Киберучения для «Союзмультфильма»: как имитация атак помогает закрепить результаты обучения сотрудников основам ИБ
15 февраля 2024
Один из способов укрепить защиту компании от действий киберпреступников — повысить уровень осведомленности своих сотрудников о базовых правилах информационной безопасности. Помогут в этом специальные лекции и семинары, обучающие материалы, инструкции и памятки.
Однако, чтобы закрепить результат и оценить эффективность мер, потребуется контролируемое моделирование ситуаций, в которых такие знания могли бы пригодиться. О том, как тестирование методами социальной инженерии усиливает классические подходы в обучении основам ИБ, рассказываем на примере совместного проекта со студией «Союзмультфильм».
Один из способов укрепить защиту компании от действий киберпреступников — повысить уровень осведомленности своих сотрудников о базовых правилах информационной безопасности. Помогут в этом специальные лекции и семинары, обучающие материалы, инструкции и памятки.
Однако, чтобы закрепить результат и оценить эффективность мер, потребуется контролируемое моделирование ситуаций, в которых такие знания могли бы пригодиться. О том, как тестирование методами социальной инженерии усиливает классические подходы в обучении основам ИБ, рассказываем на примере совместного проекта со студией «Союзмультфильм».
Какую задачу решали
«Союзмультфильм» запланировал внутреннее обучение для повышения информированности своей команды в области кибербезопасности. Организаторы решили не ограничивать сотрудников только теоретическим освоением темы. Для этого потребовалось провести специальные негласные киберучения. В этом помогла команда Центра кибербезопасности УЦСБ.
Что было сделано
Было решено проводить тестирование сотрудников в два этапа: до и после обучения. В обоих случаях эксперты Центра кибербезопасности прибегли к методам социальной инженерии и использовали четыре одинаковых сценария, усложнив их на втором этапе. Так, они задействовали электронные письма с «вредоносным» вложением, фишинговые ресурсы, поддельную точку доступа Wi-Fi и «заражённые» флеш-накопители.
Письма с «вредоносным» вложением должны были побудить адресата открыть прикрепленный текстовый или табличный файл. Это действие разрешало выполнение макроса (программного алгоритма действий), который отправлял информацию на выделенный сервер. Запуск вредоносного кода в случае реальной атаки мог бы привести к проникновению нарушителя во внутреннюю сеть компании.
Ссылки на фишинговые страницы, имитирующие рабочие сервисы студии, также распространялись с помощью email-рассылки. Они должны были спровоцировать пользователя ввести корпоративные учетные данные. В реальной ситуации это могло бы привести к их краже и последующему использованию хакерами для доступа к ресурсам компании.
За время всех киберучений сотрудникам было отправлено около 700 писем с «вредоносным» вложением или ссылкой на фишинговый ресурс. При этом благодаря основательной защите почтового сервиса студии эти задачи потребовали определенных усилий и предприимчивости даже со стороны белых хакеров Центра кибербезопасности УЦСБ.
Поддельные точки доступа корпоративного Wi-Fi также были направлены на сбор учетных данных, однако на эту уловку не был пойман ни один сотрудник. В случае подброшенных в офис студии «зараженных» флеш-накопителей многие проявили бдительность, передавая найденные устройства отделу по кибербезопасности, и не использовали их на своих рабочих компьютерах.
Письма с «вредоносным» вложением должны были побудить адресата открыть прикрепленный текстовый или табличный файл. Это действие разрешало выполнение макроса (программного алгоритма действий), который отправлял информацию на выделенный сервер. Запуск вредоносного кода в случае реальной атаки мог бы привести к проникновению нарушителя во внутреннюю сеть компании.
Ссылки на фишинговые страницы, имитирующие рабочие сервисы студии, также распространялись с помощью email-рассылки. Они должны были спровоцировать пользователя ввести корпоративные учетные данные. В реальной ситуации это могло бы привести к их краже и последующему использованию хакерами для доступа к ресурсам компании.
За время всех киберучений сотрудникам было отправлено около 700 писем с «вредоносным» вложением или ссылкой на фишинговый ресурс. При этом благодаря основательной защите почтового сервиса студии эти задачи потребовали определенных усилий и предприимчивости даже со стороны белых хакеров Центра кибербезопасности УЦСБ.
Поддельные точки доступа корпоративного Wi-Fi также были направлены на сбор учетных данных, однако на эту уловку не был пойман ни один сотрудник. В случае подброшенных в офис студии «зараженных» флеш-накопителей многие проявили бдительность, передавая найденные устройства отделу по кибербезопасности, и не использовали их на своих рабочих компьютерах.
Результаты киберучений
Имитация действий злоумышленников с использованием практик социальной инженерии помогает оценить привычное поведение сотрудников, исполнение существующих инструкций и регламентов, а также сформировать практические рекомендации по повышению уровня кибербезопасности в компании.
Киберучения в «Союзмультфильме» наглядным образом показали пользу такого подхода. Опираясь на действия сотрудников в условиях, приближенных к реальным, и статистические данные по реализованным атакам, организаторы смогли сделать объективные выводы об уровне подготовки персонала и эффективности обучения. Кроме того, случаи успешно выполненных атак дополнительно позволили выявить и оперативно устранить проблему парольной политики.
Киберучения в «Союзмультфильме» наглядным образом показали пользу такого подхода. Опираясь на действия сотрудников в условиях, приближенных к реальным, и статистические данные по реализованным атакам, организаторы смогли сделать объективные выводы об уровне подготовки персонала и эффективности обучения. Кроме того, случаи успешно выполненных атак дополнительно позволили выявить и оперативно устранить проблему парольной политики.
Изображения с сайта souzmult.ru
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы