среда, 16 января 2019 г.

Программа повышения осведомлённости и ключевые домены оповещения сотрудников (Security Awareness Program and core security awareness domains)















"A chain is only as strong as its weakest link" (с) Thomas Reid’s

Защищая активы и операционную деятельность организации мы выстраиваем различные меры и процессы безопасности. Стараемся охватить все возможные уровни абстракции на которых существуют риски, начиная с физической безопасности материальных активов, многоуровневой компьютерной, сетевой, информационной и, если хотите, кибербезопасностью и заканчивая защитой нематериальных активов. Можем использовать data-orientied и people-orientied подходы, да какие угодно подходы и лучшие практики - лишь бы они были эффективны и был результат. Главная цель, - обеспечить безопасность всего бизнеса в целом, всех его материальных и нематериальных активов (таких, например, как репутация, бренд или доверие клиентов). Это конечно идеальная картина работы системы управления информационной безопасностью (СУИБ или ISMS).

Но, как известно, прочность цепи определяется самым слабым её звеном. Это действует и для мира ИБ. Уровень безопасности информационной системы измеряется по наиболее уязвимому её компоненту и часто последним рубежом безопасности (а по мнению некоторых экспертов чуть ли не "главным"), - выступают непосредственно сотрудники организации или пользователи ИС.

За примерами в реальном мире далеко ходить не надо. Довольно часто в рамках аудита безопасности, пентеста или социотехнического тестирования обнаруживаются не только известные технические уязвимости в системах, но и "всплывает" человеческий фактор: слабые\записанные\сохранённые пароли, не завершённая сессия администратора,  повышенный уровень привилегий УЗ пользователя, локальные УЗ, неподготовленность сотрудников к атакам или инцидентам ИБ и т.д.

Расмотрим конкретные угрозы: фишинг и вред. ПО. Основной канал распространения данных угроз - электронная почта. Нежелательное письмо прошло все уровни безопасности (а их по принципу Defense in Depth организовано с избытком) и доставлено в почтовый клиент на компьютер сотрудника. Сотрудник просматривает письмо: оно идёт с пометкой срочно, от незнакомого контакта, содержит убедительный текст призывающий к действиям, оформлено вполне себе прилично и содержит безобидное вложение формата Microsoft Office. Пользователь по привычке открывает документ и в этот момент на его машине выполняется скрытый вредоносный код (VBA, OLE-объект, встроенные макросы и т.д.) или эксплуатация конкретной уязвимости не пропатченного пакета MS Office. Возможно много вариаций, что будет происходить дальше, вплоть до скачивания полезной нагрузки через инкапсуляцию трафика в другие протоколы: HTTPS,  DNS, ICMP и т.д. По статистике, вредонос будет либо Ransomware (вымогатель шифровальщик), либо Backdoor (контроль ПК\ботнет клиент), либо майнер криптовалют. А может, что и похуже (вспоминаем шифровальщика с функциями сетевого червя - WannaCry). А самое главное, подготовить не детектируемую антивирусами полезную нагрузку - злоумышленникам не составляет особого труда. Для этого используются различные приёмы обфускации. Старичок "сигнатурный анализ" такое пропускает. В общем риск для бизнеса очень высокий. Вспомните последствия распространения WannaCry.

Проработка эффективных мер безопасности пожалуй самый насущный, очень трудный и часто творческий процесс, когда ключевым вопросом - становится выбор и применение наиболее эффективного и рационального решения, или "как одним выстрелом убить 2-ух зайцев". В качестве примера такого "выстрела" для веб-приложений - является двухфакторная аутентификация. Но если у вашего приложения при этом нет встроенной защиты от перехвата сессии - даже двухфакторная аутентификация ни чем не поможет. Ну и ряд других уязвимостей по OWASP может быть весьма критичен для конкретного приложения. Необходимо проводить оценку рисков в рамках контекста приложения и оценивать их возможные последствия.

Превентивные решения контроля ИБ либо дорогие, либо не очень эффективные, либо их поздно уже применять на той стадии жизненного цикла IT-сервиса (когда сервис разработан и уже вовсю эксплуатируется). Информационные технологии постоянно развиваются, меняется ландшафт угроз, не отстают и новые решения в области безопасности. Бесконечный цикл. Как угнаться и есть ли смысл вообще гнаться за всеми новейшими ИБ-решениями? Насколько они эффективны? Сможет ли под них быть выделен соответствующий бюджет?

На помощь приходит комплексный подход (comprenhensive approach). Помимо технических, организационных, правовых мер безопасности, существуют также и peopleorientied меры и они зачастую предоставляют более сбалансированный по цене\качеству результат, чем другие решения.

Например в контексте угрозы фишинга и ВПО по каналу электронная почта, достаточно обучить сотрудников примерами атак и обязать сообщать о таких атаках. Это позволит вам проактивно защититься от новейших угроз.

По ISO/IEC 27002:2013 существует одноимённый процесс: 7.2.2 Information security awareness, education and training. Необходимо непрерывно учиться самим, быть в тренде, а также обучать сотрудников вашей организации, повышая их осведомлённость по конкретным угрозам ИБ, обобщённым их признакам и правилам реагирования и безопасности.

Про обучение и тренировки специалистов по кибербезопасности и IT-специалистов, поговорим в другой раз, а по вопросу повышения осведомлённости сотрудников предоставляю готовую таксономию по ключевым тематикам повышения осведомлённости. Ориентироваться нужно на ключевые домены (разделы), а темы приведены справочно, этим списком не ограничиваются, но и не предписываются, а зависят от конкретных\соответствующих активов в конкретной организации и конкретных актуальных рисков для них.

Ключевые домены информирования:

1)        Безопасность в сети Интернет
•          Актуальные угрозы ИБ в сети Интернет
•          Вредоносное ПО
•          Раздражающая и потенциально опасная реклама
•          Опасные дополнения для веб-браузера
•          Развлекательные веб-страницы
•          Социальная инженерия
•          Онлайн-покупки в Интернет
•          Кибершпионаж
•          Использование сторонних облачных сервисов
•          Поддельные антивирусы
•          Фальшивая техподдержка
•          Контрафактное\нелицензионное ПО
•          Подключение к общественной\открытой Wi-Fi сети

2)        Безопасность информации
•          Понятие конфиденциальная информация и конфиденциальность информации
•          Целостность, доступность, конфиденциальность информации
•          Источники конфиденциальной информации. Виды и формы представления конфиденциальной информации
•          Конфиденциальные сведения, подлежащие защите в организации
•          Угрозы безопасности информации

3)        Безопасность мобильных устройств
Угрозы безопасности мобильных устройств
•          Программные угрозы
•          Использование уязвимых мобильных ОС и приложений
•          Web-угрозы
•          Сетевые угрозы
•          Физические угрозы
•          Угрозы мобильных устройств для организации
•          Пользовательские угрозы
•          Угрозы со стороны поставщика услуг

4)        Использование социальных сетей
Угрозы безопасности в социальных сетях
•          Вредоносные приложения
•          Размещение приманок в социальных сетях. Вредоносные ссылки на «стене» других пользователей социальных сетей
•          Фишинговые письма от администраторов и модераторов
•          Указание личных данных и геолокации
•          Взлом вашего профиля в социальной сети
•          Публикация или отправка служебной информации в соц. сети
•          Открытие вредоносных вложенных файлов в сообщениях
•          Сбор ваших личных данных
•          Кража паролей и фишинг
•          Поддельные профили. Добавление друзей
•          Скаммер-технологии

5)         Информирование об инцидентах
Внутренние инциденты ИБ
•          Утечка конфиденциальной информации
•          Неправомерный доступ к информации
•          Удаление информации
•          Компрометация информации
•          Саботаж
•          Мошенничество работников
•          Аномальная сетевая активность
•          Аномальное поведение бизнес приложений
•          Использование активов компании в личных целях или в мошеннических операциях
•          Нарушение физических мер безопасности
•          Сбои, уязвимости и неисправности оборудования или ПО
•          Превышение полномочий. Информирование о противоправном поведении со стороны коллег
Внешние инциденты ИБ
•          Мошенничество в корпоративных системах
•          Атаки DoS/DDoS
•          Перехват и подмена трафика
•          Неправомерное использование корпоративного бренда в сети Интернет
•          Фишинг
•          Размещение конфиденциальной/провокационной информации в сети Интернет
•          Взлом, попытка взлома, сканирование портала компании
•          Сканирование сети, попытка взлома сетевых узлов
•          Вредоносное ПО
•          Компрометация учетных записей
•          Неправомерный доступ к конфиденциальной информации
•          Нежелательные письма (спам, фишинг, ВПО), анонимные письма (письма с угрозами)
Реагирование на инциденты ИБ
•          Правила корпоративной политики по реагированию на инциденты ИБ
•          Кого нужно информировать об инциденте ИБ?
•          Порядок действий при возникновении инцидента ИБ
•          Обсуждение инцидента ИБ только по телефону
•          Обеспечение сохранности доказательств возникновения инцидента ИБ

6)        Безопасность электронной почты
•          Правила работы с корпоративной электронной почтой.
•          Утечка информации, снижение продуктивности работы и ответственность за неправомочное использование корпоративных ресурсов.
•          Электронная почта как инструмент социальной инженерии.
•          Нежелательные сообщения (спам, фишинг, вред. ПО).
•          Куда обращаться в случае обнаружения нежелательного письма?
•          Пересылка информации конфиденциального характера по ошибочному адресату.
•          Использование ящиков электронной почты, созданных на внешних Интернет-ресурсах для ведения рабочей переписки.

7)        Безопасность паролей
•          Парольная политика.
•          Угрозы для паролей.
•          Как придумать простой и надёжный пароль, который легко запомнить
•          Безопасное хранение паролей. Менеджер паролей.
•          Двухфакторная аутентификация.


Спасибо за внимание. До скорых встреч!

Комментариев нет:

Отправить комментарий

Геймификация при обучении и повышении осведомлённости по ИБ (Gamification on information security awareness, education and training)

“Ready Player One” (c) Ernest Cline Сегодня я хочу отметить важность использования научных исследований и передовых подхо...