Благодаря обучению сотрудников и тренировке их навыков компании могут повысить свой уровень защищённости. Хорошо обученный сотрудник поможет решить те проблемы, которые раньше закрывались прежде всего за счёт СЗИ, например через анализ кода, двухфакторную аутентификацию (2FA) или EDR / XDR. Обучение особенно актуально сегодня, когда необходимость срочного перехода на отечественные СЗИ может временно снизить уровень защищённости компаний.
- Введение
- Как обучение сотрудников может повысить эффективность СЗИ
- 2.1. 2FA
- 2.2. Anti-APT
- 2.3. EDR / XDR / САЗ
- 2.4. SOAR
- 2.5. Анализ кода
- Выводы
Введение
Из-за новых требований по импортозамещению и ухода из России десятков ИТ-компаний миграция на отечественные продукты для многих команд безопасности превратилась в задачу, которую нужно решать в срочном порядке.
Проблема заключается не в отсутствии аналогов: для всех основных средств защиты информации есть хотя бы один, а чаще несколько вариантов замены зарубежных средств 2FA, анализа кода, мониторинга действий сотрудников, поиска уязвимостей, EDR / XDR, MDM, Sandbox, SWG, Vulnerability Assessment Tools (DevOps) и WAF.
Основная проблемная задача связана с длительным переходным периодом внедрения новых СЗИ. Весь процесс целиком, начиная с закупки и пилотирования и заканчивая приёмно-сдаточными испытаниями, может затянуться на месяцы. Всё это время уровень защищённости компании будет ниже, чем должен быть после внедрения СЗИ.
Альтернатива этому — компенсировать временное ослабление технических и программных средств за счёт обучения сотрудников. Его можно провести в короткий срок. Если замена инфраструктурных СЗИ займёт не менее 6 месяцев, то обучить людей можно всего за 5 дней.
Информацией о том, как с помощью знаний и навыков людей повысить эффективность технических средств защиты и укрепить безопасность организации на всех уровнях, с нами поделились специалисты компании «Антифишинг».
Как обучение сотрудников может повысить эффективность СЗИ
Чтобы оценить, как именно развитие навыков сотрудников может стать альтернативой внедрению СЗИ или усилить технические средства во время миграции на отечественные аналоги, стоит вместо вопроса «На что заменить зарубежный продукт?» начать с другого: «Какие проблемы мы хотим закрыть?»
Для иллюстрации разберём пять востребованных классов решений.
2FA
Для чего нужен класс решений: службы ИБ внедряют технологии 2FA для более эффективной защиты учётных записей от несанкционированного проникновения, однако люди могут не до конца понимать их значение и не уметь правильно пользоваться токенами.
Как эти проблемы можно решить с помощью обучения сотрудников: для того чтобы защита аккаунтов реально работала, нужно научить людей выбирать и хранить пароли, а также правильно пользоваться двухфакторной аутентификацией.
Каким будет эффект: сотрудники научатся пользоваться технологиями 2FA так, чтобы не отдавать мошенникам коды двухфакторной аутентификации.
Anti-APT
Для чего нужен класс решений: технические решения этого класса предназначены для выявления признаков целевой атаки. При этом если в бюджет хорошей APT заложен обход любых средств защиты, то её не удастся зафиксировать, по крайней мере на момент её проведения.
Как эти проблемы можно решить с помощью обучения сотрудников: людей можно научить выявлять признаки подозрительных ситуаций и возможных целевых атак. Это позволит определить и заблокировать атаки, если их не обнаружат технические средства.
Каким будет эффект: сотрудники смогут выявлять признаки подозрительных ситуаций и возможных целевых атак.
EDR / XDR / САЗ
Для чего нужен класс решений: команды безопасности используют такие СЗИ, чтобы проактивно выявлять угрозы на разных уровнях инфраструктуры, реагировать на них и противодействовать сложным атакам. Однако если злоумышленникам удаётся обойти средства защиты, они могут на время остаться невидимыми и воспользоваться этим периодом для проникновения и закрепления в организации.
Как эти проблемы можно решить с помощью обучения сотрудников: необходимо объяснить коллегам, насколько важна их бдительность сейчас и ценность их вклада в безопасность компании, сделать так, чтобы подозрительные письма со всеми вложениями нажатием одной кнопки отправлялись из почтового клиента сотрудника сразу в SOC для проверки и расследования возможной атаки.
Каким будет эффект: хорошо обученный сотрудник сообщает команде безопасности об атаках и сам помогает проактивно выявлять инциденты.
SOAR
Для чего нужен класс решений: решения класса SOAR позволяют управлять системами безопасности, охватывая в том числе сбор данных. Ограничителем является то, что источниками событий по безопасности являются журналы регистрации и другие технические СЗИ. Атаки, в которых не участвуют вредоносные программы, не поступают на вход SOAR-системы и не могут быть обработаны.
Как эти проблемы можно решить с помощью обучения сотрудников: обученные работники умеют выявлять подозрительные сообщения и сообщать о них, таким образом формируя поток данных. Служба безопасности получает все исходные подозрительные сообщения для детального анализа и применения соответствующих мер защиты.
Каким будет эффект: сотрудники начнут самостоятельно генерировать внутренний социоинженерный поток Threat Intelligence.
Анализ кода
Для чего нужен класс решений: автоматизированные анализаторы применяются для проверки на наличие уязвимостей и рисков безопасности, однако они не могут выявить допущенные логические бреши, а ресурсов команды защиты не хватает на ручные проверки. ПО проверяется уже после написания приложений. В результате компания может выпустить небезопасные продукты.
Как эти проблемы можно решить с помощью обучения сотрудников: разработчикам следует дать агрегированные требования по безопасности на понятном для них языке и в их рабочей среде, а также обучить тому, как именно реализовать эти требования.
Каким будет эффект: разработчики научатся реализовывать требования по ИБ при создании автоматизированных систем и применять их на практике в зависимости от используемого стека технологий.
Выводы
Предложенные примеры показывают, как обучение сотрудников и формирование у них необходимых навыков могут стать альтернативой техническим средствам или усилить СЗИ.
Что можно сделать уже сейчас, особенно в условиях, когда замена зарубежных продуктов на российские может временно снизить уровень защищённости компании? Прежде всего нужно выбрать приоритетные классы решений — с точки зрения критической значимости и рисков — и в рамках этих приоритетов оценить, как обучение сотрудников сможет помочь решить проблемы до, в момент и даже после перехода на альтернативные СЗИ.