Как провести киберучения для сотрудников без отрыва от производства

APC

Повышать уровень цифровой гигиены среди сотрудников – зачастую руки до этой задачи доходят в последнюю очередь, а тем временем именно из-за низкого уровня киберграмотности случается почти каждый второй инцидент в мире.

Для кого и как организовать киберучения, чем поможет DLP и какого результата ожидать?
Об этом расскажут Андрей Арефьев, директор по инновационным проектам InfoWatch и Алексей Горелкин, CEO компании Phishman.

Таким образом, сегодняшняя повестка дня: киберучение и повышение навыков цифровой гигиены сотрудников компании. Как вы знаете интеграции с DLP системой дают множество положительных составляющих для расширения границ безопасности. Сегодня поговорим о нескольких аспектах. С одной стороны, вспомним о том, что такое DLP система, почему интеграция с DLP системой важна и перейдем к основной теме - киберучения и партнерство с компанией Phishman.

Начнем с самого простого базового вопроса. Зачем нужны какие бы то ни было интеграции? Понятно, что одно из основных свойств, важных для наших заказчиков, является повышение эффективности работы систем ИБ, показ для бизнеса реальной отдачи от внедренных решений. Обычно для того, чтобы показать эффективность работ, необходимо обеспечить интеграцию с какой-либо системой информационной безопасности или интеграцию с какой-нибудь бизнес-системой.

Во-первых, с нами интегрируются независимые вендоры, такие, как Microsoft, Konica Minolta, Check Point, WorksPad. Эти вендоры сами приняли решение об интеграции с нашей системой, мы создали совместные решения, недавно анонсировали их на рынке и продолжаем активно поддерживать. Наша DLP система также активно интегрируется с IT-системами и с системами информационной безопасности. Бывают промежуточные ситуации, когда интеграторы делают конкретное интеграционное решение в интересах конкретных заказчиков. Все это достигается благодаря тому технологическому окружению, которое мы создали вокруг нашего продукта. А именно: поддержка специальных протоколов, стандартного IP для доступа и т.д. Это позволяет партнерам создавать эффективные решения задач клиентов.

Сейчас многие люди перешли на удаленную работу. И традиционные консервативные системы ИБ и правила ИБ компании вынуждены были изменить для того, чтобы обеспечить непрерывную работу своих сотрудников, в том числе работающих удаленно. Одним из эффективных способов удаленной работы является использование мобильных устройств. Как с одной стороны соблюсти правила ИБ, а с другой - дать сотрудникам возможность работать с корпоративными данными без каких-то серьезных изменений? Обычно для того, чтобы обеспечить растяжение периметра ИБ на мобильные устройства, мы рекомендуем использовать наше совместное с компанией WorksPad интеграционное решение, суть которого в том, что ставится специальное приложение на мобильное устройство Android, Apple, Selfish или «Аврора». И за счет интеграции этого приложения и сервера, который установлен в компании, обеспечивается доступ с одной стороны к корпоративной информации, а с другой стороны, за счет интеграции Server WorksPad с Traffic Monitor обеспечивается контроль передвижения той информации, которая попадает на мобильное устройство. 

Это позволяет дать ответ на вопрос, когда возникает риск потери устройства, риск утечки информации с использованием мобильного устройства. Все это позволяет проводить эффективное расследование.

Понятно, что для того, чтобы обеспечить эффективную работу, особенно в условиях удаленной работы, коммерческие структуры активно используют облачные сервисы. Один из таких известных облачных сервисов - это Microsoft Office 365, который с одной стороны обеспечивает доступ к своей инфраструктуре из любых точек мира, а с другой стороны, он хранит корпоративную информацию, позволяя клиентам и сотрудникам компании активно вести обмен деловой информацией, используя облачную инфраструктуру, переходящую в Enterprise. 

Возникает вопрос, можно ли как-то контролировать эту инфраструктуру? Понятно, что в такой ситуации речь не может идти об установке агентов на серверы. Эту проблему можно решить только одним способом. Можно обеспечит интеграцию облачного сервиса, который будет передавать информацию в DLP систему, информируя о том, что происходит, что сотрудники делают с информацией в этом облачном сервисе. Благодаря усилиям компании Microsoft, удалось осуществить такую бесшовную интеграцию. Наши клиенты, использующие Microsoft Office 365 и Traffic Monitor, имеют возможность контролировать действия своих сотрудников в облачных сервисах без особых накладных расходов для себя и сотрудников.

Следующим примером интеграции, который мы уже осуществили сами, стала интеграция бизнес-системы с ERP системой. Благодаря этой интеграции политики Traffic Monitor непрерывно могут обогащаться данными из ERP системы и за счет этого всегда поддерживать политики в актуальном состоянии, адресуя и защищая конкретные данные, которые важны для клиента. Простой пример. Номер телефона вашего контрагента. С помощью каких-то базовых выражений и правил невозможно защитить информацию от утечки, если вдруг происходит слив базы данных или телефонных номеров ваших контрагентов. 

Потому что в любом деловом письме содержится номер телефона. Получится много ложных срабатываний, если вы не будете интегрировать с бизнес-системой, которая хранит реальные данные, и которая проверяет, не утекают ли эти конкретные данные из бизнес-системы в эту минуту куда-то на сторону.

Затем слово взял Алексей Горелкин, CEO компании Phishman. Его компания автоматизирует процесс выработки навыков сотрудников на основании информации, получаемой извне. Извне - это может быть Traffic Monitor как вариант, либо иные системы, тот же SAP. В SAP находится самая актуальная информация по пользователям. Большинство конкурентов и систем берут информацию из AD. Но в AD мало кто создает архитектуру в соответствии со стандартами Microsoft, мало кто там наводит порядок. Поэтому там много «мусора», который надо приводить в читабельный вид. Т.е. мы часто встречали, когда в поле "Отчество" написана фамилия, или в поле "Фамилия" написано имя, словом, когда все перепутано. Это один из вопиющих примеров. А таких несуразностей очень много. Поэтому свежие данные лучше брать из SAP. 

Компания Phisman занимается автоматизацией, повышением осведомленности, именно через выработку навыков у тех людей, у которых эти навыки необходимо выработать. Идея названия Phisman была такая, что это будет некий супергерой (по аналогии с суперменом или спайдерменом), который борется с «фишенью».

Вопрос от участника мероприятия. Недавно я столкнулся с такой проблемой, я на свою корпоративную почту получил письмо, которое рассказывало о том, что антиспам-фильтр отфильтровал какое-то количество писем, и мне надо провести review этих писем. Источник этого письма вызвал у меня большие сомнения, и я обратился в нашу службу ИБ, и они, проведя расследование, выяснили, что это было фишинговое письмо, целью которого было украсть мой пароль. Правильно ли я понимаю, что ваше решение помогает решать и такие проблемы?

Ответ. Естественно. Но помимо того, что мы помогаем правильно распознать фишинг, мы еще и обучаем сотрудников навыкам взаимодействия с информационной безопасностью. Сейчас User Layer мало кому известен. Сотрудники что-то могут, но технолог считает, что они вообще ничего не умеют, все делают за них, за них что-то решают. Но мы все больше видим, как это не работает. Злоумышленники для того, чтобы проникнуть в сеть, не будут проламываться через firewall, не будут пытаться что-то «похекать». Проще взять базу сотрудников, которая рано или поздно все же утекает. И, банально зная почтовый ящик одного сотрудника, можно через соцсети найти еще одного сотрудника, и какой-то фишинг ему прислать. Т.е. злоумышленнику проще «пробраться» через пользователей. Мы же помогаем сотрудникам правильно взаимодействовать со службой ИБ. Банальная ситуация: компьютер начал тормозить. И не всегда сотрудники об этом сообщают. Например, сотрудник открыл письмо, что-то скачал, а компьютер начал тормозить. Сотрудник решает перезагрузить компьютер. Однако, люди не сообщают о прецедентах. И это большая проблема ИБ, когда сотрудники просто умалчивают о таких проблемах, пока не становится слишком поздно. А мы с вами хорошо знаем о том, что современные зловреды не сразу все блокируют. Шифровальщик это лишь один из вариантов. На самом деле злоумышленникам интереснее по сети двигаться, захватывать ее, получать нужные данные, и при необходимости перепродавать или как-то видоизменять. Если же сотрудники не будут стесняться сообщать о том, что у них есть какая-то аномалия в работе компьютера, то будет намного лучше. Бывает и такое, что они сообщают в ИТ подразделение, а оно уже не передает в службу ИБ. И мы в том числе обучаем правильно общаться с ИБ, не стесняться с ними работать и сообщать об инцидентах.

Вопрос. Идея понятна. Но где в этой идее интеграция с DLP системой? Каким сценарием связана ваша система с DLP системой?

Ответ. Мы поняли, чтобы обучать таким навыкам, данных по фишингу недостаточно. Нужно еще определить, кого именно надо обучать. Для этого нужен connect внешней системы. И вот один из сценариев, который мы разработали. Есть DLP система, она находит определенные события. Это может быть не специальный слив информации, а как бы «на грани фола». Информация чувствительна, но еще не инцидент, это может быть просто случайность. Таких сотрудников нужно обучить работать с конфиденциальной информацией. Т.е. мы видим срабатывание, что DLP система зафиксировала что сотрудник попытался какую-то информацию отправить, но сотрудник ИБ, который расследовал это, понял, что это случайный слив. И вместо того, чтобы вызывать его на ковер и устраивать стрессовую ситуацию и т.д., его направляют на курс по работе с конфиденциальной информацией. 

Еще один из кейсов это может быть таким. У сотрудника поменялась должность, он получил новые данные, он снова проходит определенные курсы, чтобы с этими новыми данными он мог правильно работать. Т.е. мы работает по прецедентному признаку. Всех обучать мы, конечно, можем, поскольку это отнимает слишком много времени. И, возможно, кто-то правильно с этой информацией работает. А нужно учить тех, кто еще не умеет работать правильно. Этих людей мы выявляем в том числе с помощью Traffic Monitor. И у этих людей повышаем навыки именно в том, что им не хватает.

Вопрос. Вы апологеты безопасности через обучение?

Ответ. Мне нравится слово киберликбез, но наш отдел маркетинга против. Считает его труднопроизносимым. Хотя по сути мы как раз и занимаемся ликвидацией кибербезграмотности. Мы помогаем обрести необходимые и достаточные навыки в работе. Тут есть одна проблема. Это кажется чем-то большим и сложным. Человека, который далек от информационных технологий и ИБ, не просто научить всему. Но это никому не нужно. Нужны лишь некоторые навыки. По принципу светофора, т.е. если светофор красный, мы стоим, если зеленый - мы идем. Здесь то же самое. Если случилось так-то сообщаем, если же - вот так, то все нормально, работаем дальше.

Вопрос. Как говорят в кругах, в которых внедряется DLP и активно используется, сам факт того, что сотрудникам сообщают о том, что в их организации планируется или уже внедрена DLP система, автоматически приводит к повышению уровня ИБ и к более аккуратному использованию данных. Я так понимаю, что с помощью такой интеграции между Traffic Monitor и Phishman можно еще дать обратную связь пользователю, сказать, насколько он аккуратен, или же, наоборот, не аккуратен в использовании данных.

Ответ. Конечно. У нас можно задавать сложные правила. Это не значит, что их сложно создавать, это лишь означает, что они многоуровневые. Если, предположим, сотрудник допустил одну ошибку в квартал, и это считается по политике безопасности нормальным, то ему ничего не будет, только придет, например, письмо о том, чтобы он больше не делал рассылку с такими-то данными. Но, если сотрудник ошибается чаще, или, есть различный уровень событий, например, ошибся - Hi, то его сразу направляют на обучение, после производится контроль, насколько он усвоил данный урок. И если он вдруг почему-то еще раз делает подобную ошибку или же какие-то данные отправит вовне, то уже следующим этапом будет уведомление его руководству, возможно уведомление ИБ. Более того, DLP система можем быть интегрированы с ERP системой, т.е. если предположим, DLP зафиксировала что есть какая-то недостоверность данных, но она не критична, т.е. мы у себя проконтролировали, и видим, что это очередной инцидент за последний месяц, то это автоматически может быть отправлено в DLP систему для того, чтобы был создан некий инцидент для более серьезного расследования. Мы работаем на уровне пользователей, мы тем самым отсекаем, во-первых, фишинговую работу системы безопасности и, во-вторых, проводим некую профилактику, не допускаем серьезных инцидентов, и, в-третьих, обучаем людей сотрудничать с «инфобезом», не бояться его. И это уменьшает возможный ущерб для организации.

Провокационный вопрос. Всякий раз, когда меня учат правилам ИБ, я накапливаю знания о том, как работает система ИБ. И, если я вдруг окажусь внутренним злоумышленником, не поможет ли мне это знание стать более подготовленным к тому, чтобы обеспечить какие-то несанкционированные действия? 

Ответ. Это вопрос скорее философский. С одной стороны, вроде бы да. Вы будете иметь больше сведений о работе системы, а с другой стороны, есть целый портал с инсайдерами, и, я помню, когда мы занимались расследованиями инцидентов в одной очень крупной всероссийской организации, у них были инсайдеры на уровне руководителей ИТ различных регионов, которые могли за определенную денежку запустить любой зловредный код. Я считаю, что есть такие вещи, когда есть инсайдеры, они закрываются в том числе системами типа DLP, в том числе закрываются обучением пользователей, которые видят, что просматривается странное поведение у их сотрудника, как бы это ни звучало. Давайте сразу скажем, что если ваш сосед, который с вами рядом работает, начинает вести себя странно, собирает данные, записывает пароли, общается с кем-то подозрительным, рассказывая о том, что он обсудил со своим начальником, то в этом случае, наверное, стоит сообщить куда надо на всякий случай. Конечно же в нашем обществе это может считаться не совсем корректным, хотя я не вижу в этом ничего плохого. Это простая профилактика преступлений.

Теперь несколько слов о том, как работает Phishman.

1-й этап - тестирование компании. Есть модуль, который может заслать фишинг, например, с флэшки. Фишинг может быть также вместе с сайтом. Наш большой плюс состоит в том, что мы устанавливаем soft, хотя можем из облака работать, и поэтому не надо тратиться на покупку доменов. Т.е. все осуществляется внутри своей сети. Все работает довольно просто, дешево, что очень важно.

Далее, мы осуществляет интеграцию с системой, это может быть CIEM. Важно, что мы не просто интегрируемся с системой и куда-то посылаем данные, а также их получаем и нормализуем. Этим занимаемся определенный «микро». У нас есть отработанный механизм, при необходимости можно с любой системой сынтегрироваться, если даже у нас ее сейчас и нет в списке систем, с которыми мы работаем.  Мы работаем по прецедентному признаку, т.е., если кому-то надо, мы это делаем.

Еще у нас есть курсы, которые имеют возможность интеграции с уже имеющимися курсами заказчика. Это может быть вообще любой курс, не только по ИБ. Это может быть, например, сценарий, когда у сотрудника поменялась должность, он начал пользоваться новыми приложениями и ему приходится обучаться этим приложениям. Или появляется флэшка в первый раз за все время существования этого компьютера и человеку сразу предлагается обучение по тому, как работать с флэшками, как не запустить вирус через внешний носитель.

Вопрос. Киберграмотность по всем доступным направлениям, либо речь идет только о фишинге? 

Ответ. По всем темам. У нас море тем от основ ИБ, до работ с мобильными устройствами, по работе из дома. Когда covid только начался, мы выпустили специальный бесплатный курс, он доступен на нашем сайте. Да, у нас много различных курсов, при этом мы, если необходимо, можем разработать какие-то курсы под заказ. При этом наши курсы кастомизируются. При необходимости мы можем реализовать курс в вашем стиле, по вашим пожеланиям. Можем даже шрифты поменять или цветовую гамму картинок. Начинали мы с фишинга, но это очень узкая тема. И сейчас мы закрываем практически весь инфобез.

Возвращаемся к принципу работы. Собрали данные с внешних систем, нормализовали, поняли, какие у нас сотрудники, кто ошибается, кто не ошибается. При необходимости, разослали проверочный фишинг. И поняли, кто опять ловится на фишинг, кто не ловится. На основе этих данных, направляем на обучение, контролируем, как оно проходит, собираем всю статистику. Все это автоматизируется, есть модуль, который автоматически отправляет людей на обучение. Один раз его настроили и он работает. Вы только получаете отчеты, смотрите, как все хорошо или плохо работает.

Это были самые простые сценарии. В AD или в любой другой системе сотрудников направили на какой-то курс, и оцениваем, насколько он хорош его проходит. Могут быть более сложные варианты, предположим, пока мы не увидим, что сотрудник курс по безопасной работе в Интернете не закрыл, предположим, на 80 баллов, ему может доступ к секретной информации не открываться, т.е. он может работать только во внутренней сети. Может интегрироваться с внешними системами, предоставляющими доступ к тем или иным ресурсам, к тем или иным системам, чтобы, пока у сотрудника нет необходимых навыков, он туда не допускается. Предположим, какое-нибудь пограничное устройство зафиксировало, что сотрудник попытался скачать какой-то зловред. 

Или перейти на фишинговый сайт в очередной раз за последний месяц. После этого ему отрубается доступ в Интернет, он направляется на курс, если он этот курс успешно проходит, ему этот доступ возобновляется. Если же он этого не сделал, то, возможно, ему придется побеседовать с безопасником или с кем-то из руководства. Важно, что у нас есть черные и белые списки. Чтобы топы не нервничали, им может быть все разрешено. Но другие сотрудники, для них существуют более строгие правила.

Вот пример более многоходового сценария. Мы фиксируем, есть ли нарушения, направляем на курсы, смотрим, как сотрудник его прошел. Если прошел на отлично - хорошо. Прошел плохо – придется проходить еще раз. И возможно, будет уведомление руководителю, если он даже во второй раз не прошел. Сценарии могут быть самые разные. Все они кастомизируются, у нас есть встроенный довольно объемный модуль. К нам по вопросам интеграции в свое время приходил один очень крупный заказчик, потому что у них по ИБ-правилам надо было вызывать каждого сотрудника на ковер к безопаснику, чтобы он рассказывал о том, что нельзя делать, будьте, пожалуйста, аккуратнее с информацией. Т.е. не тогда, когда произошел слив, а когда была отмечена какая-то случайная утечка. И, после интеграции с Traffic Monitor и Phishman, они с себя часть работы сняли. Тут важно, что это гораздо более эффективно. Ведь не всегда люди, работающие в безопасности, способны доходчиво объяснить, что же именно было не так. Человека они напугать могут, но не факт, что он что-то при этом поймет. А в нашем случае человек уходит с готовыми навыками, он понимает, что так, что не так.

Вопрос. В течение какого времени можно почувствовать эффект от внедрения вашего решения?

Ответ. Выскажу мое личное мнение. Я работал у одного очень крупного заказчика и отвечал за безопасность около 50 000 человек. Самое простое, что видит заказчик, что понятно его руководству, это когда идет рассылка некоего тестового фишинга, причем необязательно навороченного. И после этого примерно 80 человек переходят на запрещенный сайт. Был и вопиющий случай, когда рассылка была как будто бы от HR, и глава IT-подразделения неоднократно нажал на эту ссылку, а сайт был фишинговый, но он вел на левую страницу, чтобы никого не пугать. И глава IT-подразделения несколько раз перешел с разных браузеров, и еще ругался, почему ссылка битая. 

Что видит заказчик? В течение 3 месяцев первая рассылка - первое обучение, вторая рассылка – второе обучение. Рассылки, естественно, все разные. У нас порядка 500 разных шаблонов. И при этом у нас есть удобный интерфейс для создания новых кейсов. Можно создать прямо готовую реальную фишинговую атаку. Мы на ее базе создадим саму форму, просто подставив правильные переменные. И можно рассылать. Смотреть, кто на нее попадется, и чтобы они отработали свои навыки. Первая рассылка – обучение, вторая рассылка. И уже заказчик видит, что ситуация улучшилась. Это самый простой сценарий. 

Я себе это вижу несколько иначе в плане эффективности. Почему-то мало кто считает реальное число переходов по фишинговым ссылкам. Т.е. я очень мало встречал компаний, которые делают довольно простую последовательность действий. Есть некий фишинг. Максимум, что обычно делается, это блокируется отправитель. Но почему-то никто не смотрит, куда ведет эта ссылка, не проверяет, кто переходил по этим ссылкам и сколько раз. А если это проверить, на самом деле, даже одно фишинговое письмо может быть переслано вместе со ссылкой, и возможно его открывало намного больше людей. Если бы это контролировали, то можно было бы это четко подсчитать. Поэтому самый простой вариант - это фишинговый контроль, затем обучение, затем вторая рассылка.