该公司处理敏感信息,但他们宁愿不考虑它。我们的策略是我见过的最好的策略之一,但是除安全团队外,没有人遵循它们。
我该怎么办?我是否应该将由于员工绕过所有安全措施而导致我的团队正在处理的攻击次数记录下来?
如果我的团队失败了,那么我们国家的电信系统将受到完全影响。我以为保护安全是一种动力,但是除了我们以外,没人关心,因为这是我们的工作。
已经有人处理过这样的情况吗?我应该放弃吗?
#1 楼
高级别文化以我的经验,转变安全文化需要三个步骤:管理上的参与以领导重要的事情
通过培训,媒体和面对面的活动来定下基调,即“像我们这样的人会做这样的事情”
这里是:管理必须在安全支持者的帮助下领导此事。管理层必须希望并鼓励采用技术控制措施。如果管理人员遇到特殊情况,那就结束比赛。
让经理人越高级越好,以个人和公开的方式表达他们参与适当安全环境的愿望。让他们也表达沮丧和不便。同时也请告知,不便之处对于公司的健康至关重要。
“当我被提示更改密码时,我早上发牢骚。我想,我是在[1 | 3]个月前才更改的!但是,我知道当我确实,我切断了使用我的凭据来伤害我和这家公司的黑客之路。“
[是的,我知道有关频繁更改密码的争议,但是随着第二个示例]
然后,一旦您有了良好的基础,就可以将该信息传达给每个人个人。
教他们如何保护自己
人们可以很容易地看到公司政策与现实脱节(您是否已填写TPS报告?)。因此,大力推动公司安全可能是一场失败的战斗。相反,可以考虑教人们如何保护自己和家人。展示黑客如何侵害家用计算机和移动设备,并确实损害了它们。通过这样做,您可以使他们真正看到所涉及的危险。一旦获得了认可,就可以更轻松地将重点转移到工作中的危险上。
弄点牙齿
如果每个人都遵守政策,那就太好了,但是对于不遵守政策的人,您需要承担一些最坏的后果。这是一个棘手的主题,您需要与HR,GRC和管理层合作才能完成此工作。
评论
附带说明一下,尽管管理层需要参与进来,但他们也需要搁置一旁,让安全团队在时机成熟时做他们必须做的事情,即使这意味着改变一些长期存在的公司程序。许多管理人员倾向于阻止任何努力,将便利性放在安全性之上,而未必最适合做出决定。一个好的管理人员将与美国证券交易委员会团队讨论该问题,制定程序,但随后会退后一步,像其他所有人一样硬着头皮。
–醉酒的代码猴子
16-10-17在22:49
我想说其中的“牙齿”部分需要强调。寻找一名中级经理,尽管您进行了多次干预,但他们屡次违反政策,并与管理层和人力资源部一起将其解雇(假设雇佣合同为此类行动提供了充分的法律依据)。
–拉尔夫·博尔顿(Ralph Bolton)
16-10-18在9:49
我认为缺少的一件事是安全必须容易。如果您的密码末尾不能包含Q或Z或数字,那么人们就不会购买这种安全文化。
–大卫说恢复莫妮卡
16-10-18在13:39
向备受黑客攻击的知名公司学习,至少是那些工作最艰难的公司。最初的震惊后,他们进行了顶级更改。他们将组织从“安全主管”或“安全副总裁”更改为最高管理层。 CISO直接向首席执行官而不是CIO汇报,并且可以以经理,董事甚至副总裁无法做到的方式在整个公司范围内进行变更。这既不容易也不便宜。但是这样做是在黑客造成损害之前而不是之后进行的一种比较便宜的方式。
–约翰·迪特斯
16-10-18在15:29
#2 楼
将您的用户视为客户。您正在帮助他们满足其业务要求以保护数据。这意味着将要求保持合理,合理和有限的要求是您的工作。这是用户体验工程。示例:
如果您很难在系统上进行正确的登录,则工作组将在便利贴或白板上共享密码。
“安全剧院”将减少人们对必须采取预防措施的观念的信任(必须使人们每周更改20个字符的密码才能阅读公司的Intranet)。操作员遵循安全说明(例如,经常更改Enigma转子设置),并且鉴于他们可以射击他人以使其不服从,您仅凭遮挡就能获得什么机会?
评论
这么多。安全剧院使安全变得困难。使正确的事情变得容易而使错误的事情变得困难至关重要。
–James_pic
16-10-19在16:10
#3 楼
这是一个非常棘手的问题,但是如果您有机会进行更改,那么您应该将所拥有的全部交给您。您不能在一夜之间改变文化。但是,您可以采取一些步骤来开始更好地改变文化。
政策执行
这是我的清单上的第一名。我完全同意您需要执行安全策略,并对不遵守安全策略的人员进行纪律处分。这包括从上到下的每个人。
您是否愿意让那些继续反复搞砸的人来危害公司呢...好吧,继续反复搞砸吗?不要让您的公司面临不必要的危险。
在小事上不诚实的人在大事上不诚实,不值得花时间训练他们。这些人在我的解雇推荐名单中排名第一。除非他们一遍又一遍地犯同样的错误,否则任何对自己的过失诚实的人都会被处以最糟糕的处境。但不要只为他们而过。轻轻地解释原因...有些用户需要知道原因,这就是他们的想法。这些用户几乎总是问有关为什么应该做某事的问题。准备教他们。
如果有人拒绝遵守安全策略,则需要找到愿意的人。真的就是这么简单。
但是,没有人有足够的时间来制定庞大的规则列表
我认为拥有太多规则不利于那些做这些的人他们的工作。这就是为什么您应该为每个人制定一些特定的规则,然后创建特定于角色的规则。
会计学的学历不是面向客户的。我不需要教他有关缓冲区溢出,SQL注入,xss,csrf等的知识。财务方面的Cathy down不需要了解服务器强化技术。
但是,工程学领域的Buff Markalo绝对需要知道。而且他必须了解他所教的政策。
使培训变得容易理解,易于理解
甚至在开始之前就需要了解您的听众,否则在开始之前就注定要失败。 br />
请记住,示例对帮助人们理解所阅读的内容非常有帮助。我将列出一些超级基本主题,以帮助您入门。随时添加它们,但不要使其过于霸道。
开发人员。
使其特定于平台,并提供特定于平台的示例。
您可以使其简短而简单。您甚至可以针对每个OWASP十大漏洞开发易于消化的视频,这些视频仅需5分钟左右。
.gitignore,不在GitHub上存储错误的内容等。
与您的环境相关的任何内容。
面向客户的员工
不接受信用卡存储,否则您将被解雇。
做与不做。
每个人
网络钓鱼/捕鲸/社会工程及其工作方式的解释。
与他们的角色有关的任何事情。面向用户的?请勿以任何方式接触持卡人数据。
请勿共享您的密码/帐户
请勿设置未经授权的资源(服务器,虚拟机等)。
系统管理员
正确的硬化程序
紧急升级易损组件的步骤
与它们的环境有关的任何事情。
每次发现不存在的问题时,请始终进行更新。您将一无所有,但您将获得最大的收获。
新员工安全培训
这不用说。您需要确保所有员工都经过安全培训。如果您制作一个易于消化的学习包,假设每个人的注意力都比较短,那么与两个小时以上的安全视频相比,如果有人认真地开车兜风,您将获得更好的成功。我什至不想看那个废话。
测验他们
你需要看看他们是否真的了解他们在学习什么。让每个人每年参加一次测验,并且不要让那些无法继续工作的人除非获得通过。
强化测验和一般能力测验也有帮助。
别忘了了解您的目标受众。如果您的目标受众喜欢不成熟的幽默,请在测验中使用它。
找出安全问题,并与引起安全问题的人面对面
有猎人吗?让他们调查您自己网络上的安全问题,并向负责这些漏洞的团队深入解释。记录下他们做错的所有事情,并找到他们并告诉他们需要修复。
如果他们拒绝修复或更改,请参阅上面的政策实施。
相信用户会告诉您的任何信息。始终验证他们在说什么。诚实的人是世界上最容易与他们合作的人。不诚实的人制造的问题远比他们所能解决的多。
回顾
政策执行
没有霸道规则。不要阻止人们完成工作。
使它易于消化且易于理解。 KISS的确非常有效。
面向新员工的安全性导向。
对它们进行测验。
解决安全问题并与创建安全问题的人面对。
随着时间的流逝,人们会改变。有时这是一场艰苦的战斗,但值得一战。
评论
这是非常全面的。我发现我不认为您可以直接解决的一个问题是,有时会有合法的规则说:不做X,但是没有批准的方法可以解决给定的业务。换句话说,这些政策的重点必须是:“如何在没有不必要风险的情况下解决商务问题”,而不是“这是您无法做的所有事情”。否则,“业务必要性”将迅速成为绕过安全策略的主键。
– JimmyJames
16-10-20在18:44
Buff Markalo,嘿。
– PetrHudeček
16-10-23在20:53
#4 楼
我会绕道而行,回答这部分所隐含的问题:,但是他们根本不在乎
@shroeder的答案已经涵盖了从头开始的管理工作。教人们如何保护自己是如何进行灌输的一个很好的方法,但我会继续介绍。让我们问一下如何激发公司员工更多地了解安全性。
一般来说,关于改变工作习惯,您会遇到三种人。通过为每种类型提供激励,您将增加成功实施安全文化的机会。您可能会遇到:
职业人士:通常由中层经理或项目经理代表。他们的重点是记录他们的能力,您将对此进行探索。在正式会议上为他们提供安全培训和结业证书。
证书对于实际知识而言意义不大,但是您可以进行检查以实际颁发证书。您可以让他们自己学习。
怪胎:技术人员,操作人员(取决于公司),以及经常尝试其他职业的其他人员。他们的重点是好奇心。对于一个极客,您可以显示一个调试恶意软件或解释缓冲区溢出的示例,然后扩展您要实施的策略。给他们奇怪的事实,然后将它们反复链接到公司安全部门。
无人机:有些人只是不想改变。他们只是想被告知他们需要做的每一个细节,而从没有做过更多的事情。它们可以在公司的每个位置和级别找到。而且这里没有神奇的法则,如果他们不遵守政策,就需要让他们面对后果。通常,您需要非常无情地执行这些后果,以确保其他无人机能够适应它们。
#5 楼
如果您已经准备好与其他部门建立对立关系,那么这是一个很难补救的情况。在这个答案中将有各种各样的假设。这些只是基于我自己的经验的一些想法。 YMMV。
推动文化变革很困难,通常,您需要更改几个组来以不同的方式关注安全性:
安全部门:
出于安全考虑,将需要让安全性对安全性的关注减少。
可能需要进行有根据的“可接受的风险”讨论。有时产品会优先。
停止呈现“否”的文化。
使测试“基本”安全合规性变得容易。 (例如,将安全性测试整合到CI / CD管道中。)
开发团队:
您需要说服其他团队考虑预先将安全性作为核心产品功能。
这将是一个持续的考虑;需要定期分配时间(冲刺,周,月等),以评估平台/框架/插件版本的安全补丁。花费相对较少的时间,但请确保每个Sprint都预先分配了4个小时的人卫生。
系统/操作
提醒他们您随时可以帮助他们。 (如果您没有胡萝卜,Stick and Carrot将不起作用。)
使用系统/操作来自动执行安全补丁,合规性报告。
这需要时间,因此请尽力避免出现意外如果可能的话,他们会发出拍打通知,不要抬头。 Sys / Ops团队不喜欢将安全审查报告发送给执行领导时陷入困境。
帮助他们将安全测试与运营监控结合起来
例如,他们可能有一个https监控器,该监控器在证书过期之前就关闭了,但是对于较弱的密码,它们的监控器却不太可能。
最后,还有很多本·休斯(Ben Hughes)在DevOpsDaysMSP 2014演讲“ Etsy的手工制造安全”中获得了很多见解,他在那里讨论了这个话题。
#6 楼
好的,如果没有其他方法,则应仅尝试此操作。您已经被警告了。这就是人们通常不会意识到某件事的重要性,除非他们丢失了它,就像人们直到他们第一次丢失对硬件故障重要的东西之前才开始备份数据一样。
向他们显示阻止了多少次攻击没有帮助。他们将更加确定您可以承受任何攻击。您需要的是一次成功的攻击。或者至少使它看起来像是成功的。
所以...在假期之类的事情上,假装您的网络是针对性的并且受到破坏。令人信服。使网络驱动器脱机一两个小时。然后说您设法恢复了所有内容,但是受到攻击是由于有人留下重要的机密凭据或他们的帐户在公共PC上登录引起的。如果这不起作用,则别无选择。我曾经对我的团队这样做,并相信我,他们失去了所有的粗心。可能丢失了他们已经工作了几个月的项目的震惊使他们对安全性非常重视。
但是,您应该记住一些注意事项:
您的上司/前辈应该了解此阶段的攻击。告诉他们,这是保护组织免受以后日后严重攻击的唯一方法。但是告诉他们。您确实不希望被解雇,因为您试图教会某人注意其密码的重要性。
如果您的同事意识到整个事件都已上演,他们的反应可能不会很好。在向他们透露此信息之前,请先考虑一下。我的团队了解我为什么这样做。您可能没有。
请先考虑一下。
评论
当他们发现这是假货时,您将失去他们对您的信任。总是有其他尝试。
– schroeder♦
16-10-18在18:58
这是一个可怕的想法。如果您需要威胁并欺骗您的员工以使他们遵循公司的政策,则在担心InfoSec之前,您的公司存在严重的管理问题,需要解决。
–whitehat101
16-10-19在2:54
@ whitehat101足够公平...
–撤消
16-10-19在3:05
这与友谊无关,而在于将来能够随时与您的同事交流。没有信任,您会忘记建立任何一种文化或将您的组织引导到一个更安全的环境。
– schroeder♦
16-10-19在6:18
尽管我坚信信任是安全通信(尤其是在互联社会中)的终极价值,但我发现,如果规模较小,这可能会奏效。我的意思是,不要让人们失去工作,您可能会在某个非常关键的时刻无意间破坏了网络(并且您可能会因为某些人未按时交付某人而被解雇了,这是您的良心)。而是以友好的恶作剧方式解决此问题。感染机器,然后有一天告诉您的同事:您是否想让我立即关闭所有个人设备?
–grochmal
16-10-19在9:05
#7 楼
您所描述的问题也适用于吸毒和炸弹的嗅探犬。不管您对它们大吼大叫并威胁它们,如果吸毒和炸弹的嗅探犬很快就会失去兴趣尽管他们正在做所有的工作,但仍找不到他们想要的东西。
这就是为什么教练需要不断隐藏假药或假炸弹以保持狗活动的原因。是的,培训师最初会使用零食,与发现事物相关联,并加强奖励,但最终使狗保持参与的是游戏的元素以及狗正在寻找非常有可能成为事物的想法。找到(即使大部分时间都必须伪造发现的对象以保持狗的兴趣)。
这就是为什么您的公司应该实施常规的渗透测试和社会工程攻击方案,然后与所有相关人员定期审查其结果。真的没有替代品。
事实是,您的服务器可能一直都被端口扫描器重击,但这与您的主管或接待员无关。他们需要查看的是可能会影响他们或尚未考虑的实际攻击,而做到这一点的最佳方法是在他们习惯的环境中对他们进行这些攻击。
当面对或阻止一个被认为具有更高或平等权威的人时,这也增加了社会尴尬的负担。在我的工作场所,我们有严格的政策,禁止任何不认识的人在使用RFID卡进入后跟着我们走。但是,当然,大学实习生和夜间看门人永远不会要求看起来像他可能在那工作的人的证书。为了让他们做这样的事情,他们需要认为这是测试或演习的合理机会,因为相对而言,这是一个坏人/女孩的实际概率实际上非常低。
而且请不要以为我只是在责怪看门人和实习生,他们并不是唯一可能因为太过友好或因为他们追求良好而违反协议的人最方便的解决方案。员工,高管和其他许多人也会做同样的事情。
#8 楼
最大的安全性问题实际上是用户池。没有任何安全性可以打败用户的愚蠢(例如单击随机电子邮件收到的脚本)。
您需要什么要做的事情:
提出管理方面的风险
举例说明发生的坏事
提出对策计划(技术性的)
要求有规则对每个人都是强制性的,并执行您的安全策略(如果还没有,请创建一个)
要求为经证明多次违反规则的人员创建惩罚系统
使管理层组织培训用户-这是最重要的-培训必须包含所有内容,从可以通过用户遵从性预防的更复杂的安全性问题到简单的“不要做的事情”列表(即,不要单击电子邮件中的链接)
评论
虽然技术不能击败所有用户安全性,但它可以破坏很多安全性,针对您提到的问题,有许多解决方案-邮件网关过滤,强化的电子邮件客户端配置,桌面沙箱等。
–paj28
16-10-20在7:58
这个世界的任何电子邮件过滤器都无法拒绝指向尚未至少列入黑名单的网站的链接。而且,防病毒软件不会阻止看起来像合法电子邮件发送表单的表单(从技术角度来看,实际上是真正的电子邮件发送表单,造成损害的是目的地和使用率)。
–注意
16-10-20在8:01
您的示例是附加到电子邮件的脚本。邮件网关可以过滤内容类型,从而阻止所有脚本。链接到恶意网站:您可以将邮件客户端配置为不显示链接。但是也许你想要他们。像Bromium这样的桌面沙箱可在一次性VM中运行浏览器。确实,有好的解决方案。您选择了一些不符合其市场宣传的例子。但是实际上确实存在好的解决方案。
–paj28
16-10-20在8:05
不,该脚本位于目标网站上。该电子邮件仅包含指向该链接的链接,cowox用户单击该链接并运行该脚本,这是我的初衷。由于完全相同的问题,即用户,几乎无法实现沙箱操作。他们几乎无法撰写电子邮件,您如何期望他们使用VM?
–注意
16-10-20在8:08
您的意思是哪种脚本?您可以配置浏览器/ Windows,以便用户无法下载和运行可执行文件。用户不知道,Bromium透明地执行沙箱操作。我没有参与其中,但这很酷。另外,您似乎已经忽略了我关于配置邮件客户端不显示链接的观点,这是一个有用的防御措施。
–paj28
16-10-20在8:17
#9 楼
简单性和一致性人们必须易于遵循安全策略。许多组织的政策无法反映现实,具有自相矛盾的特点,人们需要为工作做好准备。解决方案是简化策略并接受用户的反馈。
执行应保持一致。如果有些人违反了政策却什么也没有发生,这会鼓励其他人。使用技术来尽可能地执行策略,依靠个人用户作为安全控制应该是最后的选择。另外,阻止人们泄漏信息的最佳方法是一开始就不要将其提供给他人。
其他人提到需要对不遵守法规的人采取强制执行措施。我认为这会适得其反,并会阻止人们公开交谈。
分类
您需要确定操作的哪些关键。业务中的所有内容在某种程度上都很重要,但是有些位是“常规重要”,而其他位是“超关键”。
您需要具有非常强大的控制力的超关键位。而且您所拥有的常规控件可以在安全性和可用性之间取得平衡。
我认为企业安全性中的许多问题是无法做到这一点。安全部门试图使整个公司工作到“超临界”水平-这是不现实的。
#10 楼
显示WHY对此已经有很好的答案,但是请允许我提供一些细节:
为了让您的用户站在一边,请向他们展示为什么所有这些政策要求都是至关重要的!
这里是一个非常基本的示例:给他们示例如何快速利用错误密码。
评论
我讨厌宣传我的个人博客,但是... gophishyourself.co.uk安全团队是否无法决定和执行其政策?那不是他们的工作吗?好的老胡萝卜和大棒方法在这里有效! (坚持谴责,胡萝卜在每周一次的会议上表示祝贺...)对于IT部门,网络管理员应有权随意锁定所有内容。当然,老计时器可能会抱怨和吟,但是进入安全团队的好处是您是制定规则的人。
对于Workplace来说,这可能也是个好问题
通常,人们对灾难故事的反应要比对如何正确做事的简报更好。尝试简要介绍一下“夜间可能会发生的事情和其他黑客攻击”,“ Stuxnet如何获得成功以及其他技巧”等。如果他们不熟练且不了解它(克鲁格与邓宁),则需要对他们进行培训首先,幽默是实现这一目标的好方法。
在工作场所观看机器人先生或任何有关黑客的电影,以提高知名度。确保提供免费食物。