需要更改和测试凭证。支持自动凭证更改和测试的现代密码管理器可以帮助减少此类活动的管理开销。
最后,集中记录和分析入侵账户事件可以帮助监控系统的安全态势,检测恶意行为,并有助于网络安全事件后的调查。
在最初实施时以及每次发生基本信息技术基础设施变化时,至少记录和测试一次系统紧急访问方法。
仅在无法使用正常身份验证流程时使用破窗账户。
打破玻璃账户仅用于特定的授权活动。
在任何其他方访问破窗账户凭证后,账户保管人会更改这些凭证。
在更改凭证后测试破窗帐户。
破窗账户的使用情况集中记录。
澳大利亚系统的控制
由于 AUSTEO 和 AGAO 数据具有额外的敏感性,处理、存储或传达此类数据的系统必须由为澳大利亚政府工作或代表澳大利亚政府的澳大利亚国民控制。此外,AUSTEO 和 AGAO 数据只能从位于澳大利亚政府授权设施内的、由澳大利亚政府全权控制的系统访问。
处理、存储或传达 AUSTEO 或 AGAO 数据的系统始终处于为澳大利亚政府或代表澳大利亚政府工作的澳大利亚国民的控制之下。
AUSTEO 和 AGAO 数据只能从位于澳大利亚政府授权设施内的澳大利亚政府唯一控制的系统访问。
— 欢迎关注
原文始发于微信公众号(祺印说信安):信息安全手册:人员安全指南
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论