УПРАВЛЕНИЕ КИБЕРБЕЗОПАСНОСТЬЮ: ПОНИМАНИЕ ЧЕРЕЗ ОПЫТ
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
УПРАВЛЕНИЕ КИБЕРБЕЗОПАСНОСТЬЮ: ПОНИМАНИЕ ЧЕРЕЗ ОПЫТ KASPERSKY SECURITY AWARENESS: ИНТЕРАКТИВНЫЕ ТРЕНИНГИ ДЛЯ ВСЕХ УРОВНЕЙ ОРГАНИЗАЦИИ Превратить самое слабое звено в вашу сильную сторону Бондаренко Александр, Alexander.Bondarenko@kaspersky.com © 2017 Kaspersky Lab. All rights reserved . 1
ОШИБКИ СОТРУДНИКОВ – КЛЮЧЕВАЯ УГРОЗА БЕЗОПАСНОСТИ
КРУПНЫХ КОМПАНИЙ СЕГОДНЯ
более только
95% 25%
страховых программ покрывают
всех киберинцидентов
случаи, связанные с ошибкой или
вызваны человеческими
халатностью сотрудника
ошибками
(в то время как риски, связанные с внешними
вторжениями злоумышленников, охвачены на 80%)
* IBM 2015 Cyber Security Intelligence Index * 2015 Global Cyber Impact Report. Ponemon Institute LLC.
2
ОШИБКИ СОТРУДНИКОВ КАК ВАЖНЕЙШИЙ РИСК ДЛЯ БЕЗОПАСНОСТИ
$861,000 $86,500 $865,000 до $400
для крупных компаний для компаний среднего и в расчете на одну атаку на сотрудника в год
малого бизнеса
средний ущерб от средний ущерб от средний ущерб от инцидента, средний ущерб от
инцидента/ вектора инцидента/ вектора вызванного беспечностью фишинговых атак***
атаки* атаки* сотрудников**
* Отчет: “Measuring the Financial Impact of IT Security on Businesses”, Kaspersky Lab, 2016.
** “Business Perception of IT Security: In The Face of an Inevitable Compromise”, Kaspersky Lab, 2016.
*** Расчеты на базе исследования Ponemon Institute, “Cost of Phishing and Value of Employee Training”, Август 2015.
ОШИБКИ СОТРУДНИКОВ – КЛЮЧЕВАЯ УГРОЗА БЕЗОПАСНОСТИ
КРУПНЫХ КОМПАНИЙ СЕГОДНЯ
80%
Руководителей отделов ИБ недовольны
эффективностью программ по повышению
осведомленности
* IBM 2015 Cyber Security Intelligence Index
4
ПОДХОДЫ К ОБУЧЕНИЮ КИБЕРБЕЗОПАСНОСТИ
Стандартный подход
Инструкции, ежегодные презентации, постеры, тренинги
Низкая эффективность
Мало возможностей для
измерения результата
5
ПОДХОДЫ К ОБУЧЕНИЮ КИБЕРБЕЗОПАСНОСТИ Минусы стандартного подхода К сожалению, стандартные тренинги по повышению осведомленности сотрудников обладают рядом недостатков: •Слишком продолжительные, скучные, перегруженные техническими подробностями •Не мотивируют применять знания в повседневной работе •Не трансформируются в нужное поведение Эффективные тренинги носят вовлекающий характер, используют сильные стороны участников и мотивируют применять полученные навыки на практике. 6
Уверенные Внимание и Реагирование навыки вовлеченность на всех пользователей руководителей уровнях Kaspersky Employee Бизнес-симуляция и Онлайн-тренажер для IT- Skills Training Platform – игровой интерактивный специалистов – первый онлайн-обучение и тренажер – для создания и уровень Incident response: анализ прогресса поддержания осознанного разумные инвестиции и сотрудников отношения к ИБ низкий риск
KASPERSKY SECURITY AWARENESS INITIATIVES WORLDWIDE
63 страны
июнь 2017
8
Онлайн-платформа
обучения навыкам
Оценка культуры кибербезопасности
Тренинг по взаимодействию с
сотрудниками
1. Устанавливаем цели обучения Показатели эффективности Исходный уровень – как измерять? Разумные цели обучения
ЗАМЕРЯЕМ ИСХОДНОЕ СОСТОЯНИЕ: ПРОДУКТ ПОЗВОЛЯЕТ СРАВНИТЬ СЕБЯ С КОМПАНИЯМИ РАЗНЫХ РАЗМЕРОВ И ОТРАСЛЕЙ
СРЕДНЕОТРАСЛЕВЫЕ ЗНАЧЕНИЯ: НА ПРИМЕРЕ ТЕЛЕКОМА
ОБУЧЕНИЕ КАК СПОСОБ ДОСТИЖЕНИЯ ЦЕЛЕВОГО УРОВНЯ НАВЫКОВ
СТАВИМ ЦЕЛИ
- Минимально необходимый уровень (safety
level)
- Отдельные цели для сотрудников с разным
уровнем риска
- Возможность сравнения со
среднемировыми, страновыми и
отраслевыми значениями
ВНЕДРЕНИЕ ТРЕНИНГА
- Онлайн-платформа (личные навыки)
- Мотивирующие тренинги для менеджмента
- Первый уровень incident response для IT
ИЗМЕРЕНИЕ И КОНТРОЛЬУСТАНОВКА ЦЕЛЕЙ:
ПРИМЕР РЕКОМЕНДОВАННОЙ ТРАЕКТОРИИ ОБУЧЕНИЯ (LEARNING PATH)
Month 1 Month 2 Month 3 Month 4 Month 5 Month 6
GENERIC
Pre-Launch Measurement/
Communication* Reporting RETAIL
Baseline
CyberStrength®
Security Essentials /
Security Essentials for
Email Security + Social
Engineering (excluding auto-
Baseline-Driven
Training Topic #1
URL Training
(excluding
HEALTHCARE
Assessment Executives enrolled) auto-enrolled)
-or-
Password Security
“Blind” Baseline
ThreatSim® ThreatSim ThreatSim ThreatSim ThreatSim
Assessment Campaign #1 Campaign #2 Campaign #3 Campaign #4 Key
Email Security + Social URL Training
Engineering (Auto-Enrollment) (Auto-Enrollment) Administrative
Administrative Communication
Assessment
Month 7 Month 8 Month 9 Month 10 Month 11 Month 12
Program Status Measurement/
Training module
Measurement/
Update Reporting Reporting assignment via
Auto-Enrollment
Baseline-Driven Protecting Baseline-Driven Program Status
Mobile Device
Training Topic #2 Against Training Topic #3 Update Organization-wide
Security +
-or- Ransomware -or-
Data Protection and (excluding auto-
Mobile App
Safe Social
training module
Security
Destruction enrolled) Networking assignment
CyberStrength
ThreatSim ThreatSim ThreatSim ThreatSim ThreatSim Reassessment
Campaign #5 Campaign #6 Campaign #7 Campaign #8 Campaign #9
Protecting Against Ransomware SmishGuru® Email Security
(Auto-Enrollment) Campaign #1 (Auto-Enrollment)
Administrative CommunicationОЦЕНКА КУЛЬТУРЫ КИБЕРБЕЗОПАНОСТИ
Для руководителей
отделов ИБ
Позволяет проанализировать
повседневное поведение
сотрудников и их отношение к
кибербезопасности
Онлайн-исследование на
основе кратких
кастомизированных опросников
для сотрудников и менеджеров.
Развитая система отчетов.2. Управление
обучением
Разные профили риска
Разные стартовые уровни
Разные требования ко времени и
формату обучения
Люди учатся в собственном темпе
Не тренировать свыше
необходимого?АВТОМАТИЗИРОВАННОЕ УПРАВЛЕНИЕ ОБУЧЕНИЕМ
Наш подход обеспечивает: Все это – за счет
Разные цели обучения в зависимости от автоматизированного
профиля риска сотрудника
управления
Индивидуальное обучение в
соответствии с собственным темпом программой обучения.
сотрудника
Избегаем избыточного обучения
Можем оценить промежуточный
уровень (достигаем ли цели?)ГРУППИРУЕМ СОТРУДНИКОВ ПО УРОВНЮ ИХ РИСКА (~ ОТДЕЛЫ) 3-5 профилей Используем разные программы обучения (learning path) для сотрудников с разным профилем риска:
Разные тренинги для разных уровней оргструктуры
3. Отчетность и аналитика Отслеживаем все детали Собираем отчеты для ИБ, руководства, регулирующих органов Знаем, что пошло не так и как оперативно исправить Вопрос: как не утонуть в отчетах?
ВЫЯВЛЯЕМ СЛАБЫЕ ЗВЕНЬЯ – НАПОМИНАЕМ СОТРУДНИКАМ И ИХ РУКОВОДИТЕЛЯМ Best/Worst score vs. phishing Best/Worst score in learning (Module Performance (User Failure Summary) Summary – Assignment details) Include the custom properties (Department and Manager), export users data and send this to Manager
ОТСЛЕЖИВАНИЕ ПРОГРЕССА И ПОДСТРОЙКА ПРОГРАММЫ
Measure effect – see how people improve Measure effect- see how people are making fewer
anti-phishing skills over time mistakes in repeated assessments over time
(Assignment Comparison)СРАВНИТЕ СВОИ РЕЗУЛЬТАТЫ С ЛУЧШИМИ ПРАКТИКАМИ
Фишинг – User Failure Summary CyberStrength Assessment – предустановленные
тесты, по которым можно сравнить себя с отраслью4. Удовлетворенность
обучением
Обязательное обучение с широкой
программой, повторением и иногда
принуждением
Тренинг увеличивает нагрузку
– и при этом нужно…
Вовлекать людей в ИБ
Делать так, чтобы навыки реально
использовалисьГЕЙМИФИКАЦИЯ И СОРЕВНОВАНИЕ ОБЕСПЕЧИВАЮТ ЭФФЕКТИВНОСТЬ
КИБЕРУЧЕНИЯ ДЛЯ РУКОВОДЯЩЕГО СОСТАВА РЖД
Мы смотрим в будущее, чтобы завтра было
еще лучше, и у нас есть понимание, в каком
направлении двигаться.
Но для того, чтобы понять угрозы и
подготовиться к ним, проблему надо видеть
изнутри. Поэтому мы решили прибегнуть к
помощи «Лаборатории Касперского» -
одного из ведущих вендоров в области
кибербезопасности.
О.В. Белозеров,
Президент ОАО «РЖД»
Стратегическая бизнес-игра KIPS
для Президента и более чем 20 вице-президентов ОАО «РЖД»ОБНОВЛЕННАЯ ПРОДУКТОВАЯ ПИРАМИДА (С ОСЕНИ 2017)
New!ОБУЧЕНИЕ IT-СПЕЦИАЛИСТОВ НАВЫКАМ ПОДДЕРЖАНИЯ
КИБЕРБЕЗОПАСНОСТИ
ОНЛАЙН-ТРЕНИНГ ДЛЯ IT-
СПЕЦИАЛИСТОВ ОБЩЕГО ПРОФИЛЯ:
Оснастить «первую линию
корпоративной защиты» навыками
распознавания атак
Уменьшить число инцидентов,
вызванных неправильной
конфигурацией сети и оборудования
Обучить специалистов службы
поддержки навыкам сбора данных для
передачи службе ИБ
Развить критическое мышление и
интерес к теме ИБ
Будет поставляться с сентября 2017 (начинать
предварительные переговоры можно уже сейчас)МОДУЛИ ТРЕНИНГА
Основные практические Вредоносное ПО Потенциально нежелательные
сведения о киберугрозах Проверка наличия или отсутствия программы и файлы (PuPs)
Распознавание угроз по косвенным инцидентов, связанных с вредоносным Работа с мониторами событий в
признакам ПО системах и песочницах. Использование
статистических сервисов. Удаление
#Processhacker, #Autoruns, #Fiddler, нежелательных программ и файлов.
#Remedy, #Lync, #Outlook
#GMER #ProcessMonitor, #Cuckoo, #Virustotal
Основы расследования Реагирование на фишинг и Корпоративная безопасность:
инцидентов разведка в открытых источниках контроль уязвимостей и защита
Локализация инцидента. Сбор данных. Определение фишинговых писем. серверов
Сбор цифровых доказательств Выявление инцидентов. Анализ Проверка настроек ИБ при внедрении
открытых источников (OSINT) системы/сервера. Проверка надежности
паролей. Настройка мер безопасности
#EventLogExplorer, #Autopsy, #FTK-Imager #ExchangeComplianceSearch , #Robtex, для серверов. Патч-менеджмент.
#Whois, #GoogleDorks #Acunetix, #Hydra, #Nmap, #Metasploit
30 Kaspersky Lab | The Power of ProtectionТРЕНИНГИ, КОТОРЫЕ ДЕЙСТВИТЕЛЬНО РАБОТАЮТ
до не менее до более чем до
90% 50% 93% 30x 86%
Сокращение Снижение ущерба Вероятность Окупаемость Готовность
числа в денежном применения вложений (ROI) рекомендовать
инцидентов выражении навыков в программу
повседневной
работеПОДХОДЫ К ОБУЧЕНИЮ КИБЕРБЕЗОПАСНОСТИ
Интерактивный подход + инструменты геймификации
33КУЛЬТУРА КИБЕРБЕЗОПАСНОСТИ: ПСИХОЛОГИЯ В ОСНОВЕ ВСЕГО
Знания Большинство программ повышения
осведомленности работают только со
знаниями. Но люди устроены иначе:
Время Инструменты и навыки никто не руководствуется только
Навыки Разумная достаточность
Успех Пример окружающих теорией.
Закрепление Непосредственное
руководство
Поведение – вот с чем надо
Мотивация Поведение работать в ходе таких тренингов. А
поведение всегда тесно связано с
Подкрепление
Чем чревата ошибка
мотивацией и набором знаний.
Ценности
Привычки
34КАК ВЕДУТ СЕБЯ ЛЮДИ, ЕСЛИ ПРОГРАММА ОСВЕДОМЛЕННОСТИ
РАБОТАЕТ
ЧЕГО МЫ ОЖИДАЕМ ПО ОКОНЧАНИИ ПРОГРАММЫ
«Кибербезопасность – задача специалистов по ИБ»
РУКОВОДИТЕЛИ Взаимодействовать со службой информационной безопасности
Разделять ответственность за кибербезопасность
«У меня нет времени на кибербезопасность»
МЕНЕДЖЕРЫ Активно создавать безопасную среду в своих подразделениях
Добиваться более безопасносного поведения сотрудников
«Я не представляю интереса для
киберпреступников».
ВСЕ СОТРУДНИКИ Понимать и разделять ценности безопасного поведения
Соблюдать меры кибербезопасности
Сообщать о потенциальных инцидентах
Взаимодействовать со специалистами отдела ИБ
35ПРОГРАММЫ ПОВЫШЕНИЯ ОСВЕДОМЛЕННОСТИ ЛАБОРАТОРИИ КАСПЕРСКОГО 36
1. INTERACTIVE PROTECTION SIMULATION
(Интерактивная бизнес-симуляция)
Деловая игра для выработки
стратегии реагирования на Для топ-менеджеров
и руководителей
киберугрозы (2 часа) отделов IT и ИБ
Командная работа для создания
навыков сотрудничества
СЦЕНАРИИ
Атмосфера соревнования
Защита торговых и промышленных компаний от
КОРПОРАЦИЯ
(способствует проявлению ransomware, целевых атак и прочих уязвимостей
инициативы и развивает навыки Защита финансовых институтов от вновь возникающих
БАНК
ситуационного анализа) целевых кибератак высокого уровня
ЭЛЕКТРОННОЕ Защита публичных электронных сервисов от атак и
Разбор ошибок и анализ ПРАВИТЕЛЬСТВО эксплойтов
оптимальных стратегий Защита промышленных компаний и объектов
ЭЛЕКТРОСТАНЦИЯ инфраструктуры (на примере газотурбинной
электростанции)
371. INTERACTIVE PROTECTION SIMULATION
Для топ-менеджеров
и руководителей
отделов IT и ИБ
Результаты и приобретаемые навыки:
Понимание последствий киберинцидентов для бизнеса компании
Знание возможных ошибок при построении системы защиты
Готовность сотрудничать с коллегами для обеспечения непрерывности бизнеса
382. CYBERSAFETY MANAGEMENT GAMES
(Игровые тренинги по кибербезопасности)
Для менеджеров
ПОНИМАНИЕ ВАЖНОСТИ ИБ
Внедрение внутренних мер по кибербезопасности –
серьезный процесс, однако в его основе лежит набор
простых действий, не требующих больших временных
затрат
УМЕНИЕ ПРИНИМАТЬ БИЗНЕС-РЕШЕНИЯ С
УЧЕТОМ ПРИНЦИПОВ ИБ
Кибербезопасность как неотъемлемая часть бизнес-
процессов
МОНИТОРИНГ
Взгляд на повседневные рабочие процессы
с точки зрения кибербезопасности
УБЕЖДЕНИЕ И ВДОХНОВЕНИЕ
Вдумчивое руководство и полезные советы
подчиненным
392. CYBERSAFETY MANAGEMENT GAMES
(Игровые тренинги по кибербезопасности)
Для менеджеров
Результаты и приобретаемые навыки:
•Понимание роли кибербезопасности для
эффективности бизнеса
•Понимание реальных целей
киберпреступников
•Умение отличить безопасное поведение от
небезопасного
•Умение решать бизнес-задачи без ущерба
для кибербезопасности
403. ПЛАТФОРМА ОБУЧЕНИЯ НАВЫКАМ –
МОДУЛЬНЫЙ ИНТЕРАКТИВНЫЙ ТРЕНИНГ
Для всех
сотрудников
Обучающие модули
+
Симулированные фишинг-
атаки
Оценка знаний
Аналитика и отчетность
Облачная платформа с большим
41 выбором административных ролейМОТИВАЦИЯ = СМЕНА УБЕЖДЕНИЙ
Преобразуйте “Я не представ-
1 заблуждения по “Хакеры сломают ляю интереса
“У меня нет
поводу времени на
мой компьютер” для кибер-
безопасность”
кибербезопасности преступников”
в адекватное Опасайтесь Страдают не Безопасность
2 восприятие людей, а не только те, кто необходима для
реальности сломанных представляет эффективной
компьютеров большой интерес работы
и покажите Подумайте, кто
3 позитивную модель может восполь-
Станьте менее
Сотрудничайте с
поведения уязвимым, чем
зоваться тем, что отделом ИБ
другие
вы делаете
42WE PROTECT WHAT MATTERS MOST
www.kaspersky.com/awarenessВы также можете почитать
