Конспект закрытого мастер-класса Юрия Другача в рамках интенсива для CISO Код ИБ ПРОФИ
Как понять, что пора переобучать сотрудников правилам информационной безопасности? Юрий Другач сформулировал конкретные кейсы с письмами для проведения учебных атак с высокой конверсией в событие безопасности. Обозначил наиболее актуальные темы обучающих материалов для сотрудников, которые необходимо раскрыть и предоставил 7 организационных нюансов, которые противодействуют социальной инженерии.
Юрий Другач
Независимый эксперт по социальной инженерии
Как определить, что пора переобучать сотрудников?
• Значимый процент сотрудников попадается на фишинг
• Не обучали вообще
• Обучали, но не проверяли знания на практике
• Обучали давно
Чему нужно обучать каждого сотрудника?
1. Как киберпреступник может испортить жизнь лично вам
2. В офисе или возле него найдено устройство с USB, что делать
3. Как распознать вредоносное вложение в письме (без архивные и архивные вложения, .html)
4. Как распознать вредоносную ссылку ( icast.ru/362/ в помощь)
5. Как киберпреступник входит в доверие (многоходовки, атаки с использованием СИ)
6. Проверяем отправителя (включая вариант, когда легитимного отправителя взломали)
7. Как определить хакерское письмо по тексту
8. 5 вредоносных сценариев, которые используют злоумышленники в письме (файлы, ссылки, фишинг, выманивание информации, дезинформация)
Основные критерии персонализированного обучения могут быть следующие:
.png?access_token=e9ea4cd5-77fc-4c7a-b137-c6479ca0358c)
В зависимости от внутренних правил:
• Какие данные нельзя отправлять по email
• Действия при обнаружении взлома email
• Что делать, если вы сомневаетесь, кто вам пишет. (уточнить/найти доп. информацию, проигнорировать, переслать в СБ)
• Какие сообщения стоит игнорировать, а о каких сообщать в СБ? (много повторяющихся бесполезных рапортов – создаем правило и делаем известным)
• Как проверить файл в 50 антивирусах
• Как безопасно открыть и проверить ссылку
.png?access_token=edaf77ed-d78a-4c6e-9085-a3a9eea03854)
В зависимости от браузера:
• Сохранение пароля в браузере
.png?access_token=bdf3a0c7-8e85-4bd2-97e4-bee71b9b3b7a)
В зависимости от парольной политики:
• Создание надежного и простого для запоминания пароля
• Безопасное хранение пароля
• Кому можно сообщать свои пароли
• Использование одинаковых паролей на разных ресурса
.png?access_token=3269dd14-7e3a-4122-9dd3-6ed50a54015b)
В зависимости от взаимодействия подразделений:
• Что делать, если из одного отдела пришло подозрительное письмо в другой отдел
Организация обучения
1. Сначала не предупреждаем и тестируем на фишинг
2. Предупреждаем, что с этого дня будут проводиться учебные атаки
3. Сначала отправляем «легкие атаки»
4. Позиционирование учебных атак (это наша работа, это поможет вам лично)
5. Проводим учебные атаки 2-4 раза в месяц в течение квартала
6. В зависимости от ответственности за инциденты организовываем обучение:
• Если персонал сотрудничает, снижаем количество писем до 1 в месяц/квартал
• Если не сотрудничают – пугаем (ЧС, эмуляторы атаки)
7. Куда отправлять учиться: собственная LMS, памятки icast.ru/362, ссылки на курс в Web, УЦ)
Составление регламентов
• Действия сотрудника, если нужно установить нужное ПО
• Как создавать корпоративную почту
• Каналы воздействия соц. инженерии: a) Email b) Соц. сети c) Мессенджеры d) Физ. контакт e) Телефон f) Онлайн-консультант
• Кому конкретно в компании нужно отправлять алерты и в каком виде
• Обработка писем с поддельным отправителем
• Сотрудники не открывают письма
• Что делать с алертами (3 вида СИ)
• Поощрение сотрудников
Если эта тема Вам интересна, есть возможность ознакомиться с полной версией выступления здесь:
Как составить план обучения персонала по ИБ и как реализовать его с минимальными затратами?
Конспект мастер-класса с закрытого выступления Юрия Другача на интенсиве для CISO Код ИБ ПРОФИ