Осведомленность О Безопасности — Это Больше, Чем Просто Фишинг. Часть 1

Чаще всего, когда вы читаете об осведомленности в области безопасности или повышении киберграмотности, мы говорим о фишинговых атаках – поддельных электронных письмах, веб-сайтах, странных вложениях и т. д. Конечно, фишинг по-прежнему является одним из основных сценариев атак на сотрудников, но повышение осведомленности должно не останавливаться на достигнутом.

Мы в QIWI проводим недели безопасности уже 7 лет, в ходе которых освещаем различные аспекты информационной безопасности.

Расскажу о разных форматах задач, которые мы проводили, какие плюсы и минусы были в каждом.

Надеюсь, что этот опыт пригодится вам при проведении подобных мероприятий.

Неделя безопасности проводится раз в год и, как следует из названия, длится 1 неделю.

Сами мероприятия разделены на 2 или 3 блока:

• сессия, понятная и простая для рядовых сотрудников (далеких от ИТ)
• сессия для айтишников
• мероприятия для выделенных групп (например, топ-менеджмента или менеджеров по продуктам)

Прежде чем приступить к планированию деятельности:

• Стоит заранее понять, в какое время загруженность сотрудников наименьшая - возможно, в какие-то месяцы может быть затишье в задачах, или наоборот, в последний месяц года образуется поток задач и все работают по 80 часов.

  неделя

• выберите конкретный стиль, поэтому вам следует заранее познакомиться с вашим дизайнерским отделом или найти компанию, которая сможет подготовить для вас дизайн.

• начните готовиться за пару месяцев до мероприятия
• геймификация задач.

  Никаких скучных презентаций и тестов.

• по окончании мероприятия не поленитесь собрать статистику и обратную связь

ЦТФ

Задания подбираются различной сложности и разной направленности.

Чтобы охватить как можно больше разных групп сотрудников, стоит выбирать разные категории – веб, реверс, криминалистика, осинт. Чаще всего, конечно, все же преобладает веб, но не менее важны и другие категории задач.

По сложности мы стараемся выполнять низкие/средние задачи, примерно в пределах 50-300 баллов (например, на различных CTF стоимость сложных задач может достигать 1500 баллов).

В рамках этой деятельности одновременно преследуются несколько целей:

• показать на живых примерах, какие уязвимости могут быть в продуктах и как эти уязвимости можно эксплуатировать.

  После того, как разработчики увидят, к чему может привести банальное отсутствие экранирования или смогут сами обойти минимальную защиту, при написании собственного кода они вспомнят об этом и придут за советом или напишут код правильно.

  Ни в коем случае нельзя рассматривать это как замену SSDLC, но идеального решения не существует, поэтому в такие важные моменты мы стараемся «подстелить соломку» в разных местах.

• установление связи между ИТ/ОПС и ИБ.

  Наверняка какое-то количество задач не будет решено и участники придумают пути ее решения и снова смогут подружиться с охранниками.

• хедхантинг — вы можете даже не догадываться, что в соседнем отделе есть разработчик, который давно хотел пойти в безопасность, но все время откладывал это.

  Один такой переманенный разработчик или администратор, желающий и способный разбираться в вопросах безопасности, обычно платит за весь CTF.

• Тренировочные стенды.

  Перед самим CTF или в его первый день стоит развернуть обучающий стенд по OWASP TOP 10 (webgoat или mutillidae) и на этом примере показать, как использовать основные инструменты (burp/zap и т. д.) и эксплуатировать основные уязвимости.

• Подсказки.

  В целях поддержания интереса к спорту и в связи с разным уровнем подготовки участников мы публикуем различные советы – как для задач, которые никто не смог решить (в данном случае без снижения стоимости), так и для задач, которые смогли выполнить немногие.

  решить (в данном случае с уменьшением стоимости задачи).

• Анализ задач.

  После проведения CTF необходимо проанализировать задачи, которые смогли решить не все участники.

  Отдельно можно попросить победителей рассказать о задачах, которые они решили.

• Те же победители.

  Скорее всего, на второй-третий год таких соревнований в топе окажутся те же участники.

  Запрещать им участие, конечно, не надо, но у нас их просто исключают из результатов по вручению призов.

  То же самое делаем для желающих принять участие силовиков – их результат не влияет на общий балл, подведение итогов внутри отдела делаем отдельно.

• Реалистичные векторы и задачи.

  Задачи должны быть приближены к реальным приложениям и уязвимостям; если придумать чистую синтетику, то выполнять будет не интересно и также не будет носить "познавательный" характер.

  Также будет отдельная прибыль, если задачи будут делаться конкретно под профиль вашей компании и векторы атак, характерные для реальных кейсов.

• Разработка.

  Можно, конечно, разработать и табло, и сами задания, но мы решили подойти к этому вопросу более практично и заказать разработку подобных заданий у тех компаний, которые постоянно проводят подобные соревнования на внешних платформах.

  Обычно у них уже есть какие-то готовые задания и внести для вас небольшие модификации будет не так уж проблематично.

  Я не буду вставлять сюда рекламу тех партнёров, которые нам помогли, но могу дать контакты в личном сообщении.

• Внешний CTF. Если желающих тематикой CTF достаточно, то можно отдельно попробовать принять участие в CTF общественной опасности вместе с командой ИБ.

  Это очень помогает сплотить команду, особенно в нынешние времена Covid. Список CTF можно найти, например, здесь

• CTF «Атака и защита».

  Через пару лет обычный CTF, основанный на задачах, надоест, и есть смысл попробовать такой формат. нападение и защита .

  Формат более сложный, как с точки зрения организации, так и с точки зрения участия и подведения итогов.

  Нам удалось провести соревнования такого формата лишь один раз.

  В связи с тем, что этот формат более концентрирован во времени, заниматься им лучше вечером, после работы.

  Мы формировали случайные команды из заранее записавшихся участников, меняя нападающих и защитников.

  Далее подсчитывались очки всем членам команды.

  Из-за этого может возникнуть преимущество – что кто-то из команды фактически не участвовал, но получил много очков.

  В конце мы выровняли его руками, исключив из результатов номинальных участников.

Полнота покрытия - примерно 10% ИТ-сотрудников.

Бюджет - можно начать бесплатно (вебкоза и т.п.

), но если вы сделаете качественный CTF, то будьте готовы заплатить минимум 400-500к рублей.

При этом мы стараемся занять первые три места с неплохими призами.

Контрольный опрос

Существует множество платформ для проведения подобных мероприятий, в том числе бесплатных.

При этом за счет такого формата можно совмещать учебные задачи как в рамках каких-то внутренних процессов/инструментариев и т. д., так и в рамках общих вопросов ИБ.

Также можно выделить набор задач для ИТ в отдельный уровень, например, поиск уязвимости в участке кода.

Советы из опыта:

• Направление задач.

  Сложность задач не должна быть очень велика — а ответы следует искать либо во внутренней документации компании, либо просто в Интернете.

  Как минимум половина задач должна носить обучающий характер и доносить до сотрудника конкретную идею.

• С каждым годом придумать 30-50 вопросов становится все сложнее.

  И аналогично падает вовлеченность сотрудников, поэтому не стоит делать это каждый год и менять форматы задач.

Плюс стоит учитывать специфику компании и использовать в качестве платформы что-то локальное — например, Slack или Telegram-боты, если это принято в качестве механики корпоративного общения.

Полнота покрытия - около 20-30% от общего числа сотрудников.

Бюджет - если просто делать викторину в формате вопрос-ответ, то можно обойтись бесплатными решениями.

Чтобы разработать полноценную деятельность, в которой будет подобие сюжетной линии, придется заплатить как минимум 300-400к рублей.

Призы тоже необходимы, но в отличие от CTF мы делаем больше призовых мест (около 10) и стоимость самих призов ниже.

Квесты

Мы решили сделать такой же квест, но с заданиями по блэкджеку, связанными с ИТ/ИС.

Скажу сразу, формат крайне хлопотный, как с точки зрения организации, так и с точки зрения основной цели мероприятия – обучения сотрудников киберграмотности.

Нам удалось найти только одну компанию, которая делает заказные квесты с упором на информационную безопасность, и мы пока являемся их единственными такими клиентами.

Из-за этого часто приходится играться с существующим оборудованием компании, чтобы иметь хотя бы минимальную связь с обучением.

Не всегда получается, но если целью проведения таких квестов является общее рассмотрение вопроса о привлечении внимания к отделу ИБ, то такой формат тоже оправдан.

Вот примеры таких задач: Линия 1. На столе стоят 2 компьютера.

У одного из них есть пароль, у второго нет. На компьютере без пароля на рабочем столе есть текстовый файл под названием «Пароль», команда находит этот файл, там много простых паролей и один сложный.

Они определяют какой из них сложный и вводят его на заблокированном компьютере.

Он начинает работать, к нему подключается Интернет и большая часть взаимодействий в игре будет происходить с ним.

Мы показываем, что нельзя оставлять компьютеры незаблокированными, так как информацию с них можно использовать.

Мы покажем простые и сложные пароли и научим отличать их друг от друга.

Оставлять пароли в документах или в открытом виде нельзя.

Строка 2: Подсказка в урне - Коробка на 3 действия - Очки - белый монитор - Сейф с кроконами - Карта №2 Команда видит шредер с торчащей из него яркой подсказкой, как только они подходят к нему и начинают пытаться прочитать подсказку, шредер съедает документ (уничтожитель управляется с помощью пульта).

Рядом с шредером стоит корзина, где лежит точно такой же документ, но порванный.

Они собирают его кусочки и читают подсказку: «Ящик с документами открывается от удара».

Они находят ящик для документов, он закрыт. Ударяют, открывается первая секция, внутри находят фонарь с посланием (светят), светят на вторую секцию, она открывается, внутри находят свисток и послание (светят).

Громко свистят, открывается третья секция, там специальные очки и надпись «Оглянитесь вокруг».

Команда надевает очки и начинает осматривать комнату.

Все это время в комнате стоял монитор с белым экраном, на котором не было никакой информации.

Если посмотреть на этот монитор через найденные вами очки, то на нем появится изображение.

Команда видит на нем странные символы, точно такие же символы есть на сейфе в этой комнате (сейф расположен подальше от монитора).

Команда делится на 2 части, одни остаются у монитора, другие идут к сейфу.

Те, кто остался у монитора, диктуют символы, те, кто у сейфа, вводят пароль на сейф.

Они открывают сейф и находят внутри вторую карту.

Показываем, что важные документы нужно уничтожать с помощью шредера.

Советы из опыта:

• Трудно найти на рынке компании, которые согласились бы и смогли выполнить такой квест. Даже если они согласятся, они не придумают за вас весь сценарий и задачи.

  Обычно мы проходим 2-3 итерации изменений и корректировок сценария.

  Надеюсь, не сочтут это рекламой, укажу компанию, которая у нас это делает. разработка .

• Квест ограничен по времени, поэтому обычно каждому участнику предстоит пройти только часть испытаний, из-за этого обучающий характер снижается.

  Возможно, стоит после окончания разослать всем участникам сценарий, который был заложен и какова была идея в каждом задании.

• Игровые задания.

  Придумать задания с обучающими элементами на 20-30 минут практически невозможно, учитывая ограничения инвентаря, поэтому часть заданий будет просто игровыми - например, собрать слово из головоломки или решить какой-нибудь простой код. .

  С этим ничего не поделаешь, надо просто принять и простить :)

• Предварительный запуск.

  Как и любую разработку, ее стоит пройти самостоятельно за день до квеста.

  Несмотря на продуманный сценарий, в реальной жизни обязательно что-то пойдет не так и будет время это исправить.

Здесь здесь вы можете посмотреть, как выглядел последний квест, в стиле mr. Робот. Полнота покрытия - около 120 человек (при условии 2 дней), в одной команде обычно принимают участие около 5-6 человек.

Бюджет - самый дорогой формат из рассматриваемых, ввиду индивидуальной разработки, необходимости использования инвентаря или даже его создания под заказчика, поэтому будьте готовы заплатить минимум 1 миллион рублей, если вам надоели стандартные форматы.

Но для целей этой статьи я остановлюсь только на этих видах деятельности.

Впереди описание еще большего количества разных форматов, в том числе и неудачных.

Расскажите, есть ли в вашей компании подобная деятельность и насколько интересно описание следующей части? Теги: #информационная безопасность #ИТ-компании #ИТ-компании #ctf #информационная безопасность #осведомленность о безопасности #осведомленность

• Контрольный Список — Вопросы, Которые Следует Задать При Выборе Rfid-Метки

  19 Oct, 24

• Microsoft Представила Инициативу По Продвижению Новых Музыкальных Групп

  19 Oct, 24

• Соревнования И Тренировки

  19 Oct, 24

• Ibm Запускает Первые Высокозащищенные Облачные Сервисы Блокчейна

  19 Oct, 24

• Карты Яндекса Без Использования Yandex Map Kit Или Карты Из Разных Источников В Приложении Android

  19 Oct, 24

• Angular 5 (Или 4): Понижение Версии Компонента Для Использования В Angularjs.

  19 Oct, 24

• Два Подхода К Разработке Программного Обеспечения Для Встраиваемых Систем

  19 Oct, 24

• 25 Полезных Ярлыков Для Photoshop

  19 Oct, 24

• Технологии В Ритейле: Автоматизация, Облачная Инфраструктура И Совмещение Оффлайна С Онлайном

  19 Oct, 24

• Подарок К 1 Сентября Всем Любителям Цифровой Схемотехники И Компьютерной Архитектуры.

  19 Oct, 24