Domanda:
Come creare una cultura aziendale che abbia a cuore la sicurezza delle informazioni?
RF03
2016-10-17 21:42:44 UTC
view on stackexchange narkive permalink

Server rinforzati, IPS, firewall e tutti i tipi di difese non possono risolvere i problemi di sicurezza se le persone perdono informazioni senza saperlo semplicemente perché sono fuorvianti.

Ho già provato a istruirli ma semplicemente non lo fanno cura, non possono considerarsi una parte importante del nostro sistema di prevenzione delle intrusioni.

L'azienda tratta informazioni sensibili, ma preferisce non pensarci. Le nostre politiche sono tra le migliori che abbia mai visto, ma nessuno le segue tranne il team di sicurezza.

Cosa devo fare? Devo buttargli in faccia i log di quanti attacchi sta affrontando il mio team perché i dipendenti aggirano tutta la sicurezza?

Se la mia squadra fallisce, il sistema di telecomunicazioni del mio paese può essere completamente influenzato. Pensavo fosse una motivazione per prenderci cura della sicurezza, ma a nessuno importa tranne noi perché è il nostro lavoro.

Qualcuno ha già affrontato una situazione come questa? Dovrei arrendermi?

Odio promuovere il mio blog personale, ma ... http://gophishyourself.co.uk/
Il team di sicurezza non è in grado di dettare e applicare le proprie politiche?Non è quello il loro lavoro?Il buon vecchio approccio alla carota e al bastone funziona qui!(il bastone è un rimprovero, la carota è un complimento alla riunione settimanale ...) Nel caso dell'IT, gli amministratori di rete dovrebbero avere il potere di bloccare tutto a loro piacimento.Certo, è probabile che i vecchietti si lamentino e si lamentino, ma i vantaggi di essere in un team di sicurezza è che TU sei quello che fa le regole.
Questa potrebbe anche essere una buona domanda per [The Workplace] (http://workplace.stackexchange.com/)
Spesso le persone rispondono meglio alle storie di disastri che ai briefing su come farlo nel modo giusto.Prova a fare un briefing su "cose che vanno a sbattere nella notte e altri hack", "Come è riuscito Stuxnet e altri trucchi", ecc. Se sono * inesperti e inconsapevoli di ciò * (Kruger e Dunning), allora devi istruireprima loro un po ', e l'umorismo è una buona via per raggiungerlo.
Guarda Mr Robot o qualsiasi film sugli hacker nel tuo posto di lavoro per aumentare la consapevolezza.Assicurati di fornire cibo gratis.
Leggi questo prima di giudicare i tuoi colleghi come indifferenti http://research.microsoft.com/en-us/um/people/cormac/papers/2009/SoLongAndNoThanks.pdf
Un altro pensiero: le seguenti procedure rallentano il loro flusso di lavoro?E ricevono pressioni per portare a termine le cose rapidamente?Se entrambe sono vere: assicurati che i manager sappiano PERMETTERE il tempo extra e assicurati che i dipendenti sappiano che NON saranno accusati di essere più lenti!
I migliori design sono quelli che svolgono il loro dovere così bene che non te ne accorgi nemmeno.Non credo che le persone si preoccuperanno mai veramente della sicurezza;potresti lanciargli i tronchi ogni giorno e dubito che farebbe molta differenza.Quindi, l'opzione migliore è togliersi di mezzo: rendere la sicurezza così facile da usare che il personale finisce per essere al sicuro per impostazione predefinita.Questo ovviamente dipende interamente dall'ufficio, ma un esempio è se usi smart card per entrare e uscire, ad es.usali anche per accedere.Questo è uno 123456 in meno da ricordare ..
Una volta ero un dipendente di un'azienda come la tua e avevamo politiche severe con sanzioni severe in caso di rottura, lo stesso problema però, le persone non le seguivano e la direzione non poteva licenziare tutti.Poi siamo stati tutti tenuti a leggere il libro di Ira Winkler "Spies Among Us" dopo aver letto questo libro, ho capito perché la mia azienda aveva tutte queste politiche e ha iniziato a partecipare, così come molti altri dipendenti.L'istruzione fa molta strada e questo libro in particolare fa un ottimo lavoro spiegando la sicurezza aziendale all'uomo comune.
Se la tua squadra è in grado di affrontare l'attacco, perché sono un problema?Perché questo è anche il tuo problema?Se sei in grado di documentare che qualcun altro non ha seguito le procedure di sicurezza, il tuo lavoro è al sicuro.Quanti fondi sono disponibili e quanto la sicurezza impedisce la produttività?Tutti hanno le cose necessarie per attuare le misure?La tua sicurezza implica che le persone imparino a memoria passaggi per qualsiasi cosa o conoscano a memoria i requisiti complessi della password?Le persone sono comunque lontanamente in grado di capire perché devono accadere cose e ricordarne le ragioni?
Dieci risposte:
schroeder
2016-10-17 21:56:12 UTC
view on stackexchange narkive permalink

Cultura di alto livello

In base alla mia esperienza, cambiare una cultura della sicurezza richiede 3 passaggi:

  1. Ottieni il consenso della direzione per fare le cose in modo diverso
  2. Ottieni il coinvolgimento della gestione personale per aprire la strada a ciò che è importante
  3. Dai il tono attraverso la formazione, i media e gli eventi di persona che "le persone come noi fanno cose del genere"

Ecco il punto: il management deve guidare la carica in questo, con l'aiuto dei campioni della sicurezza. La direzione deve volere e incoraggiare i controlli tecnici da applicare a se stessi. Se il management ottiene condizioni speciali, il gioco finisce.

Convinci un manager, più in alto, meglio è, per esprimere personalmente e pubblicamente il loro desiderio di partecipare in un ambiente adeguatamente sicuro. Convinci anche loro a esprimere le frustrazioni e gli inconvenienti. Ma comunica anche che gli inconvenienti sono importanti per la salute dell'azienda.

"Mi brontolo la mattina quando mi viene chiesto di cambiare la mia password. Penso di averla cambiata solo [1 | 3] mesi fa! Ma so che quando lo faccio, Sto interrompendo il percorso di un hacker per utilizzare le mie credenziali per danneggiare me e questa azienda "

[sì, sono a conoscenza della controversia sulle frequenti modifiche delle password, ma continua con l'esempio di un secondo]

Quindi, una volta che hai queste grandi basi, inizia a portare quel messaggio a livello personale a tutti.

Insegna loro a proteggersi

Può essere facile per le persone vedere la politica aziendale come disconnessa dalla realtà (hai compilato i tuoi rapporti TPS?) . Quindi spingere al massimo sulla sicurezza aziendale può essere una battaglia persa. Considera invece l'idea di insegnare alle persone come proteggere se stesse e le loro famiglie. Mostra come gli hacker hanno compromesso i computer domestici e i dispositivi mobili e lo fanno. In questo modo, li induci a vedere davvero i pericoli coinvolti. Una volta ottenuto il consenso, è molto più facile spostare l'attenzione sui pericoli sul lavoro.

Prenditi un po 'di denti

Se tutti vanno d'accordo con le norme, allora è fantastico, ma hai bisogno di avere alcune conseguenze peggiori per le persone che non si conformano. Questo è un argomento delicato e devi collaborare con le risorse umane, il GRC e il management per farlo funzionare.

Come nota a margine, per quanto la direzione debba essere coinvolta, devono anche farsi da parte e lasciare che il team di sicurezza faccia ciò che deve fare quando sarà il momento, anche se ciò significa cambiare alcune procedure aziendali di vecchia data.Molti dirigenti tendono a bloccare qualsiasi sforzo, privilegiando la comodità alla sicurezza, senza essere necessariamente i più adatti a prendere la decisione.Un buon management discuterà la questione con il team sec, svilupperà le procedure, ma poi farà un passo indietro e morderà il proiettile come tutti gli altri.
Direi che la parte "denti" di questo ha bisogno di un po 'di enfasi.Trova un manager di fascia media che è ripetutamente in violazione della politica, nonostante i numerosi interventi da parte tua e lavora con la direzione e le risorse umane per licenziarlo (supponendo che i contratti di lavoro abbiano una base giuridica sufficiente per tali azioni).
Penso che l'unica cosa che manca è che la sicurezza deve essere facile.Se la tua password non può avere una [Q o Z] (http://security.stackexchange.com/questions/57909/why-would-you-not-permit-q-or-z-in-passwords) o una[cifra alla fine] (http://security.stackexchange.com/questions/139795/why-would-a-password-requirement-prohibit-a-number-in-the-last-character), le persone non lo sonoentrando a far parte della cultura della sicurezza.
Impara dalle aziende di alto profilo che sono state vittime di hacking, almeno quelle che hanno lavorato più duramente per recuperare.Dopo lo shock iniziale, hanno apportato modifiche di alto livello.Hanno cambiato le loro organizzazioni da "Director of Security" o "VP of Security" a C-suite.Un CISO riporta direttamente al CEO, non al CIO, e può effettuare il cambiamento a livello aziendale in un modo che un manager, un direttore o persino un VP non possono.Questo non è né facile né economico;ma è molto più economico farlo prima che gli hacker causino danni piuttosto che dopo.
Rich
2016-10-18 04:57:05 UTC
view on stackexchange narkive permalink

Pensa ai tuoi utenti come a dei clienti. Li stai aiutando a soddisfare i loro requisiti aziendali per proteggere i dati. Ciò significa che è tuo compito mantenere i requisiti su di essi il più ragionevoli, giustificati e limitati possibile. È ingegneria UX.

Esempi:

  • se rendi difficile ottenere un accesso corretto su un sistema, i gruppi di lavoro condivideranno le password su post-it o lavagne .

  • " security theater" ridurrà la fiducia nel concetto che sono necessarie precauzioni (facendo in modo che le persone abbiano 20 password di caratteri cambiate settimanalmente solo per leggere Intranet).

  • se l'esercito tedesco della seconda guerra mondiale non riuscisse a far seguire ai suoi operatori le istruzioni di sicurezza (come cambiare frequentemente le impostazioni del rotore Enigma) e dato che potevano sparare alle persone per disobbedienza, cosa possibilità hai con la semplice hectoring?

Tanto questo.Il sistema di sicurezza rende difficile essere protetti.Rendere facile la cosa giusta e difficile quella sbagliata è cruciale.
Mark Buffalo
2016-10-18 09:52:52 UTC
view on stackexchange narkive permalink

Questa è una questione davvero difficile, ma se hai la possibilità di cambiare le cose, dovresti dare tutto ciò che hai.

Non puoi cambiare una cultura dall'oggi al domani. Tuttavia, ci sono passaggi che puoi intraprendere per iniziare a cambiare la cultura in meglio.

Applicazione delle policy

Questo è il primo della mia lista. Sono pienamente d'accordo qui che è necessario applicare le politiche di sicurezza e disciplinare coloro che non le seguono. Ciò include tutti, dall'alto verso il basso.

Preferiresti mettere in pericolo l'azienda lasciando che coloro che continuano a sbagliare ripetutamente ... beh, continuino a sbagliare ripetutamente? Non esporre la tua azienda a pericoli inutili.

Le persone disoneste nelle piccole cose sono disoneste nelle cose più grandi e non valgono il tempo necessario per disciplinarle. Queste persone sono in cima alla mia lista di raccomandazioni di terminazione. Chiunque sia onesto su ciò che ha fatto di sbagliato verrebbe sospeso nel peggiore dei casi, a meno che non continui a commettere gli stessi errori più e più volte.

Se qualcuno ha un disaccordo, dagli un posto per esprimere la sua opinione, ma non rotolare solo per loro. Spiega delicatamente perché ... alcuni utenti hanno bisogno di sapere perché, è solo come pensano. Quegli utenti fanno quasi sempre domande sul motivo per cui dovrebbero fare qualcosa. Preparati a insegnare loro.

Se qualcuno si rifiuta di seguire le politiche di sicurezza, devi trovare dipendenti che lo faranno. È davvero così semplice.

Tuttavia, nessuno ha tempo per un gigantesco elenco di regole

Sono dell'opinione che avere troppe regole sia dannoso per chi fa il proprio lavoro. Ecco perché dovresti avere alcune regole specifiche per tutti e quindi creare regole specifiche per il ruolo .

Bobby in contabilità non è rivolto ai clienti. Non ho bisogno di insegnargli su buffer overflow, SQL injection, xss, csrf, qualunque cosa. Cathy in Finance non ha bisogno di conoscere le tecniche di hardening del server.

Tuttavia, Buff Markalo in ingegneria deve assolutamente saperlo. E deve capire le politiche che gli vengono insegnate.

Rendi la formazione facile da digerire e semplice da capire

Devi conoscere il tuo pubblico prima ancora di iniziare, o sei condannato prima di iniziare.

Ricorda, gli esempi sono MOLTO utili per far capire alle persone ciò che stanno leggendo. Elencherò alcuni argomenti di base per aiutarti a iniziare. Sentiti libero di aggiungerli, ma non renderlo invadente.

  1. Sviluppatori .
    • Rendilo specifico per piattaforma e fornisci esempi specifici per piattaforma.
    • Puoi renderlo breve e semplice. Puoi persino sviluppare video facilmente digeribili che durano solo 5 minuti circa per ciascuna delle 10 vulnerabilità principali di OWASP.
    • .gitignore, senza memorizzare le cose sbagliate su GitHub, ecc.
    • Qualunque cosa pertinente per il tuo ambiente.
  2. Dipendenti rivolti ai clienti
    • No all'archiviazione della carta di credito o sei licenziato .
    • Cose da fare e da non fare.
  3. Tutti
    • Spiegazione di phishing / caccia alle balene / ingegneria sociale e come funzionano.
    • Tutto ciò che riguarda il loro ruolo. Rivolto al cliente? Non toccare in alcun modo i dati dei titolari di carta.
    • Non condividere le tue password / account
    • Non configurare risorse non autorizzate (server, macchine virtuali, ecc.)
  4. Amministratori di sistema
    • Procedure di protezione avanzata adeguate
    • Urgenza di aggiornare i componenti vulnerabili
    • Tutto ciò che riguarda il loro ambiente.

E aggiorna sempre ogni volta che trovi un problema che prima non esisteva. Non avrai mai tutto , ma puoi ottenere quasi.

Nuovo orientamento alla sicurezza per le assunzioni

Questo è ovvio. Devi assicurarti che tutte le assunzioni siano sottoposte a orientamento alla sicurezza. Se crei un pacchetto di apprendimento digeribile che presuppone che tutti abbiano una breve capacità di attenzione, avrai un successo molto migliore rispetto ai video di sicurezza di oltre 2 ore con un ragazzo che continua a ronzare con voce seria. Non voglio nemmeno guardare quelle stronzate.

Fai loro un quiz

Avrai bisogno di vedere se capiscono davvero cosa stanno imparando. Fai fare a tutti un quiz annuale e non permettere a coloro che non riescono a continuare a lavorare se non lo superano.

Anche i quiz di rinforzo e i quiz sulle competenze generali possono aiutare.

Non dimenticare di conoscere il tuo pubblico di destinazione. Se al tuo pubblico di destinazione piace l'umorismo immaturo, usalo nei quiz.

Risolvi i problemi di sicurezza e affronta coloro che li causano

Hai un cacciatore? Invitali a cercare i problemi di sicurezza sulle tue reti e spiegali in profondità ai team responsabili di questi buchi. Documenta tutto ciò che hanno fatto di sbagliato, avvicinati e digli che deve essere risolto.

Se si rifiutano di correggere o modificare, consulta la sezione Applicazione delle norme sopra.

Non credere a quello che ti dicono gli utenti. Verifica sempre quello che dicono. Le persone oneste sono le persone con cui è più facile lavorare al mondo. Le persone disoneste creano molti più problemi di quanti ne aiutano.

Ricapitolare

  1. Applicazione delle politiche
  2. Nessuna regola prepotente. Non impedire alle persone di portare a termine il proprio lavoro.
  3. Rendilo facile da digerire e semplice da capire. KISS funziona davvero bene.
  4. Nuovo orientamento alla sicurezza.
  5. Fai un quiz.
  6. Dai la caccia ai problemi di sicurezza e affronta coloro che li creano.

    7. Nel tempo, le persone cambieranno. A volte è una battaglia in salita, ma vale la pena combattere.

Questo è abbastanza completo.Un problema che vedo e che non penso tu abbia affrontato direttamente è che a volte ci sono regole legittime che dicono: non fare X ma non esiste un approccio approvato che consenta di affrontare una determinata esigenza aziendale.In altre parole, il punto di queste politiche deve essere: "come risolvere i problemi aziendali senza rischi inutili" e non "ecco tutte le cose che non puoi fare".In caso contrario, la "necessità aziendale" diventerà rapidamente una chiave fondamentale per aggirare le politiche di sicurezza.
Buff Markalo, eh.
grochmal
2016-10-18 05:28:29 UTC
view on stackexchange narkive permalink

Farò una piccola deviazione e risponderò alla domanda implicita in questa parte:

ma a loro semplicemente non interessa

La risposta di @ shroeder è già copre il punto di partenza che è avere la gestione dalla tua parte. E insegnare alle persone come proteggersi è un'ottima idea su come eseguire l'indottrinamento, ma lo estenderò. Chiediamoci come puoi motivare i dipendenti dell'azienda ad essere più consapevoli della sicurezza.

In generale, per quanto riguarda il cambiamento delle abitudini di lavoro, incontrerai tre tipi di persone. Fornendo incentivi a ciascun tipo, aumenterai le tue possibilità di implementare con successo una cultura della sicurezza. Potresti incontrare:

  1. L'uomo in carriera : il più delle volte rappresentato da quadri o project manager. Il loro obiettivo è documentare le loro capacità e tu lo esplorerai. Fornisci loro la formazione sulla sicurezza in sessioni ufficiali con certificati di completamento.

    Un certificato significa poco in termini di conoscenza effettiva, ma puoi eseguire un esame per distribuire effettivamente i certificati. Puoi farli studiare, da soli.

  2. Il geek : personale tecnico, personale operativo (a seconda dell'azienda) e spesso altri membri del personale che potrebbe cercare di far evolvere la loro carriera. Il loro obiettivo è la curiosità. A un disadattato, puoi mostrare un esempio di debug di un malware o spiegare un buffer overflow e da lì estendere i criteri che desideri implementare. Fornisci loro fatti curiosi e poi collegali ripetutamente alla sicurezza aziendale.

  3. Il drone : alcune persone semplicemente non vogliono cambiare. Vogliono semplicemente che gli venga detto ogni dettaglio di ciò che devono fare e non fanno mai più di quello. Possono essere trovati in ogni luogo e livello all'interno di un'azienda. E non esiste una regola magica qui, è necessario farli affrontare delle conseguenze se non rispettano le politiche. Spesso è necessario applicare queste conseguenze in modo molto spietato per assicurarsi che altri droni si adattino ad esse.

gWaldo
2016-10-18 18:02:17 UTC
view on stackexchange narkive permalink

Questa è una situazione difficile a cui porre rimedio se sei già pronto per avere una relazione antagonista con gli altri dipartimenti.

Ci sarà un intero pasticcio di supposizioni in questa risposta. Questi sono solo alcuni pensieri basati sulle mie esperienze. YMMV.

Guidare il cambiamento culturale è difficile e in genere dovrai cambiare diversi gruppi per occuparti della sicurezza in modo diverso:

  • Dipartimento di sicurezza:
    • Sarà necessario che la sicurezza si preoccupi meno della sicurezza per il bene della sicurezza.
    • Potrebbe essere necessario che si svolgano discussioni informate sul "rischio accettabile". Ci saranno momenti in cui il prodotto avrà la precedenza.
    • Smetti di presentare una cultura del "no".
    • Semplifica il test per la conformità della sicurezza "di base". (Incorporare i test di sicurezza nelle pipeline CI / CD, ad esempio.)
  • Team di sviluppo:
    • Dovrai convincere altri team a prendere in considerazione la sicurezza anteriore, come caratteristica principale del prodotto.
    • Dovrà essere una considerazione continua; il tempo deve essere allocato in anticipo su base ricorrente (sprint, settimana, mese, ecc.) per valutare le versioni di piattaforma / framework / plugin per le patch di sicurezza. Rendi il tempo relativamente breve, ma assicurati che 4 ore persona per ogni sprint siano pre-assegnate per l'igiene.
  • Sistemi / Operazioni
    • Ricorda loro che sei lì per aiutarli. (Stick and Carrot non funziona se non hai una carota.)
    • Lavora con Systems / Ops per automatizzare patch di sicurezza e report di conformità.
    • Ci vuole tempo, quindi fai del tuo meglio per non sorprenderli con un avviso schiaffo senza preavviso, se possibile. I team Sys / Ops non apprezzano essere gettati sotto un autobus quando, ad esempio, un rapporto di revisione sulla sicurezza va alla leadership esecutiva.
    • Aiutali a incorporare i test di sicurezza con il monitoraggio operativo
    • Ad esempio, potrebbero avere un monitor https che si spegne prima della scadenza del certificato, ma è meno probabile che ne abbiano uno per cifrature deboli.

Infine, ci sono molte informazioni da trarre dal discorso di Ben Hughes DevOpsDaysMSP 2014 "Handmade Security at Etsy", dove discute proprio di questo argomento.

undo
2016-10-18 19:41:22 UTC
view on stackexchange narkive permalink

Ok, dovresti provare questo solo se NULLA ALTRO FUNZIONA. Sei stato avvertito.
Ecco il punto, gli umani spesso non si rendono conto dell'importanza di qualcosa finché non lo perdono, allo stesso modo in cui le persone non iniziano a eseguire backup dei dati fino a quando non perdono prima qualcosa di importante a causa di un guasto hardware.

Mostrare loro quanti attacchi hai prevenuto non aiuta. Diventerebbero ancora più sicuri che puoi resistere a qualsiasi attacco. Ciò di cui hai bisogno è un attacco riuscito. O almeno fai sembrare che uno abbia avuto successo.

Quindi ... In vacanza o qualcosa del genere, fai finta che la tua rete sia stata presa di mira e compromessa. Rendilo convincente . Metti offline le unità di rete per un'ora o due. E poi dì che sei riuscito a recuperare tutto, ma l'attacco è stato causato perché qualcuno ha lasciato importanti credenziali riservate in giro o il proprio account loggato su un PC pubblico. Se questo non funziona, non funzionerà nient'altro . Una volta ho fatto questo alla mia squadra e, credetemi, hanno perso tutta la loro disattenzione. Lo shock di aver perso il progetto a cui stavano lavorando da mesi li ha resi molto seri riguardo alla sicurezza.

Tuttavia, ci sono alcune cose che dovresti tenere a mente:

  • Il tuo capo / gli anziani dovrebbero essere a conoscenza di questo attacco in scena. Dite loro che questo è l'unico modo per proteggere l'organizzazione da un grave attacco in futuro. MA DIRLO . Non vuoi davvero essere licenziato perché hai cercato di insegnare a qualcuno l'importanza di stare attento con le proprie password.

  • I tuoi colleghi potrebbero non reagire bene se si rendono conto che l'intero incidente è stato inscenato. Per favore pensaci prima di rivelare questo a loro. La mia squadra ha capito perché l'ho fatto. Il tuo potrebbe no.

PENSA MOLTO PRIMA DI ANDARE AVANTI CON QUESTO.

Quando scopriranno che era un falso, perderai ogni fiducia che avrebbero potuto avere in te.C'è sempre qualcos'altro da provare.
Questa è un'idea orribile.Se devi minacciare e mentire al tuo personale per indurlo a seguire le politiche aziendali, la tua azienda ha seri problemi di gestione che devono essere affrontati prima di preoccuparsi di InfoSec.
@whitehat101 Abbastanza giusto ...
@Schroeder Forse rinunciare all'amicizia / fiducia è un compromesso adatto in cambio di un ambiente sicuro se hai intenzione di gestire informazioni molto sensibili?IDK, spetta all'OP decidere.Penso di aver incluso abbastanza avvisi?Inoltre, l'OP non * deve * dirglielo ... A volte hai bisogno di mentire per fare le cose.È così e basta.
Non si tratta di amicizia, si tratta di essere in grado di comunicare in qualsiasi momento in futuro con i tuoi colleghi.Senza fiducia, puoi dimenticare di costruire qualsiasi tipo di cultura o di guidare la tua organizzazione verso un ambiente più sicuro.
Anche se sono fermamente convinto che la fiducia sia il valore ultimo nella comunicazione sicura (specialmente in una società interconnessa), vedo che questo potrebbe funzionare se fatto su scala minore.Quello che voglio dire è che non far perdere il lavoro alle persone, potresti accidentalmente compromettere la rete in un momento molto critico per alcuni (e potresti tenere sulla coscienza che qualcuno è stato licenziato perché non ha consegnato qualcosa in tempo).Invece aggira questo problema come uno scherzo amichevole.Infetta le macchine e poi un giorno dì ai tuoi colleghi: vuoi vedermi spegnere tutti i tuoi dispositivi personali in questo momento?
@schroeder - Puoi comunicarlo come un "trapano" invece che come un "falso" e non c'è perdita di fiducia.Analogia: Mi aspetto che il tuo ufficio faccia periodiche esercitazioni antincendio, ma non hai perso la fiducia nel tuo vigile del fuoco a causa di questi "falsi".
@paj28 è ... un'idea abbastanza buona
Stephan Branczyk
2016-10-21 07:51:41 UTC
view on stackexchange narkive permalink

Il problema che stai descrivendo si applica anche ai cani che annusano droghe e bombe.

Non importa quanto urli contro di loro e li minacci, i cani che annusano droghe e bombe possono perdere interesse molto rapidamente se non riescono a trovare quello che stanno cercando nonostante tutto il lavoro che stanno facendo.

Ecco perché l'addestratore ha bisogno di nascondere costantemente droghe false o bombe false per mantenere il cane impegnato nella sua attività. E sì, l'addestratore userà inizialmente dei dolcetti, per associare alla ricerca di qualcosa e per rafforzare la ricompensa, ma ciò che alla fine mantiene il cane impegnato è l'elemento del gioco e l'idea che il cane stia cercando qualcosa che molto probabilmente sarà trovato (anche se l'oggetto trovato deve essere falsificato per la maggior parte del tempo per mantenere l'interesse del cane).

Questo è il motivo per cui la tua azienda dovrebbe implementare un regime regolare di test di penetrazione e attacchi di ingegneria sociale, per poi rivedere regolarmente i risultati in seguito con tutte le persone coinvolte. Non c'è davvero alcun sostituto per questo genere di cose.

Il fatto è che i tuoi server potrebbero essere continuamente martellati dai port scanner, ma questo non importa ai tuoi dirigenti o ai tuoi receptionist. Quello che devono vedere sono gli attacchi effettivi che li colpiscono, o a cui non hanno pensato, e il modo migliore per farlo è tentare quegli attacchi nell'ambiente a cui sono abituati.

Questo allevia anche il peso dell'imbarazzo sociale quando si confronta o si blocca qualcuno di percepita autorità superiore o uguale. Al mio posto di lavoro, avevamo una politica rigorosa di non permettere a nessuno che non conoscevamo di seguirci attraverso la porta dopo aver utilizzato la nostra carta RFID per entrare. Ma ovviamente, gli stagisti del college e i guardiani notturni non avrebbero mai chiesto le credenziali di qualcuno che sembra come se potesse lavorare lì. Per fare qualcosa del genere, dovevano pensare che c'era una ragionevole possibilità che fosse un test o un'esercitazione, poiché la probabilità effettiva che fosse un cattivo ragazzo / ragazza era in realtà molto bassa in termini comparativi.

E per favore, non pensare che sto incolpando solo i bidelli e gli stagisti, non sono gli unici che potrebbero violare il protocollo solo perché sono troppo gentili o perché stanno soluzioni convenienti. Dipendenti, dirigenti e molti altri faranno la stessa cosa.

Overmind
2016-10-19 11:27:36 UTC
view on stackexchange narkive permalink

Il più grande problema di sicurezza è in realtà il pool di utenti.

Nessuna sicurezza può sconfiggere la stupidità dell'utente (come fare clic su uno script ricevuto da un'e-mail casuale).

Cosa si cosa da fare:

  • presentare i rischi per la direzione

  • presentare esempi di cose brutte accadute

  • presentare un piano di contromisure (tecnico)

  • richiedere di avere regole obbligatorie per tutti e applicare la propria policy di sicurezza (crearne una se non si dispone già)

  • richiedere la creazione di un sistema di sanzioni per coloro che hanno dimostrato di infrangere le regole più volte

  • organizzare la gestione formazione con gli utenti - questa è la cosa più importante - la formazione deve contenere di tutto, dai problemi di sicurezza più complessi che possono essere prevenuti dalla conformità degli utenti alla semplice lista delle cose da non fare (cioè non fare clic sui collegamenti nelle e-mail)

Sebbene la tecnologia non possa sconfiggere tutta la sicurezza degli utenti, può sconfiggerne gran parte e ci sono numerose soluzioni al problema menzionato: filtro del gateway di posta, configurazione del client di posta elettronica rafforzata, sandbox del desktop, ecc.
Nessun filtro di posta elettronica di questo mondo può negare un collegamento a un sito Web che non è ancora stato inserito nella lista nera da qualche parte.E gli anti-virus non bloccheranno quello che sembra un legittimo modulo di invio di e-mail (cosa che in realtà è, dal punto di vista tecnologico: sono le destinazioni e i tassi di utilizzo che fanno il danno).
Il tuo esempio era uno script allegato a un'e-mail.I gateway di posta possono filtrare in base al tipo di contenuto, bloccando tutti gli script.Collegamenti a siti Web dannosi: è possibile configurare il client di posta in modo che non visualizzi collegamenti.Ma forse li vuoi.Il sandboxing desktop come Bromium esegue il browser in una VM usa e getta.Davvero, ci sono buone soluzioni.Hai scelto un paio di esempi che non sono all'altezza del loro clamore di marketing.Ma in realtà esistono buone soluzioni.
No, lo script nel sito Web di destinazione.L'e-mail contiene solo il collegamento a quello su cui l'utente di cowox fa clic ed esegue lo script, che era il mio punto iniziale.Il sandboxing e cose simili sono quasi impossibili da implementare a causa dello stesso identico problema: gli utenti.Riescono a malapena a comporre e-mail, come ti aspetti che utilizzino le VM?
Che tipo di sceneggiatura intendevi?È possibile configurare browser / Windows in modo che gli utenti non possano scaricare ed eseguire file eseguibili.Bromium esegue il sandboxing in modo trasparente, gli utenti non lo sanno.Non sono coinvolto con loro, ma è roba interessante.Inoltre, sembra che tu abbia ignorato il mio punto di vista sulla configurazione del client di posta per non visualizzare i collegamenti, che è una difesa utile.
Non è un .exe acutal, solo un VB o JS o molte altre varianti.Legge la password dell'utente da Outlook e quindi invia automaticamente le e-mail.Gli antivirus non rilevano nulla.Non posso ignorare il collegamento perché ci sono molte e-mail ufficiali che comunicano collegamenti a pagine client, configurazioni client o offerte, quindi non posso negarle.
I criteri di restrizione software possono impedire agli utenti di eseguire vb / js.Se vuoi maggiori informazioni, apri una nuova domanda e avvisami qui.
Non posso farlo perché gli utenti hanno bisogno di vb / js per il loro lavoro quotidiano.Hanno varie applicazioni che utilizzano vb e js.
Ciao Overmind.In precedenza mi sono offerto di spiegare tutto questo in modo più dettagliato se fai una domanda separata.L'offerta è ancora valida.
paj28
2016-10-20 13:28:04 UTC
view on stackexchange narkive permalink

Semplicità & Coerenza

Le politiche di sicurezza devono essere facili da seguire per le persone. Molte organizzazioni hanno politiche che non riflettono la realtà, sono contraddittorie e che le persone devono interrompere per svolgere il proprio lavoro. La soluzione è rendere le politiche semplici e accettare il feedback degli utenti.

L'applicazione dovrebbe essere coerente. Se alcune persone infrangono le politiche e non accade nulla, ciò incoraggia gli altri. Utilizzare la tecnologia per applicare le politiche il più possibile, affidarsi ai singoli utenti come controllo di sicurezza dovrebbe essere l'ultima risorsa. Inoltre, il modo migliore per impedire alle persone di divulgare informazioni è di non darli loro in primo luogo.

Altri hanno menzionato la necessità di un "bastone" di applicazione per le persone che non rispettano. Penso che sia controproducente e scoraggia le persone dal parlare apertamente.

Classificazione

Devi capire quali parti della tua operazione sono critiche. Tutto negli affari è importante in una certa misura, ma alcuni bit sono "regolari importanti" e altri sono "super critici".

I bit super critici per i quali hai bisogno di avere controlli molto forti. E i bit regolari che hai controlli che sono un equilibrio tra sicurezza e usabilità.

Penso che molti problemi nella sicurezza aziendale siano l'incapacità di farlo. Il dipartimento di sicurezza cerca di convincere l'intera azienda a lavorare a un livello "super critico", il che non è realistico.

G.Sch.
2016-12-27 17:32:37 UTC
view on stackexchange narkive permalink

Mostra il PERCHÉ

Ci sono già ottime risposte a questa domanda, ma permettimi di contribuire con questo piccolo dettaglio:

Per portare i tuoi utenti dalla tua parte mostra loro PERCHÉ tutti questi requisiti delle norme sono fondamentali!

Ecco un esempio molto semplice: fornisci loro esempi di come è possibile sfruttare rapidamente le password non valide.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...