Комментарии 27
Интересный подход. Клин клином, как говориться:)
Проблема: бухгалтер больше не открывает вложения. Бухгалтерия стоит.
Может, стоит всё-таки всякие vbs/exe слать, а не doc'и? Иначе как бухгалтер может отличить счёт на оплату от вируса на оплату расшифровки диска?
Вопрос резонный. Более того, у некоторых организаций, даже у крупных, письма со счетами выглядят так, что даже я бы не поручился, где вредонос, а где счёт.
Но, с другой стороны, vbs и exe в почте – это совсем мрак, их там в принципе быть не должно. Блочить на уровне сервера, запрещать и не пущать.
Я бы назвал описанный в статье метод «общим повышением бдительности». Это дополнение к совету «смотрите внимательно, что вы открываете. При малейших сомнениях зовите айтишника, он не кусается».
Также, в целом, неплохо бы двигаться в сторону перемещения счетов из почты в системы электронного документооборота, где им и место.
А так, конечно, можно и vbs и доки в проект добавить, дел на пару минут )
Но, с другой стороны, vbs и exe в почте – это совсем мрак, их там в принципе быть не должно. Блочить на уровне сервера, запрещать и не пущать.
Я бы назвал описанный в статье метод «общим повышением бдительности». Это дополнение к совету «смотрите внимательно, что вы открываете. При малейших сомнениях зовите айтишника, он не кусается».
Также, в целом, неплохо бы двигаться в сторону перемещения счетов из почты в системы электронного документооборота, где им и место.
А так, конечно, можно и vbs и доки в проект добавить, дел на пару минут )
Я к тому, что открыть docx файл — not a big deal. По-крайней мере на своей машине, я обычно открываю. Мне до офиса с виндами, конечно, как до луны, и для меня это "странный формат ничем не лучше pdf или bmp".
Не под винду – конечно, в целом безопаснее, но шансы вредоносов всё равно остаются.
Тем не менее, вики утверждает, что доля Windows в мире более 80%, и большая часть из ПК под ней – компьютеры конечных пользователей. Выбор docx, думаю, всё же достаточно актуален.
В любом случае, проект на данный момент на стадии быстрого прототипа, всегда можно что-то изменить или добавить. Лично для моих условий выбор форматов вполне актуальный – были прецеденты.
Опять же, насколько мне известно, такие вещи, как подмена типа файла, до сих пор возможны.
Тем не менее, вики утверждает, что доля Windows в мире более 80%, и большая часть из ПК под ней – компьютеры конечных пользователей. Выбор docx, думаю, всё же достаточно актуален.
В любом случае, проект на данный момент на стадии быстрого прототипа, всегда можно что-то изменить или добавить. Лично для моих условий выбор форматов вполне актуальный – были прецеденты.
Опять же, насколько мне известно, такие вещи, как подмена типа файла, до сих пор возможны.
>Но, с другой стороны, vbs и exe в почте – это совсем мрак, их там в принципе быть не должно. Блочить на уровне сервера, запрещать и не пущать.
Вероятно, наши безопасники (те, что пишут обучающие курсы, если быть точным) думают как вы. Если бы они думали как параноик, они бы видимо знали, что практически под все более-менее сложные форматы файлов уже были созданы эксплойты. Ну т.е. не под форматы конечно — а под те программы, что их обычно открывают в более-менее стандартно настроенной системе. Т.е. скажем zip, jpeg — это два очевидных случая, когда специально созданный файл может навредить вполне, проэксплуатировав уязвимость в условном 7zip или просмотрщике картинок. Таких экскплойтов имеется в ассортименте. Поэтому черные списки, такие как этот — в общем случае не решение.
Вероятно, наши безопасники (те, что пишут обучающие курсы, если быть точным) думают как вы. Если бы они думали как параноик, они бы видимо знали, что практически под все более-менее сложные форматы файлов уже были созданы эксплойты. Ну т.е. не под форматы конечно — а под те программы, что их обычно открывают в более-менее стандартно настроенной системе. Т.е. скажем zip, jpeg — это два очевидных случая, когда специально созданный файл может навредить вполне, проэксплуатировав уязвимость в условном 7zip или просмотрщике картинок. Таких экскплойтов имеется в ассортименте. Поэтому черные списки, такие как этот — в общем случае не решение.
Проблема в том, что, получив Ваше дрессировочное письмо
А получив реальное вредоносное письмо, они его откроют и сделают всё, что там написано. Там же ведь не было крупными буквами
где крупными буквами напишем «НЕ НАДО ОТКРЫВАТЬ ДОКУМЕНТЫ ИЗ ТАКИХ ПИСЕМ. Будьте внимательнее и осторожнее».ваши подопечные поохают: вот как бывает, надо же!!..
А получив реальное вредоносное письмо, они его откроют и сделают всё, что там написано. Там же ведь не было крупными буквами
«НЕ НАДО ОТКРЫВАТЬ ДОКУМЕНТЫ ИЗ ТАКИХ ПИСЕМ. Будьте внимательнее и осторожнее».— значит всё нормально.
Интересное мнение.
Думаете, нужно добавить в тренировочное «И ДРУГИЕ ТОЖЕ НЕ НАДО»?
Конечно, решение из статьи – не панацея, покрывающая всё и вся. Естественно, в голове у «подопечных» уже должны быть хоть раз объяснённые основы о том, что из писем вообще ничего не надо открывать и уж тем более выполнять, не подумав, а лучше – не посоветовавшись.
Тоже не панацея, но шансы на выживание – повышает.
Думаете, нужно добавить в тренировочное «И ДРУГИЕ ТОЖЕ НЕ НАДО»?
Конечно, решение из статьи – не панацея, покрывающая всё и вся. Естественно, в голове у «подопечных» уже должны быть хоть раз объяснённые основы о том, что из писем вообще ничего не надо открывать и уж тем более выполнять, не подумав, а лучше – не посоветовавшись.
Тоже не панацея, но шансы на выживание – повышает.
Я не гуру инф. безопасности, но если речь о том, как защититься от «слепых» шаблонных атак, мой скромный опыт показывает, что достаточно иметь уникальную среду, где взлом «по шаблону» не сработает.
В первую очередь — это технические меры, организационные тоже могут быть эффективными.
Допустим, мы не хотим использовать какой-то тяжелый антивирус…
Наверное, операционную систему (группы, права и т. п.) можно настроить грамотно, наверное, есть проги-песочницы-мониторы-скрипты, которые могут рамки задавать и письмо админу скинуть, если документ лезет куда не надо. Тут, конечно, поле для творчества системного программиста…
Сюда же можно отнести переход на Linux.
Вынесение критически важных функций на физически другую машину.
Инструктаж, конечно тоже нужен периодический.
В первую очередь — это технические меры, организационные тоже могут быть эффективными.
Допустим, мы не хотим использовать какой-то тяжелый антивирус…
Наверное, операционную систему (группы, права и т. п.) можно настроить грамотно, наверное, есть проги-песочницы-мониторы-скрипты, которые могут рамки задавать и письмо админу скинуть, если документ лезет куда не надо. Тут, конечно, поле для творчества системного программиста…
Сюда же можно отнести переход на Linux.
Вынесение критически важных функций на физически другую машину.
Инструктаж, конечно тоже нужен периодический.
Самый лучший эффект принесет монетизация. Тот, кто открыл шкатулку — получает штраф, тот кто продержался до конца игр безопасников без штрафа — получает премию.
:D
Надежнее всего — открывать вложения в песочнице без доступа к сети, печатать в виртуальный принтер, песочницу зачищать.
:D
Надежнее всего — открывать вложения в песочнице без доступа к сети, печатать в виртуальный принтер, песочницу зачищать.
Да, монетизация периодически приходит в голову, но уж слишком сурово.
Песочницы – вариант, близкий к идеальному, но с реализацией этого метода на практике, которая была бы прозрачна и удобна для пользователя, не сталкивался ни разу, и представить затрудняюсь. У военных разве что. Но даже там IT для сотрудников, а не сотрудники для IT.
Песочницы – вариант, близкий к идеальному, но с реализацией этого метода на практике, которая была бы прозрачна и удобна для пользователя, не сталкивался ни разу, и представить затрудняюсь. У военных разве что. Но даже там IT для сотрудников, а не сотрудники для IT.
Обязательно нужны все другие меры, это факт.
Тем не менее, обучение, ИМХО, гораздо лучше работает не в формате «опять этот чорт вещать чота припёрся», а «ох ты, а ведь и правда бывает, какой я молодец, что не открыл»
Тем не менее, обучение, ИМХО, гораздо лучше работает не в формате «опять этот чорт вещать чота припёрся», а «ох ты, а ведь и правда бывает, какой я молодец, что не открыл»
Возможно стоит рассылать действительно «вирус», который вы можете разблокировать удалённо одним движением руки. При этом нужно имитировать простой работ и потери денег. Словно вам пришлось потратить денег на разблокировку. С какого-то по счёту раза просить компенсировать эти расходы работника.
АПДЕЙТ: Может быть даже не вирус рассылать, а сигнализатор, что человек открыл вложение. А вы уже удалённо имитируете вирус.
АПДЕЙТ: Может быть даже не вирус рассылать, а сигнализатор, что человек открыл вложение. А вы уже удалённо имитируете вирус.
Боюсь, что такие действия уже довольно однозначно можно классифицировать по ст. 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ». Вред от использования здесь налицо. Даже если согласовано с начальством, несогласны могут быть собственник или какой-нибудь совет директоров.
Почему однозначно? Слово вирус я написал в кавычках. Вреда нет. Согласовывать, конечно, обязательно.
Ну, я понимаю так, что имитировать простой без практического простоя невозможно. По факту, это причинение вреда.
Или вы имеете в виду что-то вроде:
IT в трекере рабочего времени объявляет X часов на устранение проблемы «вируса», при этом в закрытом трекере для избранных (IT, начальство, согласованная процедура внутренним секретным документом, NDA, блабла) это время не засчитывается как рабочее у IT и время простоя у сотрудника, а записывается чем-то вроде «внутренние корпоративные процедуры»?
Так, наверное, лучше с т.з. УК, но организационно как-то чересчур проблемно.
Или вы имеете в виду что-то вроде:
IT в трекере рабочего времени объявляет X часов на устранение проблемы «вируса», при этом в закрытом трекере для избранных (IT, начальство, согласованная процедура внутренним секретным документом, NDA, блабла) это время не засчитывается как рабочее у IT и время простоя у сотрудника, а записывается чем-то вроде «внутренние корпоративные процедуры»?
Так, наверное, лучше с т.з. УК, но организационно как-то чересчур проблемно.
Я полагаю, что надо не просто тренировать пользователей. Надо фиксировать факт открытия вложения — и вставлять пистон тому, кто открыл.
Как вариант — прислать пользователю инструкцию типа той, что присылают злодеи. И если пользователь выполнил её (скачал файл по указанной ссылке, запустил его) — то вставлять пистон. При этом пользователь не открутится фразой «оно само» — скачанный и запущенный файл составил отчёт о действиях пользователя.
Ну, наказывать надо не с первого раза — а только тех, кто не понял ни с первого раза, ни с пятого.
Как вариант — прислать пользователю инструкцию типа той, что присылают злодеи. И если пользователь выполнил её (скачал файл по указанной ссылке, запустил его) — то вставлять пистон. При этом пользователь не открутится фразой «оно само» — скачанный и запущенный файл составил отчёт о действиях пользователя.
Ну, наказывать надо не с первого раза — а только тех, кто не понял ни с первого раза, ни с пятого.
Del.
Если бухгалтеры имеют на своих компьютерах возможность получать внешнюю почту значит в организации информационной безопасности просто нет. Прикладывание подорожника (описанные в статье методы напоминания об опасности вложений) к открытым переломам бесполезно.
Вы невнимательно читали статью.
Во-первых, речь далеко не только о бухгалтерах.
Если же в организации вообще никто не может окрывать почту, зачем почта? Или вы предлагаете ручную модерацию входящих силами IT-отдела?
Во-вторых, предлагаемый метод может принести плоды только в комплексе с другими мерами, это очевидно, и в статье тоже указано.
Во-первых, речь далеко не только о бухгалтерах.
Если же в организации вообще никто не может окрывать почту, зачем почта? Или вы предлагаете ручную модерацию входящих силами IT-отдела?
Во-вторых, предлагаемый метод может принести плоды только в комплексе с другими мерами, это очевидно, и в статье тоже указано.
- Внимательно :)
- Значимые сегменты сети (бухгалтерия, финансисты и т.п ) внешнюю почту получать не должны (внутреннюю никто не отменял конечно)
- Модерировать письма в бухгалтерию разумеется надо, но Вы написали "силами IT-отдела"? Если у Вас подразделение информационной безопасности находится в структуре IT-отдела то опять таки информационной безопасности у Вас нет — ибо информационная безопасность однозначно должна находиться в структуре Управления Безопасности.
Имеет смысл использовать реально существующие (и разные!) названия организаций и органов
Не рекомендую. Описан случай, когда компания, от имени которой производили рассылку, выкатила претензию за ущерб репутации
И главное. Все говорят о секретарях и бухгалтерии. Но по статистике готовы открыть письмо странное — менеджеры по продажам и руководство. Главное, чтобы там завлекательное предложение было
Не рекомендую. Описан случай, когда компания, от имени которой производили рассылку, выкатила претензию за ущерб репутации
Да, спасибо за замечание. Тоже об этом думал. В текущем виде предполагается, что рассылка будет только внутрикорпоративная, а названия компаний взяты из списка типа «300 самых распространённых названий», так что одноначно идентифицировать компанию в текущем виде письма невозможно.
И главное. Все говорят о секретарях и бухгалтерии. Но по статистике готовы открыть письмо странное — менеджеры по продажам и руководство. Главное, чтобы там завлекательное предложение было
Тоже верно. Бухов вспоминаю как пример самый распространённый, на практике открыть гадость может кто угодно.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Спам как инструмент защиты