В обзоре рассмотрено несколько обучающих курсов из состава Awareness Center, разработанного компанией Phishman. Продукт будет интересен компаниям, понимающим, насколько важна грамотность сотрудников непрофильных подразделений в вопросе информационной безопасности. Возможность синхронизации со сторонними источниками информации позволяет собрать статистику об уровне компетенции сотрудников. А имеющиеся упражнения для самостоятельного выполнения и тесты в составе курсов позволяют сделать обучение сотрудников более результативным.
- Введение
- Курс «Вакцинация против фишинговых заражений»
- Курс «Парольная защита»
- Курс «Защита мобильных устройств»
- Выводы
Введение
В мире, где информационные технологии развиваются стремительно, вопрос информационной безопасности всегда актуален. Грамотная политика информационной безопасности в организации способна значительно сократить финансовые потери и репутационные риски.
Каким бы образом организация ни обеспечивала защиту инфраструктуры специализированными программно-аппаратными комплексами, нельзя забывать про человеческий фактор.
Социальная инженерия становится все более популярной, производятся атаки на рабочую почту сотрудников с помощью фишинговых писем, взламываются мобильные устройства, с помощью которых осуществляется подключение к сетям компании, подбираются пароли учетных записей из-за несоблюдения правил создания безопасного пароля. Все это становится возможным по причине неграмотности сотрудников организации. Так, например, по отчетам Positive Technologies, за 2016 год 27% из всех атак, применяемых злоумышленниками, относятся к методам социальной инженерии.
Рисунок 1. Распределение типов атак, применяемых злоумышленниками
Для решения задачи по анализу уровня знаний и дальнейшему обучению персонала эффективны специализированные системы, обеспечивающие автоматизацию этого процесса в организации.
В статье мы рассмотрим три наиболее популярных обучающих курса на базе Awareness Center от компании Phishman. Эта система позволяет автоматизировать анализ профессиональных знаний и навыков сотрудников в сфере информационной безопасности. Awareness Center производит сбор и анализ информации из различных источников, а также позволяет осуществить учебные атаки с последующим направлением сотрудников на курсы, имеющиеся в системе.
Курс «Вакцинация против фишинговых заражений»
Курс представляет собой теоретическую часть и практическую, подразумевающую тестирование, которое позволяет оценить уровень усвоения материала.
В начале курса дается определение термина «фишинг» и рассматриваются четыре основные техники его реализации.
Рисунок 2. Чтобы не попасться на уловки мошенников, необходимо знать, как они действуют
Обучающиеся узнают, что сообщения электронной почты могут содержать фишинговые ссылки, а также получат инструкции, как отличить поддельный сайт, на который направит вредоносная ссылка, от настоящего.
После теоретической части предоставляется возможность закрепить материал, выполнив несколько самостоятельных заданий по определению поддельного сайта.
Рисунок 3. Обучающимся предоставляется возможность проверить полученные знания
Также дается подробное объяснение, к чему может привести необдуманный ввод своих данных на подозрительном сайте. Вооруженные этой информацией, пользователи будут бережнее относиться к своим данным, что сократит риск их кражи злоумышленниками.
В курсе рассматривается техника рассылки электронных писем от имени государственных органов. Такой метод является очень действенным из-за его психологического воздействия на сотрудника организации, который может, не задумываясь об угрозе, открыть такое письмо и перейти по указанной в нем ссылке. После такого действия на компьютер пользователя может проникнуть вирусная программа-шпион, которая позволит злоумышленнику завладеть учетными данными.
Третий метод заключается в публикации фишинговых ссылок в различных социальных сетях.
В курсе рассматриваются примеры фишинговых ссылок и то, каким образом их можно отличить от настоящих. Далее пользователь должен выполнить второе упражнение по поиску фишинговых и верных ссылок для закрепления пройденного материала.
В конце теоретической части курса для пользователей освещены правила, которые необходимо соблюдать, чтобы не стать жертвой мошенников. По итогам пройденного курса необходимо сдать тест, подробные результаты которого пользователи увидят по окончании его выполнения.
Рисунок 4. Окно результатов выполнения тестирования по окончанию курса
Нажав кнопку «Обзор ответов», можно провести работу над ошибками.
Рисунок 5. Работа над ошибками
Курс «Парольная защита»
В начале курса пользователи видят неутешительную статистику взломов паролей аккаунтов. И знакомятся с основными требованиями к надежному паролю. Например, им напоминают, что нельзя использовать имена с фамилиями и прозвища в качестве пароля, аналогично для этого не подойдет дата рождения или номер какого-либо из документов.
Рисунок 6. Чтобы предотвратить взлом пароля, в курсе разъяснены основные правила его создания
Часто пользователь не задумываясь устанавливает пароль, аналогичный его логину, чем существенно облегчает работу злоумышленнику и увеличивает риск потери данных. Также головной болью для специалистов информационной безопасности организации могут стать пользователи, использующие тривиальные пароли в виде одинаковых или расположенных в один ряд символов.
В теоретической части курса учтены эти нюансы, во время обучения пользователям не только покажут, как создать сложный пароль, но и обучат технике, которая поможет его запомнить.
В курсе рассмотрено три способа создания сложного пароля. Самый первый – это замена букв цифрами, похожими по очертанию.
Рисунок 7. Сложные пароли нелегко запомнить. Создатели курса предлагают заменять некоторые символы на схожие по написанию
После этого обучающимся необходимо собственноручно создать надежный пароль.
Рисунок 8. В упражнениях можно применить полученные навыки на практике
Вторым из рассматриваемых способов является использование кодовой фразы для создания пароля, этот способ представляет весьма эффективный инструмент для создания сложного и одновременно легко запоминающегося пароля. Например, пользователь может использовать любимую пословицу для его составления.
Смысл третьего способа заключается в придумывании абсурдной и нелогичной фразы, написанной в латинской раскладке с применением цифр и спецсимволов.
Довольно часто в организации можно столкнуться с нарушением правил хранения паролей, запись на бумагу и размещение в очевидных местах под клавиатурой или монитором. Для исключения подобных ситуаций в теоретической части перечислены требования к использованию и правильному хранению паролей.
В конце курса необходимо пройти тест, результаты будут доступны по его завершению.
Курс «Защита мобильных устройств»
Многие организации практикуют предоставление своим сотрудникам корпоративных мобильных устройств для работы с конфиденциальной информацией, которые нередко используются для удаленного доступа к ресурсам компании. Но при этом большинство пользователей не знакомы с требованиями к его безопасности или не соблюдают элементарные правила.
Представленный курс научит правильному обращению с корпоративными мобильными устройствами и соблюдению необходимых мер безопасности при работе, а тест из 15 вопросов в конце курса позволит определить уровень компетенции сотрудника по данному вопросу.
Рисунок 9. Чтобы защитить мобильные устройства, необходимо обеспечить защиту на нескольких уровнях
В курсе выделено несколько основных правил, которых необходимо придерживаться. Для начала на устройстве должен быть установлен набор только необходимого программного обеспечения и надежный пароль для обеспечения его защиты.
Рисунок 10. В курсе описаны тонкости по установке пароля на ноутбуках
Чтобы обезопасить информацию и обеспечить доступность устройства, должен быть установлен антивирус, обновление баз антивируса должно осуществляться не реже одного раза в сутки. Также на ноутбуке рекомендуется использовать шифрование с помощью смарт-карт или eToken.
При работе с конфиденциальной информацией пользователю запрещается создавать на устройстве точки доступа Wi-Fi и подключаться к непроверенным беспроводным сетям.
Выводы
Как бы организации ни стремились к повышению уровня безопасности своих ресурсов посредством установки средств защиты, одним из основных факторов риска остается персонал. Особенно проблемно произвести обучение в компаниях с большим количеством сотрудников. Awareness Center от Phishman позволяет существенно упростить этот процесс, производя ложные фишинговые атаки на сотрудников, анализируя результат и перенаправляя пользователей на один из 20 курсов, имеющихся в составе системы. Это позволяет производить как систематическую проверку уровня осведомленности и знаний сотрудников в организации, так и разовое обучение для новых сотрудников.