Security awareness — больше, чем просто фишинг. Часть 2
В прошлой части я рассказала про три активности в рамках security awareness — CTF, quiz и квесты. Сегодня рассказ пойдет о не совсем классических вариантах обучения, но не менее интересных, при этом затрону и провальные истории.
Сериал
В первый год проведения наших «недель безопасности» было принято решение снять мини-сериал. Само собой, сериал должен был быть с образовательным смыслом и показывать сотрудникам основные угрозы и как нужно правильно поступать в различных ситуациях. В качестве основной сюжетной линии была выбрана история шпиона, который внедрился в компанию, разослал фишинговые письма и на протяжении нескольких серий пытался выведать конфиденциальную информацию.
Всего 4 серии по 15 минут. В каждой серии раскрывались отдельные проблемы: основы информационной безопасности, фишинговые письма, бесхозные флешки, обращение с конфиденциальными документами и носителями, блокировка компьютера и подобное.
Снять и смонтировать самостоятельно и без опыта крайне сложно, поэтому была приглашена профессиональная команда. Сериал снимался в офисе компании и главными героями были сотрудники. Лучших выбирал сам режиссер на кастинге. Все эти приготовления очень сплачивают и развлекают людей: вряд ли в обычной жизни кто-то может позволить себе сняться в сериале или фильме. Смеха ради, меня выбрали на роль глупой блондинки, но даже эту роль непрофессиональному актеру играть очень непросто. Сюжет был написан совместно с командой ИБ и сценаристом, таким образом, чтобы в нем был образовательный посыл и в то же время зрителю было интересно посмотреть следующую серию.
Советы из опыта:
Съемка сериала — это серьезное занятие, будьте готовы, что на 15 минут готового материала придется потратить несколько дней съемок.
Как и в истории с квестом, сценаристы не смогут сделать всю работу за вас, придется совместно думать над сюжетом, образовательными моментами и разными нюансами.
Лучше, чтобы хотя бы несколько ролей играли сотрудники ИБ, так будет достигнута цель — знакомство с командой. Не бойтесь показаться глупыми)
Игра «актеров». Если у ваших сотрудников нет актерского образования (а, скорее всего, так и есть), то итоговый сериал будет выглядеть довольно смешно. Когда сам снимаешься в сериале, кажется, что отлично вжился в роль, но когда смотришь это все со стороны — сразу становится видна разница между актерами и теми, кто играет в актеров. Поэтому у нас вышло даже хуже и смешнее, чем в ролике из сериала
Общий вывод — активность самая сложная по подготовке и одна из самых дорогих (закладывайте не меньше 3–4 млн руб. на короткий сериал), но вау-эффект вам обеспечен.
Плакаты
Один из самых классических методов повышения осведомленности. Выбираешь единую стилистику, конкретные темы, которые хочешь донести до сотрудников, и… приглашаешь дизайнера. Мы старались придумать не стандартные плакаты в формате «не болтай», а что-то оригинальное и с элементами именно нашего офиса (чтобы свое, родное). Вот примеры того, как это выглядело:
Такой способ донесения информации подходит, если большинство сотрудников находится в офисе. В текущее время удаленки нужно придумывать что-то другое. Можно плакаты ставить в качестве фона на компьютере, но это может вызвать больше негативный эффект, чем познавательный.
Лекции
Лекции от коллег, которые разбираются в тематике и умеют об этом рассказывать, всегда будут пользоваться популярностью. Мы стараемся постоянно принимать участие во внутренних DemoDay, рассказывая о новых достижениях и интересных продуктах внутри компании. В рамках недели безопасности тоже можно затронуть ряд тем, относящихся к информационной безопасности. Если хотите охватить как можно больше людей внутри компании, то стоит рассказать про те темы, которые затрагивают всех сотрудников — например, EDR или NGFW. Либо рассказать про те решения, которые помогли вам обнаружить реальные инциденты или атаки в рамках redteam/pentest.
Также в рамках лекций можно охватить технических специалистов компании, в этом случае тематику лекций можно поменять на то, какие технические сложности были при внедрении или разработке какого-то решения и как удалось это решить. У себя мы также делали доклад из серии web hacking 101 с базовым разбором, как и что можно ломать (конечно же, в рамках официальных программ bug bounty).
Для внешних лекций мы приглашали коллег из компаний в сфере ИБ, которые рассказали про различные интересные сценарии проникновения внутрь компании, в том числе такие, которые бывают в шпионских фильмах: удаленное копирование пропуска, проникновение через кладовку и прочее. Также интересные доклады есть у коллег из Антифишинга — разбор различных психологических паттернов и примеры того, на что может быть направлена та или иная фишинговая атака: желание помочь, жажда наживы, любопытство и другое.
Hackit
Идея этого задания казалась невероятно крутой, и одновременно мы думали, что она будет нести огромный эффект в образовательных целях. Но уже после сбора фидбека мы поняли, что большинство сотрудников просто прошли задания, поиграли, но ничего не вынесли из этого. И все равно, несмотря на это, считаю, что идея и реализация стоили того. Но не буду томить и расскажу подробнее.
Идея была основана на первых сериях сериала mr. Robot — когда главный герой загружал все ключевые теги о жертве в специальный софт и далее с его помощью перебирал все возможные пароли. Образовательная идея была в показе сотрудникам, что пароль должен быть полностью произвольным и не основан на какой-то личной информации. Для этого мы создали рабочий стол сотрудника и разместили на нем подсказки, которые что-то говорят о человеке, либо которые этот сотрудник мог использовать, когда придумывал свой пароль. И далее нужно было угадать пароль сотрудника. Подобную активность можно использовать в качестве около развлекательной, но не более.
Фильмы
Все любят фильмы, тем более — фильмы про хакеров. Так мы думали, когда запускали кино-вечера в рамках недели безопасности. Мы выбрали самые известные на наш взгляд фильмы про хакеров: «Взлом» и «Хакеры». Закупили пиццу, пиво, попкорн, сделали заранее анонсы и ждали огромную очередь на вход в конференц-холл!
По факту смотрели фильмы в уютной обстановке только безопасники и парочка увлеченных разработчиков :) Возможно, если как следует пропиарить эту активность, то это будет иметь право на жизнь. Обучающую составляющую можно тут поискать, но надо ли? ;)
Игра от Касперского
Уже не помню, когда и в какой момент мы наткнулись на KIPS (Kaspersky Interactive Protection Simulation), не знаю, есть ли сейчас какие-то аналоги, но формат довольно уникальный, поэтому стоит рассказать подробно. Тут есть информация от вендора, а здесь еще один неплохой обзор.
KIPS представляет из себя настольную игру, в рамках которой вы должны выстраивать систему защиты вашей компании и реагировать на те или иные атаки. Причем так же, как и в реальном мире, у вас есть ограниченный ресурс (деньги и время), а реальность меняется каждый ход. Игра рассчитана на senior-management и представителей от бизнеса. Приведу цитату от вендора: «В условиях реалистичных атак командам необходимо найти баланс между приоритетами технологического процесса, бизнеса и безопасности. Они анализируют данные и принимают стратегические решения на основе неполной информации и ограниченных ресурсов. Таким образом создается приближенная к жизни ситуация — в основе каждого сценария лежат события, которые могут произойти на самом деле».
Как это было у нас.
Во-первых, мы выбрали очный формат проведения (с карточками, как в настольной игре, и ведущими). Онлайн-формат не даст нужного погружения и возможности смотреть, как принимают решения ваши соперники. При этом мы заранее сами протестировали (как и всегда!) ускоренный формат в онлайне, чтобы понять, про что игра и насколько она нам нужна.
Игра длится около 2—2,5 часов, при этом лучше заранее сделать разделение по командам, чтобы в каждой из команд был кто-нибудь с техническим или около техническим бэкграундом, иначе будет сложно ориентироваться в незнакомых терминах.
Советы из опыта:
за счет того, что игра рассчитана на менеджмент, планировать встречу стоит сильно заранее
если приглашать людей на «игру» без детального объяснения, что это и зачем, то может оказаться, что практически никто не придет. Заранее продумайте, для кого это будет полезно и как привлечь к такой активности
как и говорила ранее, лучше оффлайн формат, тем более сейчас, когда все привыкли видеть друг друга только через экраны ноутбуков
Вывод: игра точно стоит времени и денег, чтобы ее провести, познакомить менеджмент с базовыми подходами безопасности и немного погрузить в проблематику. И бюджет на средства защиты будет немножко проще согласовывать).
Стикеры — наклейки и в телеграм
Все IT-шники любят стикеры. Кроме сотрудников helpdesk, которые вынуждены очищать ноутбуки от этих стикеров :). Мы несколько раз выпускали серию стикеров, при этом самое сложное было не брать обычные стереотипные изображения, связанные с информационной безопасностью (замОк, горящий экран и прочее). Также в период пандемии и тотального перехода рабочего общения в мессенджеры мы сделали стикеры для telegram, при этом изобразив в том числе и корпоративного бота, который следит за составом групп (у нас он называется Wiggum в честь шерифа из Simpsons).
Советы из опыта:
Стикерами в телеграм реально будут пользоваться, только тематику сделайте приближенную именно к вам.
Про наклейки мало что можно добавить, единственное, смотрите на материал, из которого они сделаны, чтобы можно было относительно безболезненно удалить их с ноутбука.
Видеоролики
Если у вас в офисе есть какие-то мониторы, где транслируется важная информация или новости, то отлично могут подойти видеоролики. Тут, в отличие от сериала, мы сделали это в мультяшном формате, но при этом все еще стараясь ухватить какие-то уникальные элементы офиса или сделать персонажей похожим на кого-то из сотрудников.
Тематики стандартные: не приклеивайте стикеры с паролями на монитор, блокируйте компьютер, используйте шредер для уничтожения важной информации, etc.
Делайте короткие мультики и подходите с креативом, тогда можно вызвать положительный отклик у коллег.
Если у вас есть корпоративный портал, то в том числе для новых сотрудников такие ролики станут хорошим познавательным материалом.
Outro
На этом у меня все, как вы видите, security awareness можно и нужно делать с креативом, хоть это и сильно сложнее, чем надоевшие всем опросники, стандартные брошюры и тесты.
А какие у вас есть подходы и какой из форматов вам понравился больше всего?