За что отвечает cyber security awareness
Security Awareness — программы повышения осведомленности
6 лучших практик защиты электронной почты для сотрудников
Программы повышения осведомленности
Security Awareness или программа повышения осведомленности – это обучение по вопросам информационной безопасности, которое позволит расширить возможности ваших сотрудников. Такая программа предназначена для сотрудников с доступом к Интернету в рамках своей работы (например, через веб-сайт или электронную почту).
Чем больше сотрудники уполномочены и осведомлены о том, как обрабатывать информацию, которая должна проходить через протоколы безопасности, тем меньше они подвержены дорогостоящим инцидентам безопасности, которые могут дать хакерам сквозной доступ к вашим данным и сети.
Осведомленность о безопасности — это знания и отношение сотрудников к защите физических и особенно информационных активов организации. С помощью тренингов по безопасности ваши сотрудники получат новые знания о безопасности, кибер-угрозах и конфиденциальности в Интернете.
Сотрудники смогут общаться по электронной почте более безопасно и избегать случайной утечки данных.
Security Awareness по-взрослому: как закрыть уязвимость к фишингу
Продолжаем цикл статей о Security Awareness или, выражаясь простым языком, об обучении своих сотрудников противодействию фишинговым атакам. Часто такое обучение реализуется на коленке, но по-настоящему эффективным оно может быть только если перерастает в полноценный комплексный процесс на уровне всей организации. С регулярными письмами счастья (а также жадности, тревоги, любопытства и прочих атрибутов фишинга). О том, как мы это себе представляем и как уже реализуем, рассказываем под катом.
Сначала краткое повторение материала, для тех, кто не читал предыдущую статью. В 2016 году во всем мире произошел всплеск фишинговых атак. Злоумышленники поняли, что намного проще атаковать сотрудников предприятий, чем пытаться пробить периметровые средства защиты, так как люди, в отличие от машин, обладают весьма уязвимой системой — психикой.
Вот так выглядело письмо: 
Простейший вариант эксплуатации данного вектора — замена исходной строки максимально похожей, например, rtk-solar.ru вместо rt-solar.ru. Также очень часто используются гомоглифы. Гомоглиф — одна из двух или более графем, знаков или глифов с формами, которые или кажутся идентичными, или не могут быть дифференцированы быстрым визуальным осмотром. Например, русская «а» и английская «a» — гомоглифы. Другие примеры гомоглифов: 
Источник: https://helpugroup.ru/kak-legko-i-prosto-sgenerirovat-sotni-fishingovyh-domenov
Также существуют дополнительные катализаторы атаки. Вот когда вы последний раз проверяли на надежность ссылки или вложения в письме, полученном от своего руководителя? А если в письме еще есть слова «срочно», «сегодня», «быстро», то с вероятностью 97% сотрудник, которому такое пришло, забудет обо всем на свете и станет легкой добычей для злоумышленников. Например, одному из клиентов пришел фишинг, в котором в кратчайшие сроки требовалось приступить к исполнению приказа ЦБ РФ.
Письмо содержало архив, при открытии которого пользователь видел следующее:
Тем временем в фоновом режиме на компьютер скачивался и загружался вредонос…
Если наличие фишинговых атак считать за проблему №1, то как это ни странно, проблемой №2 является противодействие проблеме №1. Почему так? Потому что службы ИБ компаний понимают и видят проблему, но, как правило, решают ее устаревшими способами. Например, привычно посылают сотрудников на обучающие курсы на несколько дней.
У очных курсов есть главная проблема – нельзя понять, как пользователи применяют полученные знания на практике.
Так как построить эффективное обучение сотрудников?
Теоретическая часть. Обучающий материал должен:
• постоянно находиться в актуальном состоянии.
• быть в аудио-видео-текстовом формате и обладать интерактивностью (от этого напрямую зависит качество восприятия и усвоения информации сотрудниками).
• обладать тестовой частью для проверки полученных знаний.
Практическая часть. Отработка навыков – обязательный элемент программы. И лучше всего, если она происходит в «боевых условиях», то есть на рабочем месте и в той почтовой системе, которая установлена на предприятии.
Чтобы реализовать такую систему обучения в рамках компании потребуется:
• выделить железный/виртуальный сервер.
• купить домен и настроить mx-/ptr-запись.
• проверить наличие IP-адреса в черных списках.
• развернуть почтовый сервер, на котором нужно настроить SPF-политику, DKIM и DMARK.
После этого мы будем полностью уверены, что письма будут доходить до конечных пользователей. Но и это еще не все! ©
Следующим шагом будет настройка получения отчетности по небезопасным действиям пользователей. Нужно отслеживать, какие пользователи открыли письмо, перешли по ссылкам из вредоносного письма, а какие открыли вложение.
В реальных атаках запросы мошенников на такие действия выглядят, например, так:
Источник: https://vulners.com/securelist/SECURELIST:FDF0BE3C516F8E6F5C35F28D01515BEB
Или вот так:
Источник: https://vulners.com/securelist/SECURELIST:FDF0BE3C516F8E6F5C35F28D01515BEB
После того, как уже была реализована техническая часть, остается самое сложное — нужно правильно организовать наполнение контентом шаблонов писем. Идеальная ситуация, это когда администраторы системы отслеживает статистику и примеры цифровых атак на другие компании и конструируют имитированные атаки в соответствии с наиболее опасными примерами. Только в этом случае тренировочная среда для людей будет приближена к реальной.
Теория теорией, а что на практике? Несколько слов о нашем опыте
Если собрать воедино весь материал, то получается, что для построения собственной обучающей антифишинговой системы требуется большое количество ресурсов, которые не каждая компания сможет выделить. Отвечая на запрос таких наших заказчиков, мы реализовали платформу Security Awareness, которая является частью экосистемы управляемых сервисов кибербезопасности Solar MSS.
Для проверки и тренировки навыков платформа позволяет имитировать самые опасные и реалистичные цифровые атаки на сотрудников. Основной источник шаблонов для таких атак — образцы, полученные центром мониторинга и реагирования на кибератаки Solar JSOC в рамках собственных услуг в сфере информационной безопасности и в ходе обмена данными о кибератаках со сторонними вендорами и сервис-провайдерами. Психологическая классификация и глубокий анализ реальных атак позволяют системно тренировать навыки сотрудников.
Обучающий и проверочный контент платформы обновляется ежемесячно. Специалисты службы безопасности заказчика управляют параметрами работы платформы: выбирают группы пользователей, периодичность обучения и тренировки навыков, ведут эти процессы вручную или полностью автоматизированно. Руководители службы безопасности получают детальные отчеты с полной статистикой по уровню знаний, опасными действиям и рейтингу сотрудников. Система накапливает и показывает данные по обнаруженным уязвимостям в операционных системах, браузерах, плагинах, почтовых клиентах и офисных приложениях у сотрудников, которые вели себя небезопасно. Это помогает выбрать приоритеты в процессах управления уязвимостями.
Конечно, платформа — это только один из способов решения проблемы. Но тема важная и просто так проходить мимо уже нельзя.
И теперь вопрос к вам: как вы боретесь с фишингом в вашей компании?
Что такое Security Awareness (обучение осведомленности о кибербезопасности) и почему это так важно?
В вашем бизнесе есть сотрудники? Если это так, то кибербезопасность (и осведомленность о ней) имеют решающее значение для вашего выживания в отрасли, где доминирует растущая кибер-преступность. Конечно, большинство людей знают о дорогостоящих кражах личных данных и регулярных взломах безопасности в корпоративном секторе, которые, кажется, появляются в новостях почти каждый день. Организации внедряют межсетевые экраны, комплексные системы защиты от кибербезопасности и сложные ИТ-протоколы, чтобы обезопасить себя от сетевых угроз.
Насколько это помогает? Без внедренной культуры осведомленности и понимания требований безопасности эти причудливые и дорогие системы не могут в полной мере защитить системы организации.
В конце концов, ваши сотрудники являются самым слабым звеном вашей организации в области кибербезопасности. Это называется «человеческий фактор». Преступники знают, что самый простой способ получить доступ к защищенным сетям или украсть данные — это нацелиться на людей, которые уже имеют доступ, и украсть их учетные данные для входа в систему и другую важную информацию.
Почему важна осведомленность о кибербезопасности?
Знаете ли вы, что по данным FraudWatch International 95% нарушений кибербезопасности происходят из-за ошибки пользователя? Вдобавок ко всему, только 38% глобальных организаций заявляют, что они готовы выдержать направленную кибератаку.
И что еще хуже, до 54% компаний говорят, что они испытали одну или несколько атак за последние 12 месяцев.
Социальная инженерия является в настоящее время любимой тактикой среди киберпреступников – применяется психологическое манипулирование жертвами, чтобы убедить их добровольно или невольно сдать личные данные, которые затем используются для преступных целей. Еще одним известным средством является фишинг, при котором фальшивые электронные письма или ссылки распространяются на сотрудников, которые затем копируют свои учетные данные. Фактически, 95% кибератак являются результатом фишинг-мошенничества, поэтому обучение сотрудников крайне важно.
Наряду с этим, вредоносные программы также являются постоянной угрозой, поскольку люди загружают приложения или программное обеспечение, предназначенное для компрометации их устройств или обеспечения доступа к сети хакерам.
Какие сотрудники должны пройти курсы повышения осведомленности о кибербезопасности?
Ваши сотрудники — ваша последняя и основная линия защиты от интернет-преступлений. Именно здесь начинается обучение осведомленности о кибербезопасности — обучение ваших сотрудников знаниям и навыкам, необходимым им для защиты от криминальных элементов.
Любой сотрудник, имеющий доступ к компьютеру или мобильному устройству, связанному с работой, должен пройти тщательную подготовку по вопросам кибербезопасности. Это означает почти всех, потому что любой пользователь может стать целью. На их личных сотовых телефонах могут храниться данные, которые можно использовать для доступа к корпоративным сетям. Или, если сотрудник становится жертвой кражи личных данных, его уникальная информация может быть использована для создания ложных профилей, которые ссылаются на ваш бренд, что позволяет совершать множество мошеннических действий.
Предоставляя информацию о кибербезопасности и обучая всех своих сотрудников, вы повышаете шансы поймать снизить вероятность мошенничества или атаки до того, как она будет полностью реализована, сводя к минимуму ущерб вашему бренду и снижая стоимость восстановления.
Какие темы следует освещать в обучении киберзащите?
Любое надлежащее обучение киберзащите должно охватывать такие элементы, как:
Тренинги по повышению безопасности и тренинг по сетевой безопасности всегда должны основываться на реальных симуляциях атак, соответствующих последним криминальным тенденциям. Хакеры постоянно совершенствуют свои подходы и технологии, поэтому ваша компания всегда должна повышать уровень своей подготовки, чтобы уязвимость оставалась на низком уровне.
Как я обучаю сотрудников кибербезопасности?
Не соглашайтесь на любой готовый учебный модуль или базовый веб-курс. Целесообразно инвестировать в профессиональных экспертов по осведомленности о кибербезопасности, которые могут работать непосредственно с вашей организацией. Этот вид специального обучения позволяет им разрабатывать стратегию защиты, которая учитывает вашу уникальную корпоративную структуру, чувствительность данных и потребности сотрудников.
Осведомленность о безопасности может быть подкреплена тем, что сотрудникам отправляют имитирующие фишинговые и вредоносные сообщения, чтобы узнать, как они реагируют, а затем проводят целевое обучение для тех, кто не отвечает безопасным образом.
Одна из ловушек, в которую попадают некоторые компании, — это проведение тренингов по безопасности в масштабах всей организации, а затем мысль о том, что участие в едином курсе защищает их и их сотрудников в дальнейшем. Однако обучение защите от кибербезопасности должно быть постоянным вложением в вашу защиту. Каждый год появляются новые угрозы, кодируется новое вредоносное ПО и разрабатываются новые фишинговые схемы. Если ваша команда не узнает об этих изменениях и не готова их обработать, риск успешной атаки возрастает до тех пор, пока атака не станет неизбежной.
Да, важно иметь правильное программное обеспечение и процедуры для обеспечения безопасности, но никогда не допускайте ошибки, упуская из виду обучение ваших сотрудников и создавая среду осведомленности о кибербезопасности на всех уровнях организации.
Не экономьте на этих инвестициях, так как они могут быть самыми важными, которые вы можете сделать, чтобы ваш бизнес был безопасным и сильным.
Сколько стоит обучение осведомленности о кибербезопасности?
Расходы на обучение будут широко варьироваться в зависимости от организации-поставщика, их критериев и количества персонала, проходящего обучение. Некоторые расходы, входящие в стоимость, включают материалы курса, штат инструкторов, сеансы сотрудников, тестирование, отчетность и другие полностью управляемые услуги.
Конечно, масштаб, как и область деятельности организации будет соответственно изменять стоимость обучения, так как для обеспечения соответствия отраслевым нормам уровень подготовки, который может потребоваться вашим сотрудникам, будет выше.
Security awareness — больше, чем просто фишинг. Часть 1
Мы в QIWI на протяжении последних 7 лет проводим недели безопасности, в рамках которых освещаем различные аспекты информационной безопасности. Расскажу про разные форматы заданий, которые мы проводили, какие плюсы и минусы были в каждом. Надеюсь, что этот опыт будет вам полезен при проведении аналогичных активностей.
Неделя безопасности проводится раз в году и, как и следует из названия, занимает 1 неделю. Сами активности разбиваются на 2 или 3 блока:
сессия, которая понятна и проста рядовым сотрудникам (далеким от IT)
сессия для IT-шников
активности для выделенных групп (например, топ-менеджмент или продуктовые PM-ы)
Прежде чем начать планировать активности:
выбрать определенную стилистику, поэтому заранее стоит познакомиться с вашим отделом дизайнеров или найти компанию, которая сможет подготовить вам оформление
начать готовиться за пару месяцев до мероприятия
геймификация заданий. Никаких скучных презентаций и тестов
в конце мероприятия не поленитесь собрать статистику и фидбек
Далее расскажу про каждый из форматов и его особенности.
В рамках этой активности одновременно преследуется несколько целей:
показать на живых примерах какие могут быть уязвимости в продуктах и как эти уязвимости могут эксплуатироваться. После того, как разработчики увидят к чему может привести банальное отсутствие экранирования или сами смогут обойти минимальную защиту, то при написании собственного кода вспомнят об этом и зайдут за консультацией или напишут код верно. Ни в коем случае не стоит рассматривать это как замену SSDLC, но идеального решения не бывает, поэтому в таких важных моментах мы стараемся “подстелить соломку” в разных местах
налаживание коммуникаций между IT/OPS и Information Security. Наверняка какое-то количество тасков не будет решено и участники будут выяснять способы решения и лишний раз смогут подружиться с безопасниками.
Советы из опыта:
Учебные стенды. До проведения самого CTF или в первый его день стоит развернуть учебный стенд для OWASP TOP 10 (webgoat или mutillidae) и показать на этом примере как пользоваться основным инструментарием (burp/zap и тд) и эксплуатировать основные уязвимости.
Разбор заданий. Обязательно после проведения CTF делать разбор заданий, которые смогли решить не все участники. Можно отдельно попросить победителей рассказать про те задания, которые решили они.
Реалистичные вектора и таски. Задания должны быть приближены к каким-то настоящим приложениям и уязвимостям, если придумывать чистую синтетику, то будет не интересно проходить и также не будет “образовательного” характера. Также отдельный профит будет, если задания будут сделаны конкретно под ваш профиль компании и вектора атак характерные для реальных кейсов.
Разработка. Можно конечно разработать и scoreboard и сами задания самим, но мы решили подойти более практично к этому вопросу и заказываем разработку таких заданий у тех компаний, кто постоянно проводят такие соревнования на внешних платформах. Обычно у них уже есть какие-то готовые задания и сделать небольшие доработки под вас будет не так проблематично. Не буду здесь вставлять рекламу тех партнеров, которые помогали нам, но в личке смогу подсказать контакты.
Внешний CTF. Если набирается достаточное количество тех, кому тема CTF стала интересной, то отдельно можно попробовать принять участие в публичных jeopardy CTF совместно с командой ИБ. Отлично помогает сплотить коллектив, тем более в текущее ковидное время. Список CTF-ов можно найти, например, тут
Чтобы охватить сотрудников, далеких от sql injection или вообще от IT, мы проводим различные викторины. Платформ для проведения таких активностей много, в тч и бесплатных. При этом за счет такого формата можно совместить обучающие задания в рамках как каких-то внутренних процессов/инструментариев и тд, так и в рамках общих вопросов по информационной безопасности. Отдельным уровнем также можно сделать набор заданий для IT, например, найти уязвимость в участке кода.
Советы из опыта:
С каждым годом придумывать 30-50 вопросов становится все сложнее. И аналогично вовлеченность сотрудников падает, поэтому стоит проводить не каждый год и менять форматы заданий.
Квесты
Мы смогли найти только одну компанию, которая делает квесты на заказ с направленностью на ИБ и мы до сих пор у них единственные подобные клиенты. Из-за этого зачастую приходится обыгрывать имеющийся у компании инвентарь, чтобы была хоть минимальная связь с обучением. Получается не всегда, но если в качестве целей проведения таких квестов рассматривать в целом привлечение внимания к отделу информационной безопасности, то такой формат тоже оправдывается.
Приведу примеры таких заданий:
Линейка 1. На столе стоят 2 компьютера. Один из них с паролем, второй нет. На компьютере без пароля на рабочем столе лежит текстовый файл с названием «Pass», команда находит этот файл, там множество простых паролей и один сложный.
Определяют, какой из них сложный, и вводят его на заблокированном компьютере. Тот начинает работать, к нему подключен интернет и с ним будет происходить большая часть взаимодействий в игре.
Показываем, что нельзя оставлять компьютеры незаблокированными, так как информацией с них могут воспользоваться.
Показываем простые и сложные пароли, учим отличать их друг от друга.
Нельзя оставлять пароли в документах и в открытом виде.
Команда видит шредер, из которого торчит яркая подсказка, как только они подходят к нему и начинают пытаться прочитать подсказку шредер съедает документ (шредер управляется с пульта). Рядом со шредером стоит корзина, где точно такой-же документ лежит, но разорванный. Собирают его кусочки, читают текст-подсказку «Ящик для документов открывается с удара».
Находят ящик для документов, он закрыт. Бьют по нему, открывается первая секция, внутри они находят фонарь с посланием (посвети), светят на вторую секцию, она открывается, внутри находят свисток и послание (посвисти). Громко свистят, открывается третья секция, там лежат специальные очки и послание «Осмотрись». Команда надевает очки, и начинает осматриваться в комнате. Все это время в комнате стоял монитор с белым экраном, на котором не было никакой информации.
Если посмотреть на этот монитор через найденные очки, то на нем появляется изображение. Команда видит на нем непонятные символы, точно такие же символы есть на сейфе в этой комнате (Сейф находится на удалении от монитора). Команда делится на 2 части, одни остаются у монитора, другие идут к сейфу.
Те, кто остались у монитора, диктуют символы, те, что у сейфа, вводят пароль на сейфе. Открывают сейф, внутри находят вторую карточку.
Показываем, что важные документы нужно уничтожать при помощи шредера
Советы из опыта:
Сложно найти компанию на рынке, которые согласятся и смогут сделать такой квест. Даже если и согласятся, сценарий и задания целиком за вас не придумают. Мы обычно проходим 2-3 итерации изменений и корректировок сценария. Надеюсь, не сочтут рекламой, укажу компанию, которая для нас занимается такой разработкой.
Квест ограничен по времени, поэтому обычно каждый участник пройдет только часть испытаний, из-за этого образовательный характер уменьшается. Возможно стоит после окончания рассылать на всех участников тот сценарий прохождения, который был заложен и какая мысль была в каждом задании.
Предварительный прогон. Как и в любой разработке, стоит за день до проведения квеста пройти его самостоятельно. Несмотря на продуманный сценарий, в реальной жизни что-то точно пойдет не так и будет время исправить.
Расскажите, есть ли у вас в компании подобные активности и насколько интересно описание следующей части?
Обзор сервисов Kaspersky Security Awareness
Подробный обзор сервисов повышения осведомленности пользователей в вопросах кибербезопасности (Security Awareness) от «Лаборатории Касперского». Сервисы ориентированы на различные категории сотрудников и включают в себя интерактивные игры, специализированные тренинги, семинары и услуги по оценке культуры информационной безопасности в организации.
Введение
С каждым годом растет количество атак, реализованных посредством социальной инженерии (мы уже неоднократно освещали эту проблематику на нашем ресурсе). О значительном росте применения социальной инженерии при реализации атак свидетельствуют результаты исследований, проведенных «Лабораторией Касперского», Ростелеком-Solar, Positive Technologies.
«Лаборатория Касперского» в своем отчете «Kaspersky Security Bulletin: Угрозы в 2019 году», приводя прогноз относительно вектора заражения по целевому фишингу, говорит о том, что «сюрпризов в нем, наверное, будет меньше всего» — так как это самый успешный и значимый вектор заражения. Секрет его успеха заключается в способности вызвать у жертвы любопытство.
В отчете «Solar JSOC security flash report первое полугодие 2018 года» компании Ростелеком-Solar в сводной статистике за отчетный период также отмечен рост реализации сложных кибератак (71% против 62% в первом полугодии 2017) посредством внедрения вредоносных программ в инфраструктуру компании посредством социальной инженерии (пользователи открывали вредоносные вложения и проходили по фишинговым ссылкам).
В своем отчете «Актуальные киберугрозы — 2018. Тренды и прогнозы» компания Positive Technologies в качестве одной из главных тенденций 2018 года указала существенный рост роли социальной инженерии (см. рисунок 1), как в атаках на организации, так и в отношении частных лиц. К методам социальной инженерии «хакеры прибегают в каждой третьей атаке», используя такие каналы связи, как: электронная почта, мессенджеры, телефонные звонки, SMS-сообщения и обычная почта.
Рисунок 1. Количество и доля атак методами социальной инженерии (из отчета компании Positive Technologies)
Кроме того, на фоне огромного интереса к развитию и использованию практически во всех отраслях такого направления, как машинное обучение, злоумышленники развиваются и в этом направлении. Об этом в том числе упоминается в отчете «Лаборатории Касперского» и указывается на наличие ряда инициатив по использованию машинного обучения для повышения эффективности фишинга. Кроме того, сложно предположить и оценить, каковы будут результаты при реальном сценарии реализации таких атак, но, по прогнозам «Лаборатории Касперского», «целевой фишинг в ближайшие годы останется весьма эффективным вектором заражения, особенно через социальные медиаресурсы».
В основе реализации таких атак лежит социальная инженерия, использующая человеческие слабости, недостатки образования и информированности. Поэтому для противодействия подобным атакам необходимо усиливать «самое слабое звено» — сотрудников компании. На ум сразу приходит «обучение и повышение осведомленности», упоминаемое неоднократно в мировой и отечественной практике по обеспечению информационной безопасности. Во времена СССР были развиты агитплакаты типа «Болтун — находка для шпиона», и этому уделялось особое внимание еще со школьной скамьи. По факту подобные материалы не утратили своей ценности, а стали еще более востребованными, только уже с уклоном в кибербезопасность, и переносятся с бумажной в цифровую интерпретацию. Однако и здесь есть свои особенности:
«Лаборатория Касперского» по результатам проведения своими специалистами опросов и исследований (например, следования «Информационная безопасность бизнеса», проведенного весной 2018 года) установила, что большинство существующих программ повышения грамотности в сфере ИБ недостаточно эффективны. И причины этого заключаются в следующем:
Стало заметным изменение тенденций и форматов обучения в России, о чем указывается, например: в статьях «Внутрифирменное обучение персонала в России: Тенденции и перспективы» (УДК 331.108.45), «Современные тренды и подходы в обучении персонала» и на чем неоднократно акцентировали свое внимание эксперты, в том числе, в отношении программ высшего образования — «10 трендов будущего образования». При этом отмечают следующие ключевые тенденции в подходах к обучению и повышению осведомленности:
Мы уже представляли свой «Обзор рынка сервисов повышения осведомленности по ИБ (Security Awareness)», где в составе ключевых игроков упоминали «Лабораторию Касперского». В компании создано целое направление по разработке и предоставлению сервисов повышения осведомленности в области кибербезопасности — Kaspersky Security Awareness.
Сервисы Kaspersky Security Awareness
Учитывая все недостатки процедур обучения и повышения осведомленности, выявляемые в ходе периодических исследований и опросов, а также пожелания опрашиваемых по совершенствованию подходов к преподнесению учебных материалов и проведению практических занятий, специалисты «Лаборатории Касперского» стремятся в своих продуктах, направленных на обучение и повышение осведомленности, применять инновационный подход к организации тренингов по защите от киберугроз.
Инновации предложенного подхода к обучению и повышению осведомленности заключается в следующем:
Сами сервисы повышения осведомленности Security Awareness «Лаборатории Касперского», чьи особенности мы только что перечислили, представлены на сайте компании в соответствующих разделах (см. таблицу 1).
Таблица 1. Перечень сервисов Kaspersky Security Awareness
| Наименование сервиса | Раздел сайта | Краткое описание |
| Kaspersky Interactive Protection Simulation (KIPS) | Для крупного бизнеса | Интерактивная игра, направленная на развитие командного духа и поиск оптимального баланса между приоритетами технологического процесса, бизнеса и безопасности в условиях реалистичных атак |
| Kaspersky Cybersafety Management Games | Для крупного бизнеса | Интерактивный семинар, направленный на демонстрацию важности кибербезопасности на уровне ответственности линейных менеджеров и развитие навыков, необходимых для поддержания безопасной рабочей среды в структурных подразделениях |
| Платформа для повышения осведомленности о кибербезопасности | Для крупного бизнеса | Комплект интерактивных обучающих модулей, направленный на формирование основ общекорпоративной кибергигиены (получение базовых навыков в области цифровой безопасности |
| Kaspersky Automated Security Awareness Platform (ASAP) | Для среднего бизнеса | Автоматизированная платформа (онлайн-инструмент), направленная на формирование и закрепление у сотрудников навыков безопасной работы |
| Оценка культуры безопасности | Для крупного бизнеса | Онлайн-опрос, направленный на формирование отчета о культуре кибербезопасности компании на основании восприятия кибербезопасности обычными сотрудниками |
| Навыки поддержания ИБ для IT-специалистов — Cybersecurity for IT Online (CITO) | Для крупного бизнеса | Интерактивный тренинг, направленный на обучение распознаванию признаков атаки IT‑специалистами и сбору данных об инцидентах для их последующей передачи специалистам по информационной безопасности |
Перечисленные выше сервисы предназначены для разной целевой аудитории:
Рисунок 2. Целевая аудитория сервисов Security Awareness
Kaspersky Interactive Protection Simulation (KIPS)
Назначение. KIPS — игровой тренинг для повышения осведомленности о рисках и проблемах безопасности, связанных с использованием современных компьютерных систем, а также для демонстрации влияния киберугроз на результаты бизнеса организации.
Целевая аудитория. Игра KIPS предназначена для руководителей компаний, корпоративных экспертов по кибербезопасности и сотрудников IT-отделов.
Преимущества. К преимуществам данного сервиса обучения и повышения осведомленности можно отнести следующее:
Формат реализации. Данный сервис доступен как в офлайн-формате в виде бумажных карточек и поля, так и в онлайн-режиме на сайте http://eu-online.kips.site. Сведения о подключении (лицензировании) и стоимости сервиса предоставляются по запросу.
Независимо от формата реализации в игре доступны следующие сценарии:
Каждый сценарий построен вокруг наиболее актуальных для выбранной отрасли векторов угроз. Следовательно, в рамках игры предоставляется возможность выявить и проанализировать типичные ошибки в отношении выбранной стратегии кибербезопасности и примененных способах реагирования на инциденты.
В зависимости от выбранного сценария участники как бы попадают в имитацию соответствующей среды, где им предстоит не только защитить свою организацию и оставить ее на плаву, сохранив репутацию, но и получить прибыль. Действуя в условиях меняющейся обстановки и неполной информации, участники учатся расставлять приоритеты, принимать решения и учитывать разные точки зрения. Таким образом, создается приближенная к жизни ситуация: в основе каждого сценария лежат события, которые вполне могут произойти в реальности.
В игре в рамках ограниченного бюджета и человеческих ресурсов предстоит выполнить 5 ходов, выстроив при этом оптимальную стратегию кибербезопасности, которая эффективна и против существующих, и против будущих угроз. Структура каждого хода разбита на следующие фазы:
Рисунок 3. Пример карточки действий
В конце игры определяется размер прибыли, которую получит или не получит организация.
Стоимость. Сведения о приобретении/подключении (лицензировании) к сервису и его стоимости предоставляются по запросу.
Kaspersky Cybersafety Management Games
Назначение. Демонстрация линейным руководителям/менеджерам среднего звена важности обеспечения кибербезопасности на их уровне ответственности и формировании правильного отношения к поддержанию безопасной рабочей среды во всем подразделении.
Целевая аудитория. Линейные руководители / менеджеры среднего звена.
Преимущества: Игровые тренинги CyberSafety Management Games предоставляют линейным руководителям необходимые знания, а также развивают требуемые компетенции и правильное отношение к кибербезопасности, без которых невозможно обеспечить безопасную работу их подразделений. По результатам тренинга у линейных руководителей формируется:
Формат реализации. Интерактивный мастер-класс (игровой тренинг), который включает компьютерные занятия и уроки под руководством инструктора, реализуемый как в офлайн-, так и в онлайн-режиме.
Основной упор в рамках данного тренинга делается на том, чтобы донести до линейных руководителей, что без их помощи невозможно разрешить насущные вопросы и обеспечить кибербезопасность организации, сохранив высокую эффективность ее работы. Ведь именно они, а не отдел ИБ, ежедневно взаимодействуют с рядовыми сотрудниками и принимают важные для бизнеса решения. В рамках тренинга в течение 2 или 4 часов проводится обучение в игровой форме. При обучении используются ставки на доступные варианты ответов для предлагаемых на рассмотрение ситуаций, с которыми могут столкнуться в своей практике линейные руководители (см. рисунок 4).
Рисунок 4. Пример рассмотрения ситуаций и ставки на принятые решения
После обсуждения в команде все результаты вводятся в программу, чтобы рассчитать лучшие варианты и найти победителей.
Стоимость. Сведения о приобретении/подключении (лицензировании) к сервису и его стоимости предоставляются по запросу.
Сервис может быть лицензирован в качестве программы для корпоративных обучающих центров — при такой лицензии компания сможет проводить неограниченное число тренингов силами внутренних тренеров.
Ключевые преимущества корпоративной лицензии:
Онлайн-платформа обучения навыкам
Общие сведения
Онлайн-платформа обучения навыкам представлена в двух вариациях:
Платформа для повышения осведомленности о кибербезопасности
Назначение. Комплект интерактивных обучающих модулей, направленный на получение базовых навыков в области цифровой безопасности, включая освоение разных сценариев и ситуаций, получение знаний и понимания того, как определять и реагировать на распространенные киберугрозы.
Целевая аудитория. Все сотрудники организации.
Преимущества. Преимущества Платформы можно распределить по следующим логическим группам в зависимости от ее функциональности:
Формат реализации. Онлайн-обучение на интерактивном портале. Полная версия курса состоит из более чем 25 обучающих модулей, каждый из которых рассчитан на 15 минут времени, а также из инструментов оценки, автоматического назначения обучающих модулей в зависимости от результатов, подготовки отчетов и аналитики.
Каждый модуль представляет собой интерактивную вводную часть (текст, картинки, анимация) и серию упражнений. Модули направлены на получение знаний с помощью действий.
Рассмотрим предоставляемые возможности на примере одного из модулей. При выборе интересующего модуля будет выполнен переход к нему, где можно выбрать язык и приступить к прохождению обучения (см. рисунок 5).
Рисунок 5. Выбор модуля
В рамках обучения демонстрируется краткий экскурс по теоретической части модуля с указанием того, как должно быть в чистом виде (при отсутствии злоумышленных намерений) и какие могут быть ключевые элементы, характеризующие зловредную составляющую (см. рисунок 6).
Рисунок 6. Пример теоретической части
После теоретической части проводится экспресс-подготовка к тестированию с указанием общих сведений о тесте и индикаторах, на которые необходимо обращать внимание (см. рисунок 7).
Рисунок 7. Пример подготовки к тестированию
После подготовки выполняется тестирование, в рамках которого необходимо выполнить действия, обозначенные при подготовке (см. рисунок 8).
Рисунок 8. Пример тестирования
По результатам каждого раунда в модуле подводятся итоги с возможностью ознакомления с допущенными ошибками (см. рисунок 9).
Рисунок 9. Пример результатов раунда тестирования
Стоимость. Для ознакомления с работой Платформы на сайте «Лаборатории Касперского» доступна бесплатная интерактивная демоверсия.
Сведения о приобретении/подключении (лицензировании) к сервису и его стоимости предоставляются по запросу. В рамках каждого модуля и на странице с перечнем модулей есть кнопка для связи с отделом продаж.
Kaspersky Automated Security Awareness Platform (ASAP)
Назначение. Платформа Kaspersky ASAP направлена на формирование и закрепление у сотрудников навыков безопасной работы.
Целевая аудитория. Все сотрудники организации.
Преимущества. К преимуществам данной платформы можно отнести:
Ключевые возможности платформы Kaspersky ASAP в сравнении с традиционными онлайн-тренингами приведены на рисунке ниже.
Рисунок 10. Ключевые возможности платформы Kaspersky ASAP в сравнении с традиционными онлайн-тренингами
Формат реализации. Автоматизированная платформа (онлайн-инструмент).
Благодаря автоматизации процесса управления действия по подготовке платформы к использованию выполняются довольно быстро: выбирается страна; регистрируется администратор платформы; подгружается/формируется список пользователей, подлежащих обучению; выполняется распределение пользователей по группам риска; определяются цели с учетом средних общемировых и отраслевых показателей.
После чего пользователю на адрес электронной почты поступают письма о том, что он добавлен в программу обучения и может приступать к занятиям (с указанием ссылки на ресурс).
Пользователь приступает к занятиям, а платформа построит процесс в соответствии с его темпом обучения и способностями, а также в зависимости от группы риска, в которую он добавлен. При этом пользователь сможет проходить задания строго в той последовательности, в которой их подготовит для него платформа.
В панели управления представлена вся необходимая информация для оценки прогресса. При этом платформа сформирует рекомендации в части того, что нужно сделать, чтобы улучшить результат.
Каждая тема делится на четыре уровня, посвященных отработке определенной группы навыков в сфере безопасности. Уровни соответствуют угрозам разной степени опасности по возрастанию: первый уровень — подходит для защиты от простых и массовых атак, а для защиты от сложных — потребуется четвертый уровень. При этом каждый уровень включает: интерактивный модуль и видео → упражнения на закрепление → проверку (тест или имитацию фишинговой атаки). Пример по отработке навыков в рамках темы «Интернет» представлен на рисунке ниже.
Рисунок 11. Пример по отработке навыков в рамках темы «Интернет»
Рассмотрим предоставляемые возможности платформы на примере одного из вопросов урока (для уже обучающегося сотрудника). При переходе по ссылке из письма сотрудник попадает на свою страницу с активным уроком обучения и общей статистикой своего обучения (см. рисунок 12).
Рисунок 12. Пример страницы обучающегося в Kaspersky ASAP
Сотрудник начинает урок с того момента, на котором он остановился. По изучаемому вопросу предоставляется теоретическая часть (см. рисунок 13), а дальше проводится тестирование (см. рисунок 14).
Рисунок 13. Пример теоретической части в Kaspersky ASAP
Рисунок 14. Пример тестирования в Kaspersky ASAP
После прохождения тестирования будут отображены результаты и представлены выводы (см. рисунок 15).
Рисунок 15. Пример отображения результатов и выводов в Kaspersky ASAP
Стоимость. Для ознакомления с работой Платформы на сайте «Лаборатории Касперского» доступна бесплатная интерактивная демоверсия. С 14.05.2019 продолжительность пробного периода ограничена: полная функциональность платформы доступна для всех желающих попробовать обучение кибербезопасности в течение двух месяцев.
Сведения о приобретении/подключении (лицензировании) к сервису и его стоимости предоставляются по запросу. Оплата производится только за активных пользователей (тех, кто проходит программу).
Оценка культуры кибербезопасности
Назначение. Оценка культуры кибербезопасности предназначена для выявления проблемных областей и правильной расстановки приоритетов во внутренней и внешней деятельности отдела ИБ.
Целевая аудитория. Руководство, ответственное за направление информационной безопасности организации.
Преимущества. К преимуществам данного сервиса можно отнести:
Формат реализации. Оценка проводится в виде онлайн-опроса на базе облачной платформы. Опрос одного сотрудника занимает около 15 минут, а для анкетирования всей организации может потребоваться около 2 недель.
В процессе оценки выполняется анализ поведения сотрудников всех уровней и определение их отношения к аспектам кибербезопасности.
В рамках оценки рассматриваются следующие области:
По результатам оценки готовится отчет о культуре кибербезопасности, который показывает, как обычный сотрудник воспринимает кибербезопасность; что он думает о культуре, привычках, ежедневных процедурах и других аспектах, связанных с кибербезопасностью; каковы его индивидуальные взгляды на те или иные принципы защиты компании от киберугроз. Такое восприятие формируется на основе всей совокупности практик, принятых в компании, а не только в результате работы отдела ИБ или отдела управления рисками. Необходимо понимать, что оценка культуры кибербезопасности не подменяет собой оценку уровня защищенности (не является аудитом IT-безопасности) и ничего не говорит об эффективности работы отдела ИБ.
Рисунок 16. Пример отображения круговой диаграммы с результатами оценки
Стоимость. Сведения о приобретении/подключении (лицензировании) к сервису и его стоимости предоставляются по запросу.
Навыки поддержания ИБ для IT-специалистов — Cybersecurity for IT Online (CITO)
Назначение. Обучение IT-специалистов навыкам поддержания кибербезопасности.
Целевая аудитория. IT-специалисты — в первую очередь служба поддержки и системные администраторы.
Преимущества. К преимуществам этого сервиса можно отнести:
Формат реализации. Онлайн-курс, состоящий из шести модулей:
В рамках модуля каждый тренинг состоит из теоретической (см. рисунок 17) и практической (см. рисунок 18) частей. В практической части содержится моделирование реального процесса с задачей по предшествующей теории.
Рисунок 17. Пример теоретической части
Рисунок 18. Пример практической части
В случае неправильного выполнения задачи в практической части появится предложение о повторном изучении теории.
Стоимость. Сведения о приобретении/подключении (лицензировании) к сервису и его стоимости предоставляются по запросу.
Выводы
Задача повышения осведомленности сотрудников в вопросах кибербезопасности становится первостепенной с развитием методов социальной инженерии. Появляются различные курсы и тренинги, а наличие каналов с хорошей пропускной способностью открывает большие возможности для удаленного обучения, без отрыва от производства.
Но даже наличие дистанционного обучения и отличных по своей сути учебных программ может не стать решающим фактором в их выборе, если сама методика преподавания хромает и оперирует вымышленными ситуациями, вероятность возникновения которых стремится к нулю.
У сервисов Security Awareness «Лаборатории Касперского», рассмотренных в этом обзоре, минимизированы все указанные выше недостатки благодаря применению грамотного подхода к обучению и повышению осведомленности.
При этом сервисы охватывают широкий спектр тем в области кибербезопасности, а также различных методик и практик, которые могут быть полезны как начинающим специалистам, так и опытным экспертам. Кроме того, «Лаборатория Касперского» предлагает свои сервисы с учетом размеров организаций — есть сервисы для крупных компаний и для компаний малого и среднего бизнеса.
Тренинги, реализованные в рамках сервисов, сочетая в себя теоретическую и практическую части, охватывают все группы сотрудников организации, но формируя для разных категорий сотрудников разные навыки: высшее руководство, линейные руководители/менеджеры среднего звена, IT-специалисты и рядовые специалисты — все эти группы сотрудников обучаются разным навыкам с учетом их должностных обязанностей.
Большинство сервисов реализованы в онлайн-формате, но и от офлайн-формата проведения обучения и повышения осведомленности «Лаборатория Касперского» не спешит отказываться.
Одним из ключевых достоинств всех рассмотренных нами сервисов является то, что в их основе лежит экспертиза «Лаборатории Касперского» в области кибербезопасности и разработки защитных решений, а также наличие самой свежей, детальной и уникальной информации о способах борьбы с кибератаками.