Всем привет 🙂 Сегодня продолжаем наш марафон и с нами сегодня Сергей Волдохин, директор компании Антифишинг.

📢 Тема дня: Как обучать и тренировать своих сотрудников. Противодействие социальной инженерии и другим цифровым атакам на людей.

Сергей вместе Ольгой Лимоновой, психологом, Антифишинг, скоро появится в эфире, а вы пока готовьте вопросы.

Готовы?

Всем привет!

Специалисты по безопасности знают, что нужно "повышать осведомленность" сотрудников. Уверен, каждый из вас это делает и надеюсь, что это у вас получается.

Но каждый, кто разбирал реальные инциденты знает, что на безопасность влияет не знания пользователя (и диплом о высшем образовании, ога), а то, как он повел себя в той или иной ситуации. Да, поведение зависит от его знаний. Но гораздо больше оно определяется навыками.

Есть простая аналогия. Кто водит машину, подтвердят — для получения прав нужно сдать и теорию (знания), и вождение: площадку и город (навыки). То, что кандидат сдал теорию (20/20, как я например) примерно ничего не говорит о том, как он реально поведет себя на дороге.

Пока все очевидно, правда?

В вождении машины — да, но в технических заданиях у наших коллег-безопасников часто видим такое:

Отличную цель (сформировать навыки) пытаются достичь обучающим курсом (который может обучить, дать знания).

(пусть вас не смущает фраза "Программа для ЭВМ" — это они так переменную определили, там выше написано, что "Программа для ЭВМ" = электронный обучающий курс)

Я закончил матфак, и мне при виде такого ТЗ хочется сделать так:

ОК, какие есть варианты?

Было бы здорово и обучать людей (знания), проверять знания (тесты, почему бы нет). Но дальше важно формировать, тренировать и проверять навыки (реальное поведение людей). Измерять все это. Использовать резльтаты для обратной связи. И вести непрерывно, и так далее (Andrey вам лучше меня расскажет про процессный подход).

С чего начать?

Во-первых, определить, что люди на самом деле должны знать. Что они там подписывают при приеме на работу, вы давно читали? А презентации, которые "повышают осведомленность"? Это реально прочесть? А все из этого понять? А запомнить? Очень здорово, если так! Но проверьте на всякий случай ;-)

Во-вторых, определите, что пользователи должны уметь делать? Какие реальные их действия, и связанные навыки влияют на безопасность? Проверять файлик антивирусом? Ну, такое... если у вас автоматическая проверка еще не настроена, о чем разговор? Но, надеюсь, это не ваш случай!

А вот что было причиной последних инцидентов, какие реальные действия людей? Алерты от финцерта смотрите, что там пошло не так, или могло пойти? В репортах АВ-вендоров о чем пишут, что там сделал кто-то неправильно? Или наоборот, не сделал, а должен был?

И, в-третьих, а почему вообще человек повел себя так? Из каких стадий состояла атака? А какие вы знаете? Что было мотивом, какие психологические вектора задействовались? А какие вы видели на практике?

Вы вполне это можете определить, даже для массовых и простых атак:

И для атак чуть сложнее:

Что делать со знаниями, более-менее ясно ("повышать осведомленность"). А как тренировать навыки?

Хорошая идея — делать это:

- регулярно;
- для всех сотрудников;
- в безопасной среде;
- по главным и самым опасным техническим векторам (вы ведь уже статистику по инцидентам собрали?);
- по всем возможным психологическим векторам;
- так, чтобы результаты были измеримы, а методика измерений — воспроизводимой (привет вашему аудитору СУИБ и руководству, они точно оценят).

С чего начать тренировку? С выбора целевой группы пользователйе и подготовки сценария имитированной атаки.

Когда сценарий спроектирован и согласован (ваши руководители тоже захотят в этом поучаствовать), можно готовить и выполнять саму атаку. Не забудьте оценить и измернить результаты!