Это да, безопасникам приходится интересно, каждый проект как отдельный челлендж:) мы еще в процессе убирания всего и вся за VPN, так что можно только удачи пожелать на этом пути
Мы и пошли по такому пути, и начали с Jira и Confluence, убрали их за корп VPN первыми. К сожалению, убирать по чуть-чуть пользователей технически не получится, это решило бы много проблем. Так что мы просто по-тихоньку всем выдавали корп VPN и накапливали FAQ. Сейчас у всех есть корп VPN, и мы без проблем можем убрать за него любую систему
Сайт, который открывался при переходе по ссылке в письме, был максимально похож на легитимный. Мы запрашивали и логин, и пароль, но сохраняли в базе только логины
Я выгрузила часть базы работающих сотрудников, чтобы провести учения, и загрузила эти данные в инструмент для проведения фишинговых учений. Внимательные коллеги в почте развернули информацию о получателе, и увидели там каждый только свое полное ФИО. По связке "полное ФИО" + "корпоративная почта" стали делать выводы, что унесли базу системы управления персоналом.
Отдельно еще раз подсвечу, что каждый увидел только свои персональные данные.
Эти же самые люди и в логинах пишут непотребства, по которым можно легко понять, что и пароль некорректный. У нас были такие кейсы, я их из статистики исключила.
Вы верно подметили, двухфакторная аутентификация — не панацея. Второй фактор тоже можно украсть, но сделать это несколько сложнее. Логины и пароли все еще ценны для систем, где двухфакторки нет и нет возможности ее настроить из-за технических или организационных особенностей.
Рассылка шла с поддельной почты команды Информационной Безопасности, внешне сотрудники видели легитимный домен. Мы не стали взламывать или имитировать взлом, так как решили, что злоумышленнику проще мимикрировать, чем заморачиваться со взломом.
При выборе дня и времени учений я опиралась на психологические факты и особенности компании. В пятницу вечером многие уже просто не за компьютером и не увидят письмо.
Отдельного процесса по антифишинг-обучению у нас нет. Мы затрагиваем этот момент в общем обучении по информационной безопасности: рассказываем, как определить фишинг, и что делать в случае фишинга или подозрений.
Мы проводили фишинговые учения, чтобы выявить слабые места, понять "масштабы трагедии" и делать выводы на основании этих данных выводы относительно новых проектов. А ещё проверяли свою реакцию.
После учений внедрили СЗИ, чтобы закрыть дыры.
Учения проводили "снаружи" и впервые, с помощью Gophish.
Полностью согласна. Люди — самое слабое звено в системе безопасности, именно поэтому мы и решили их проверить: чтобы знать, к чему быть готовыми, и как много можем потерять из-за человеческого фактора.
Проверки не отменяют остального ландшафта работы безопасника, а дополняют его и помогают делать выводы и принимать стратегические решения.
Мы воспринимаем фишинговые учения как метод получения быстрого и достоверного среза, какие активности и изменения нам стоит провести, с каким приоритетом, и сколько разумно на них потратить. При планировании изменений мы опираемся на расчеты рисков и делаем выводы, нужны ли они вообще.
Мы обычно рекомендуем сотрудникам придерживаться следующих правил: — Мысли критически и не поддавайся эмоциям. Мошенники давят на твои чувства и заставляют совершать необдуманные поступки. Не ведись на их провокации. — Помни: компаниям незачем просить твои учетные данные. Такие письма приходят только от мошенников. — Обращай внимание на адрес ссылки. Домен может отличаться от реального всего одним символом, но этого достаточно, чтобы украсть данные. — Вместо перехода по ссылке из письма открывай уже известные ссылки или воспользуйся поиском нужного сайта в интернете. — Не открывай файлы и не переходи по ссылкам из писем, которых не ждал. — Проверяй антивирусом все файлы, которые скачиваешь. — Пользуйся менеджером паролей. Такие менеджеры автоматически заполняют пароли на известных им сайтах, поэтому, если менеджер не предлагает заполнить пароль, имеет смысл задуматься о корректности сайта. — Не переходи по ссылке, если она заканчивается на .zip и содержит знак @
И напоминаем им, что основным каналом коммуникации является корпоративный мессенджер, поэтому пришедшее на почту письмо от коллег должно вызывать опасения. В случае сомнений сотрудники всегда могут обратиться за консультацию в тематический канал команды ИБ, где мы рассмотрим кейс и подскажем, что делать.
Это да, безопасникам приходится интересно, каждый проект как отдельный челлендж:) мы еще в процессе убирания всего и вся за VPN, так что можно только удачи пожелать на этом пути
Мы и пошли по такому пути, и начали с Jira и Confluence, убрали их за корп VPN первыми. К сожалению, убирать по чуть-чуть пользователей технически не получится, это решило бы много проблем. Так что мы просто по-тихоньку всем выдавали корп VPN и накапливали FAQ. Сейчас у всех есть корп VPN, и мы без проблем можем убрать за него любую систему
Сайт, который открывался при переходе по ссылке в письме, был максимально похож на легитимный. Мы запрашивали и логин, и пароль, но сохраняли в базе только логины
Я выгрузила часть базы работающих сотрудников, чтобы провести учения, и загрузила эти данные в инструмент для проведения фишинговых учений. Внимательные коллеги в почте развернули информацию о получателе, и увидели там каждый только свое полное ФИО. По связке "полное ФИО" + "корпоративная почта" стали делать выводы, что унесли базу системы управления персоналом.
Отдельно еще раз подсвечу, что каждый увидел только свои персональные данные.
Эти же самые люди и в логинах пишут непотребства, по которым можно легко понять, что и пароль некорректный. У нас были такие кейсы, я их из статистики исключила.
Вы верно подметили, двухфакторная аутентификация — не панацея. Второй фактор тоже можно украсть, но сделать это несколько сложнее. Логины и пароли все еще ценны для систем, где двухфакторки нет и нет возможности ее настроить из-за технических или организационных особенностей.
Рассылка шла с поддельной почты команды Информационной Безопасности, внешне сотрудники видели легитимный домен. Мы не стали взламывать или имитировать взлом, так как решили, что злоумышленнику проще мимикрировать, чем заморачиваться со взломом.
При выборе дня и времени учений я опиралась на психологические факты и особенности компании. В пятницу вечером многие уже просто не за компьютером и не увидят письмо.
Отдельного процесса по антифишинг-обучению у нас нет. Мы затрагиваем этот момент в общем обучении по информационной безопасности: рассказываем, как определить фишинг, и что делать в случае фишинга или подозрений.
Мы проводили фишинговые учения, чтобы выявить слабые места, понять "масштабы трагедии" и делать выводы на основании этих данных выводы относительно новых проектов. А ещё проверяли свою реакцию.
После учений внедрили СЗИ, чтобы закрыть дыры.
Учения проводили "снаружи" и впервые, с помощью Gophish.
Полностью согласна. Люди — самое слабое звено в системе безопасности, именно поэтому мы и решили их проверить: чтобы знать, к чему быть готовыми, и как много можем потерять из-за человеческого фактора.
Проверки не отменяют остального ландшафта работы безопасника, а дополняют его и помогают делать выводы и принимать стратегические решения.
Мы воспринимаем фишинговые учения как метод получения быстрого и достоверного среза, какие активности и изменения нам стоит провести, с каким приоритетом, и сколько разумно на них потратить. При планировании изменений мы опираемся на расчеты рисков и делаем выводы, нужны ли они вообще.
Мы обычно рекомендуем сотрудникам придерживаться следующих правил:
— Мысли критически и не поддавайся эмоциям. Мошенники давят на твои чувства и заставляют совершать необдуманные поступки. Не ведись на их провокации.
— Помни: компаниям незачем просить твои учетные данные. Такие письма приходят только от мошенников.
— Обращай внимание на адрес ссылки. Домен может отличаться от реального всего одним символом, но этого достаточно, чтобы украсть данные.
— Вместо перехода по ссылке из письма открывай уже известные ссылки или воспользуйся поиском нужного сайта в интернете.
— Не открывай файлы и не переходи по ссылкам из писем, которых не ждал.
— Проверяй антивирусом все файлы, которые скачиваешь.
— Пользуйся менеджером паролей. Такие менеджеры автоматически заполняют пароли на известных им сайтах, поэтому, если менеджер не предлагает заполнить пароль, имеет смысл задуматься о корректности сайта.
— Не переходи по ссылке, если она заканчивается на .zip и содержит знак @
И напоминаем им, что основным каналом коммуникации является корпоративный мессенджер, поэтому пришедшее на почту письмо от коллег должно вызывать опасения. В случае сомнений сотрудники всегда могут обратиться за консультацию в тематический канал команды ИБ, где мы рассмотрим кейс и подскажем, что делать.
У нас так и вышло, баги устроили нам ловушку!