?

Log in

No account? Create an account

Previous Entry | Next Entry

Учебные тревоги


План эвакуации. Также см. по ссылке
Сегодня у нас в доме проводили учебную пожарную тревогу. С настоящими пожарными, сиреной, дымовыми шашками и учебной эвакуацией из самого высокого корпуса. Идея очень правильная. Каждый должен "знать свой маневр", особенно когда требуемые действия не столь очевидны, как "ложись" или "беги".

На взгляд вашего покорного слуги, отделы ИБ тоже должны раз в полгода устраивать пользователям учебные тревоги для отработки следующих действий:
  • заражение рабочей станции неизвестным вирусом;
  • получение по электронной почте сообщения от фишера;
  • получение сообщения о некорректном SSL-сертификате корпоративного сервера;
  • социально-инженерный звонок с просьбой выполнить те или иные действия с компьютером;
  • подозрительные действия соседа по офису, например, фотографирование экрана монитора;
  • появление в офисе незнакомого лица, что-то подключающего к сети;
  • получение от непосредственного начальника приказа, который противоречит политике безопасности.
Одно дело – прочесть указания в 101-й по счёту инструкции, и совсем другое – проделать те же действия "на местности". И самому понятнее, и запоминается куда как лучше.

Кстати, создать сценарий проведения учебной тревоги по ИБ – дело не простое. Требуется, чтоб и моделируемая ситуация была типична, и процесс интересный, и отвлечение от основной работы минимально, и обстановка "максимально приближенная к". За хороший сценарий и денег заплатить не жалко.


Comments

( 21 comments — Leave a comment )
pascendi
Dec. 14th, 2009 10:12 am (UTC)
Как Вы интересно сформулировали: "учебные тревоги для отработки следующих действий:
заражение рабочей станции неизвестным вирусом" и т.д. :-)

Пользователь, стало быть, должен отрабатывать процесс заражения рабочей станции вирусом?

А если серьезно, то хотелось бы понять, как именно будет имитироваться заражение рабочей станции? Или Вы предлагаете в тренировочных целях службе ИБ целенаправленно заражать рабочие станции неизвестным пользователям вирусом?
infowatch
Dec. 14th, 2009 11:05 am (UTC)
С известным вирусом запросто справится антивирус - это отрабатывать не интересно.

Как имитировать? А как в армии: "Внимание! Вспышка справа!" Натуралистичность тут вовсе не обязательна.
evil_harconen
Dec. 14th, 2009 11:38 am (UTC)
Сперва про пожарных. В банке сгорел один из офисов (конкретно сгорел, офис на 500 человек). Через полгода чувствую характерный запах плавящегося пвх. Звоню завхозу (ответственному за пожары). Он отвечает, что, типа того, не ссы, до утра не сгорим, а утром вызову электриков.

Один крупный оператор сотовой связи. Доступ у управлению услугами через интернет. Сертификат самовыпущенный.

Одна очень государственная финансовая структура. Гастарбайтеры строят кирпичные стены в серверной (стены - по делу). Под потолком болтался жгут пятой категории в полста штук. Замуровали в стенку. Что говорили работнички я не понял, а прораб говорил, что, эта, вот, не причем он, они сами так работают.

Еще один крупный банк. Купили систему интернет банкинга (довольно давно). Мастер ключ лежит в открытом виде в c:\. Поставщик: так еще никто не жаловался!

Чиста конкретный большой банк. Несколько раз лежал не менее суток от броадкастового шторма. Все отделения были в одном сегменте.

Один крупный процессинговый центр. Почти все банкоматы работали с ключом шифрования пина 0-F. Типа удобно так. Может и до сих пор работают ;-)

Другой крупный банк. Прибегает мелкий бабайчик к админу: запиши все пароли и отдай вот тому новому хмырю! Единственный положительный пример, ибо админ ответил: а не пошел бы ты на... в... бегом!

А вы говорите учения... Систему менять надо.
slavka
Dec. 14th, 2009 11:58 am (UTC)
дык на то и есть учения

Звоним завхозу (ответственному за пожары) с жалобой на запах дыма. Он отвечает, что, типа того, не ссы, до утра не сгорим
штрафуем (увольняем) завхоза, переходим к следующему пункту
итд
evil_harconen
Dec. 14th, 2009 12:02 pm (UTC)
Ха. Оштрафуешь (уволишь) такого, который в доле с Главным... Кстати, к моменту приезда электриков проблемный провод в щитке конкретно дымился. Завхозу было ничего.

И прочие примеры тоже не просто так ;-) Хотя что-то было исправлено. А что-то - нет (во всяком случае мне это неизвестно).
slavka
Dec. 14th, 2009 12:04 pm (UTC)
Оштрафуешь (уволишь) такого, который в доле с Главным
звонок в пожарную инспекцию?
evil_harconen
Dec. 14th, 2009 12:06 pm (UTC)
А кто звонить будет? Никому не интересно выносить сор из избы. Интересно избежать второй катастрофы или, по крайней мере, остаться живым и здоровым.
slavka
Dec. 14th, 2009 12:07 pm (UTC)
Никому не интересно выносить сор из избы
а почему?
evil_harconen
Dec. 14th, 2009 12:09 pm (UTC)
Ну как вы себе представляете судьбу сотрудника крупной организации, который настучал в госорган? Особенно, если это дело не в его компетенции.
slavka
Dec. 14th, 2009 12:12 pm (UTC)
настучать анонимно (в письменом виде)?
копию – в службу безопасности пожарнадзора, им тоже будет интересно, возьмет ли пожарник взятку
evil_harconen
Dec. 14th, 2009 01:26 pm (UTC)
Обсуждение нас завело в известный этический тупик (на самом деле нифига не тупик, но это неважно).

Главнее понять, что надо делать, чтобы учения проводились регулярно. Я, например, такого способа не знаю.

Во всяком случае учения по событиям, угрожающим жизни и здоровью людей учения надо проводить обязательно. Даже если законодательство ничего не сделает в случае катастрофы.

Было у меня дважды провести учения по этой теме (оба раза связаны с пожаром). Один раз почти сработал датчик утечки газа на системе пожаротушения, а в серверную проходили через "стакан" (пускают по одному, по карте с кодом). Большая железная дверь с электромагнитным замком, который должен был выключиться при срабатывании тревоги, оказалась заперта на ключ, ключ у охраны семью этажами ниже.

Ну и второй раз после пожара в офисе. И после рассматривания разрухи после действий пожарных (хотя примерно половину оборудования удалось спасти - не от пожара, а от пожарников).

Что касается учений по информационной безопасности, то мысль эта хорошая. Но, на мой взгляд, установка (имитация) неизвестного вируса - абсолютно бессмысленное действие.

А вот проблемы с нарушением информационной безопасности в технологическим цикле - очень даже востребованные учения. Правда, эти учения не могут провести консультанты. А про качество собственных специалистов (в т.ч. и в информационной безопасности) в 80% компаний я лучше промолчу.
slavka
Dec. 14th, 2009 02:09 pm (UTC)
Обсуждение нас завело в известный этический тупик
в смысле "стучать западло"? я так не считаю.

Главнее понять, что надо делать, чтобы учения проводились регулярно. Я, например, такого способа не знаю.
надо
1) установить правила по проведению учений
2) наказывать тех, кто правила не выполняет (и поощрять тех кто выполняет).

на мой взгляд, установка (имитация) неизвестного вируса – абсолютно бессмысленное действие
а по мне так наоборот
на компе главбуха появляется некое левое окошко и предлагает нажать "ОК" (реализуется элементарно силами своих же программистов)
варианты поведения главбуха
1) нажимает ОК и никому не говорит (надавать по башке и оштрафовать)
2) звонит в службу ИТ и жалуется что у него вирус (дать премию)

постепенно такими "павловскими" методами можно выдрессировать всех.

А вот проблемы с нарушением информационной безопасности в технологическим цикле – очень даже востребованные учения. Правда, эти учения не могут провести консультанты
почему? Имхо, именно консультанты и должны этим заниматься
evil_harconen
Dec. 14th, 2009 02:18 pm (UTC)
> в смысле "стучать западло"? я так не считаю.
Нет нет. Совсем другой. Настучишь - испортишь себе жизнь.

> 1) установить правила по проведению учений

Легко

> 2) наказывать тех, кто правила не выполняет (и поощрять тех кто выполняет).

Топы. Кто их накажет? Акционерам до лампочки - их волнует, чтобы воровство не превышало разумных пределов. А пинать рядовых сотрудников без согласия топов - глупо и опасно.

>на компе главбуха появляется некое левое окошко и предлагает нажать "ОК" (реализуется элементарно силами своих же программистов)
варианты поведения главбуха
> 1) нажимает ОК и никому не говорит (надавать по башке и оштрафовать)
> 2) звонит в службу ИТ и жалуется что у него вирус (дать премию)

Вау. Это разводка со стороны безопасников чистейшей воды. Башку оторвут именно безопасникам.

А вот перехватить конфиденциальный документ, открыто посланный по мэйлу и провести разъяснительную беседу с бухами вместе с главбухом - очень полезно (условно, обычно есть бесконечно более разгильдяйские подразделения, чем бухгалтерия, которые пилят реальное бабло).

Подменить циферки в файле, который грузится в бухгалтерскую систему и настучать по башке тем, кто не выявил расхождения - чрезвычайно актуально (только подменять ничего не надо - таких ошибок ежедневно в большой конторе куча).

И т.п. Т.е. работа по безопасности, но как бы со стороны технологий. Поверьте, как минимум в нескольких отраслях это основа. А компрометация информации и новые вирусы - это мелкая неприятность по сравнению с текущими ошибками.
slavka
Dec. 14th, 2009 02:28 pm (UTC)
Настучишь – испортишь себе жизнь.
каким образом анонимное письмо в пожарную инспекцию может испортить "стукачу" жизнь?

> 2) наказывать тех, кто правила не выполняет (и поощрять тех кто выполняет).
Топы. Кто их накажет?
государство.

Вау. Это разводка со стороны безопасников чистейшей воды. Башку оторвут именно безопасникам.
за что? :? за то что они выяснили, что главбух – безответственный идиот и не умеет соблюдать правила безопасности?

А вот перехватить конфиденциальный документ, открыто посланный по мэйлу и провести разъяснительную беседу с бухами вместе с главбухом – очень полезно
без соотв. стимулов (по башке) – бесполезно. У них, панимаэш, важная работа а вы тут в бирюльки компутерные играетесь.

Подменить циферки в файле, который грузится в бухгалтерскую систему и настучать по башке тем, кто не выявил расхождения – чрезвычайно актуально
а это типа не разводка?

компрометация информации и новые вирусы – это мелкая неприятность по сравнению с текущими ошибками.
одно другому не мешает. Если топы тупо запускают все аттачменты, которые приходят им на мыло, то веселье будет то еще
evil_harconen
Dec. 14th, 2009 02:38 pm (UTC)
> каким образом анонимное письмо в пожарную инспекцию может испортить "стукачу" жизнь?

Все вскроется. И совсем за недорого.

>>Топы. Кто их накажет?
>государство.

Ну прикроют бизнес. Кто в выигрыше? Не в этом смысл.

>>Вау. Это разводка со стороны безопасников чистейшей воды. Башку оторвут именно безопасникам.
>>за что? за то что они выяснили, что главбух – безответственный идиот и не умеет соблюдать правила безопасности?

Главбух нормальной работающей организации: отбивается от проверок, выводит деньги акционерам с минимальными потерями, покрывает воровство топов. Если он при этом клинический идиот - это не проблема всех перечисленных, их то все устраивает.

> без соотв. стимулов (по башке) – бесполезно. У них, панимаэш, важная работа а вы тут в бирюльки компутерные играетесь.

Обычно такая угроза успешно работает до первого применения. Поэтому гораздо выгоднее убедить начальника выполнять какие-то действия самому и
полечить сотрудников. Обычное давление легко прекращается увольнением (или подставой) давящего.

>>Подменить циферки в файле, который грузится в бухгалтерскую систему и настучать по башке тем, кто не выявил расхождения – чрезвычайно актуально
>а это типа не разводка?

Во-первых я говорил ранее, что это обычные ежедневные ошибки. А во-вторых имитация обычной ошибки - имеет право на жизнь, а имитация невероятного случая - нет.

> Если топы тупо запускают все аттачменты, которые приходят им на мыло, то веселье будет то еще

Будет веселье для эникейщика ночью даже без спасиба переустанавливать винды на ноуте топа. И всё. Плавали. Знаем ;-)
slavka
Dec. 14th, 2009 02:46 pm (UTC)
Все вскроется. И совсем за недорого.
а шифроваться лучше надо.

Ну прикроют бизнес. Кто в выигрыше?
те, кто не сгорит при пожаре?

Главбух нормальной работающей организации: отбивается от проверок, выводит деньги акционерам с минимальными потерями, покрывает воровство топов. Если он при этом клинический идиот – это не проблема всех перечисленных, их то все устраивает.
пардон, если Вас не интересует тема информационной безопасности, какого хрена Вы затеяли данную дискуссию?

засим прощаюсь.
infowatch
Dec. 14th, 2009 08:00 pm (UTC)
Да подобное разоблачение само по себе равно половине пожара! Какие уж тут учения!
evil_harconen
Dec. 14th, 2009 08:11 pm (UTC)
Что касается пожара. Увы. Я, конечно, в тот раз поднял свое умение материться на следующий уровень. Но завхоз приехал после вызова через... эээ... безопасность.

Как солярку сперли из дизеля почти всю, а тут энергия почти на сутки отрубилась - я, пожалуй, детали рассказывать не буду ;-)

Во всяком случае в моей реальности контроль за жизненно важными вещами очень очень часто был устроен не лучшим образом. Поэтому мое мнение таково: учения должны для начала быть и даже регулярными, а в первую очередь проверять надо жизненно важные устройства и процедуры. Безопасность - потом, после регулярных проверок технологии основных производственных процессов.
infowatch
Dec. 14th, 2009 08:26 pm (UTC)
Это да. Когда ваш покорный слуга работал в одном маленьком институте, и институт переехал в новый офис в только что построенном здании, обнаружилось, что пожарные лестницы заперты железными дверями. Мне ничего не оставалось, как принести на работу и припрятать там 40 метров альпинистского шнура, перчатки и два жумара. И утешать себя мыслью, что при пожаре спасусь сам и спасу ещё одного человека по своему выбору.
yurikgl
Dec. 15th, 2009 04:18 am (UTC)
Давно подбиваю руководство, что бы среди своих провели учения на тему "падение сети", когда старшие админы загадывают "какой коммутататор завис" и моделируют реакцию сети. А младшие пытаются понять что же сломалось и виртуально починить.
( 21 comments — Leave a comment )

Latest Month

October 2017
S M T W T F S
1234567
891011121314
15161718192021
22232425262728
293031    

Tags

Powered by LiveJournal.com
Designed by Tiffany Chow