https://blog.startx.team/tags/obuchenie/ как поведение людей влияет на безопасность Наши продукты • Дайджесты • Статьи • Список постов Start X ru E2 (v3820; Aegea) Start X как поведение людей влияет на безопасность Наши продукты • Дайджесты • Статьи • Список постов 320 https://blog.startx.team/all/borba-s-sabotazhem/ Mon, 05 Sep 2022 17:52:00 +0300 Start X https://blog.startx.team/all/borba-s-sabotazhem/ <div class="e2-text-picture"> <img src="https://blog.startx.team/pictures/image-149.png" width="830" height="460" alt="" /> </div> <p>18 августа Виталия Демёхина, руководитель отдела разработки материалов «Антифишинга», приняла участие в дискуссии портала Global Digital Space на тему <b><a href="https://www.youtube.com/watch?v=USp2dV2XmSE" class="nu">«<u>Саботаж со стороны работников. Как выявлять инсайдера?</u>»</a></b> Эксперты обсудили, с какими видами саботажа сталкиваются сегодня российские компании, как распознать действия недобросовестных сотрудников и предотвратить их и как в организациях распределяются полномочия по противодействию инсайдерской угрозе.</p> <p>Как показал проведённый во время эфира опрос, почти половина зрителей (47%) уже сталкивались со случаями саботажа в ИТ-сфере. Хотя большинство примеров саботажа не выносится на публику, в этом году крупный инцидент попал в новости, когда Яндекс связал утечку данных сервиса доставки еды с недобросовестными действиями одного из сотрудников.</p> <div class="e2-text-picture"> <img src="https://blog.startx.team/pictures/GDS-sabotage.png" width="1920" height="1080" alt="" /> </div> <p><b>Виталия Демёхина назвала залогом защиты от инсайдеров диалог между сотрудниками и службой информационной безопасности.</b> Правильно выстроенная коммуникация, при которой сотрудники понимают, как и почему они должны действовать, о каких подозрительных действиях и кому нужно сообщать, должна работать в комплексе с техническими средствами защиты и организацией процессов.</p> <blockquote> <p><i>«Я бы советовала очень большую часть времени потратить на выстраивание процессов и создание ИБ на стыке бизнеса, психологии и IT. Как бы мы ни старались, мы не задетектируем всё, что хотим. Так не бывает. Компании признаются: каждый третий работник может рассказать как обойти средства защиты, а каждый четвертый продемонстрирует вам это прямо сейчас».</i></p> </blockquote> <p>Виталия Демёхина считает, что полностью оцифровать девиантное поведение для выявления инсайдеров в большинстве случаев нельзя. Но <b>компании могут оценивать навыки безопасного поведения сотрудников и затем развивать их</b>. Это будет способствовать здоровой коммуникации между сотрудниками и ИБ и поможет определять тех, кто систематически нарушает правила безопасности умышленно.</p> <blockquote> <p><i>«Часто, когда нашим клиентам нужно проверить кого-то из сотрудников, они используют для этого имитированные атаки. Можно сымитировать действия того, кто агитирует инсайдера, или посмотреть, совершает ли человек небезопасные действия, которые могут привести к утечкам. Например, отправляет ли он в ответ конфиденциальную информацию и вообще вступает ли в диалог. Был опыт проверки, когда нужно было по форме заполнить своё рабочее место, где ты физически находишься в компании. Если человек совершал небезопасное действие, дальше с ним разговаривали, выясняли, почему он так сделал».</i></p> </blockquote> <p>По результатам таких проверок сотруднику нужно давать конструктивную обратную связь, которая поможет ему на личном опыте приобрести навыки безопасной работы и даст почувствовать ответственность за защиту компании.</p> <p>Чтобы узнать больше об угрозе саботажа и стратегиях противодействия ему, смотрите <a href="https://www.youtube.com/watch?v=USp2dV2XmSE">полную запись дискуссии</a> и отдельное <a href="https://www.youtube.com/watch?v=wfSS_3Xt5po">интервью с Виталией Демёхиной</a>.</p> <div class="e2-text-video"> <iframe src="https://www.youtube.com/embed/wfSS_3Xt5po?enablejsapi=1" allow="autoplay" frameborder="0" allowfullscreen></iframe> </div> 4 https://blog.startx.team/all/how-to-know-phishing/ Tue, 20 Sep 2016 01:09:26 +0300 Start X https://blog.startx.team/all/how-to-know-phishing/ <p main> Все ваши сотрудники прошли обучение по безопасности. Каждый из них сдал тест на высокий балл. Стала ли ваша компания более защищенной?<br><br> <b>Зависит от того, какие навыки остались у сотрудников. </b><br><br> <i>Что в реальной ситуации сделает пользователь, которому придет специально подготовленное фишинговое письмо?</i></p> <p aside style="opacity: 1; text-align: center;"> <img src="/pictures/svoldokhin_new.jpg" width="40%"/> <br /> Сергей Волдохин <br /> <a href="mailto:sv@antiphish.ru">sv@antiphish.ru</a> </p> <h2>Плохой сценарий</h2> <p>На это рассчитывают мошенники, когда отправляют такие письма:</p> <div style="width:760px; font-size:110%; font-family:Helvetica; text-align: center; padding-bottom:1em; color:#e05020"><p>Сотрудник открывает письмо<br />?<br />Запускает вложенный файл или <a style="color:#e05020; " href="#">Переходит по ссылке</a></p> </div><p>Во вложении и по ссылке может быть вредоносная программа, которая заразит компьютер и даст хакеру удаленный доступ, или зашифрует все данные и потребует выкуп.</p> <p><i>Статья: <a href="http://blog.antph.ru/?go=all/why-phishing/">Что нужно знать о фишинге</a></i></p> <h2>Хороший сценарий</h2> <p>Так будет, если у сотрудников появились необходимые навыки:</p> <div style="width:760px; font-size:110%; font-family:Helvetica; text-align: center; padding-bottom:1em; "><p>Сотрудник открывает письмо <br />?<br />Определяет, что это фишинг<br />?<br />Удаляет его или пересылает в службу безопасности</p> </div><p>В этом сценарии пользователь не только не становится жертвой, но и помогает выявить активную атаку на вашу компанию.</p> <h2>Что делать, если вы не прошли курс</h2> <p><a href="http://antiphish.ru">Антифишинг</a> помогает обучить пользователей и контролирует их навыки безопасной работы, в том числе — навык правильной реакции на фишинговые письма.</p> <p>Для тех, кто не прошел обучение, мы подготовили два информационных плаката. Они помогут узнать несложные, но популярные примеры фишинговых атак:</p> <div class="e2-text-picture"> <img src="https://blog.startx.team/pictures/antiphish-sheet-file.png" width="1754" height="1240" alt="" /> <div class="e2-text-caption"><i>Фишинг с вложенным файлом</i></div> </div> <div class="e2-text-picture"> <img src="https://blog.startx.team/pictures/antiphish-sheet-link.png" width="1754" height="1240" alt="" /> <div class="e2-text-caption"><i>Фишинг с вредоносной ссылкой</i></div> </div> <p>Вы можете распечатывать или пересылать эти плакаты своим сотрудникам, коллегам или партнерам.</p> <p>Надеемся, эти несложные схемы помогут сохранить ваши системы и данные в безопасности.</p> <div style="padding: 1em; background-color: cornsilk; width: 80%; margin-bottom: 1em;"><p><b>О компании «Антифишинг»</b></p> <p>Мы помогаем обучить сотрудников и контролируем их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошеннических писем.</p> <p>Чтобы обучить своих пользователей, заполните <a href="http://antph.ru/#form-header">форму на сайте</a> или напишите нам: <a href="mailto:ask@antiphish.ru">ask@antiphish.ru</a></p> </div>