(我不确定这个问题是否适合security.stackexchange-board,但是可询问的主题列表并不排除这个问题恕我直言,并且有一些示例)

我为几种不同的方法工作过一些公司将其IT部门外包的公司。这意味着公司的员工主要使用技术,但对技术没有更深入的了解,尤其是在安全性方面。

因此,我想开1或2个小作坊/培训,这样他们至少可以了解为什么计算机安全很重要,而确切重要的是什么。我之所以这样做,是因为我认为,无论接受者和双方都可以学习,都应该分享人类的知识。我的同事们可能会更好地理解安全性,而我可能会更好地理解他们的观点。

所以我坐下来尝试列出必要和有用的主题,同时牢记目标受众。

我是否缺少主题,应该还有其他主题吗?处理计算机安全性时需要学习什么?

主题:


为什么要使用计算机安全性? (成本,勒索软件阻止了一家完整的公司,...)
密码(什么是好的密码,如何存储,切勿在不同的帐户上使用相同的PW,...)
离开时锁定屏幕工作场所(因为...?没有找到可能发生的事例,这是否是当务之急?)
我应该显示一个黑客例子来形象化它是什么吗?例如,较早的手机/平板电脑可以使用开源软件快速破解。
社会工程学(有2个同事接到电话,成为CLSID-Scam,门滑动,停车场的USB记忆棒的受害者,...)
互联网安全(NoScript,停用Flash / JS,什么是网络钓鱼,...)
备份
电子邮件加密
保护措施(保持操作系统更新,使用防病毒软件,请勿使用admin-account作为默认值,...)

我不知道哪些主题应该是强制性的,以什么顺序。培训可能需要1甚至2个小时。我还将创建一些备忘单,以便他们可以删除一些书面信息,进一步阅读等。

评论

关于3.您可以了解内部人员所犯罪行的数量。如果将真正的安全问题追溯到一个无辜的人,让他的用户在取咖啡时执行X动作,那将是一个改变生活的问题。我敢肯定,很多人都不想因为忘记按Windows + L而浪费时间。

查找固件中带有病毒的闪存驱动器,然后在测试计算机上进行演示。从演示“什么都不是良性”开始,很容易使人们思考他们所做的所有良性事情...

这个问题非常非常广泛。公司秒针意识计划的内容取决于组织的业务目标,受众的技术水平和可用资源。如何表现出安全意识取决于所有这些因素以及许多其他因素,包括文化,人口统计信息等。

#3-一个“好”的黑客可以在您的计算机上用90秒偷走您的身份。从您的计算机转发一堆敏感文档...复制您存储在浏览器中的所有密码...等。

@iAdjunct我在开玩笑,并建议这可能是一种更让人印象深刻的方式,告诉人们“没有什么是良性的”。此外,假设您的公司有不受保护的Web服务器,由不称职的管理员管理。如果有人说服管理员将USB Slayer插入Web服务器,结果是否会完全丧失完整性?我同意这是非常粗暴的攻击,但即使是DoS攻击也可以考虑。

#1 楼

实际上,一年多以前,我做了一个类似的演示,花了很多时间来决定如何组织它。我的目标受众确实包括开发人员和其他在IT方面知识渊博的人员,还包括管理人员和其他非程序员,因此我尝试使其保持通用性,而不是使技术复杂。正如其他人指出的那样,我认为重要的是不要感到无聊。您希望这是一个启发性的演讲,可以帮助人们意识到这是他们应该牢记的事情,而不仅仅是会影响实际工作的其他沉闷任务。

为此,我试图将整个演示文稿围绕安全文化的概念,而不是直接跳入过多的技术细节。考虑到这一点,我仍然设法触及了您在问题中提到的许多主题。

我在演讲中提到的一些内容

(或者如果我要再进行类似的演讲,今天会谈到):


机密性,完整性和可用性(CIA):信息安全的中心主题,以及一些为何这些词对您的公司和个人都很重要的一些显而易见的词汇(如果可以给人们一些指导的话)这样也可以帮助他们在工作场所以外的地方更安全,那仅仅是一个优点,对吧?它也可能使一些人更加关注您-特别是在您也谈到他们的孩子/家人的安全时。
关于“安全文化”概念的几句话(“文化”是指“特定人群共有的一套观念,习惯和社会规范”,或类似的东西,以及安全意识应该是其中的自觉部分)。
关于安全性的思考目标:减少不希望发生的事件的风险,并准备在可能发生/何时发生的情况下进行处理。
牢记成本(或根据需要获得投资回报)​​;考虑哪些措施最容易上手,哪些措施最有意义。在这里,我会讲一些关于良好习惯的话;例如更新系统,使用良好的密码以及避免单击可疑链接,意识到物理安全性(尾门!)等。也许包括真实事件中的一些示例,包括有关违规的新闻报道的屏幕截图等?
抛出一些问题,这些问题与哪种类型的漏洞或威胁可能与您的特定公司有关,等等。示例:我们业务中的“皇冠上的珠宝”是什么?对我们来说最重要的是什么,什么可能威胁到他们?我们今天有多安全,我们想要有多安全,以及将来如何到达那里?我们想在哪些方面改善我们的安全立场?这里的重点不是给人们要做的事情清单,而是让他们总体上思考整个安全领域,并帮助自己承担部分安全责任。
举几个典型的安全准则示例,并询问您的听众是否应将它们(或类似的准则)用于您的工作场所。

哦,还有一件事:包括一些现实世界中适当的安全问题示例将有助于使您的听众满意(但不要过分服从)。

我不知道这是否正是您所追求的,但我希望它可能有用。祝您演讲愉快。

评论


您是否在谈话中包含了威胁建模,或者倒数第二个要点是什么意思?

–森林
16年4月7日,0:10

@forest不是,至少没有任何细节。我只是在脑海中列举了一些我们可能还有待改进之处的例子。从本质上讲,我的信息如下:“安全性很重要。我们对此是否足够了解,还是应该尝试做一些适当的威胁建模以阐明我们自己的安全立场,并考虑采取进一步措施?”。

– Kjartan
16-4-7的7:44

#2 楼

现有答案中没有一个提及此问题,即使它不是一个完整的答案,也无法发表评论。

您绝对需要避免的一件事是虚无主义(即我会被黑)不管我做什么)。相当容易吓people人们(少视情况而定)。但是,正如您所说,出售安全文化的很大一部分将使听众相信,切实提高安全性既有a)不太痛苦,又有b)可能。

我经常遇到的态度尤其是在千禧一代中,安全是不可能的,或者如果可能的话,那么安全以至无法工作。地狱,我知道得更多,但有时我自己还是会这样。

我建议为每个真实的示例(无论是故事还是现场演示)提供一些简单的步骤(最好是“步骤”单数)避免同样的命运。

评论


我认为这绝对是我非常重要的一点!我的同事,他们的帐户被黑了,太尴尬了,不能整整两天告诉任何人,因为“被黑”可能意味着他们做了一些愚蠢的事情,例如使用了错误的密码。如果黑客更聪明或更邪恶,他本可以做更多的事情。当您受到攻击时,您需要保持冷静,并在分析发生的情况并弥补安全漏洞的同时,尽可能快地减轻损失。

– hamena314
16年4月7日在7:17

究竟。消除一些FUD。

–杰瑞德·史密斯(Jared Smith)
16年4月7日在14:02

也就是说,“安全文化”很可能是净损失。 Microsoft Research撰写了一篇有关该主题的出色论文-research.microsoft.com/en-us/um/people/cormac/papers/2009 / ...您不想忽略安全性,但是想放很多超出实际用户的权限(例如,系统管理员应维护适当的证书等)。我不想简化本文,但它基本上是风险回报分析和机会成本以及许多安全建议的实用性的问题。

–罗安
16年4月7日在14:18

@Luaan阅读摘要后,我会说,尽管这个问题年代久远,并且已有的答案很多,但您可能仍应使用纸上的数据写一个答案,以作为警告。

–杰瑞德·史密斯(Jared Smith)
16年4月7日在14:21

@Luaan:这篇论文非常有趣(“跳舞猪!”),因为它有一些其他人可能会引起争议的想法。要点之一是,我们训练用户忽略过于复杂的规则以增强安全性,而这反过来往往会产生相反的效果。我认为,贾里德·史密斯(Jared Smith)提出有争议的答案的建议可能会给这个问题带来一些有价值的观点!

– hamena314
16年4月13日在13:24

#3 楼

对他们来说这是不真实的,
让它坚持下去的唯一方法是通过以现实生活为例向他们展示。

问他们:谁知道网络钓鱼是什么?
问他们:那么,什么样的信息泄露会成为问题?
他们说:如果包含客户C的会计信息的文档ThisIsImportant.doc被泄露。
问他们:谁可以访问ThisIsImportant.doc ?
他们说:Patrick

然后告诉他们:所以,让所有人一起向假冒Patrick老板的Patrick发送网络钓鱼电子邮件!

在他们眼前打开终端(绿色字体,很重要!)。现场直播“黑客袭击”!他们喜欢它!

1)SSH进入邮件服务器
2)touch mail.txt
3)vim mail.txt

To: partick@yourCompany.com
Subject: Patrick, I need customer C info.
From: Patricks Boss<patricksBoss@yourCompany.com>

Dear Patick,
I'm a little bit in a hassle, as customer C just called.
Please send me ThisIsImportant.doc so I can prepare a response.

Best regards,
Your BOSS!


4):x!
5)sendmail -vt < mail.txt

现在请Patrick打开他的电子邮件,每个人都将看到您在他们眼前所写的Patricks Boss电子邮件表格。

经验教训给他们听:
他们不应盲目遵循姓名/品牌/制服/等。并使用常识。

之后,您可以将所有其他内容告诉他们,因为现在他们相信您实际上是多么真实。

但是,一年后,他们仍然会假扮老板,讲述您如何“砍死” Partick的故事。

评论


很好的例子;我同意这一定会解决。但是,您想知道为什么要在vim中打开mail.txt之前麻烦您去触摸它吗? :)

–通配符
16年4月8日在4:09

我不是法律人士,但至少要得到帕特里克老板的授权,我才不会这样做。

– A.达尔文
16年4月8日在20:41

@ A.Darwin,如果帕特里克在观众席上,我不明白为什么会那么重要。

–通配符
18年8月8日在2:50

#4 楼

一方面,您说您想举办研讨会,另一方面,您则与一些对安全性知之甚少的人深入探讨了一些非常核心的话题。在我为您的努力表示赞赏的同时,如果我是我,我将寻求提高认识并促使人们思考安全问题,而不仅仅是提出逐点死亡问题/这是另一项常规的强制性培训合规性练习。 br />
我并不是建议您不要谈论您列出的所有内容,但是如果您只花一天时间在这些内容上,则会使您的听众感到厌烦。 OTOH如果您可以赢得他们的支持,那么他们会在日常工作中考虑安全性。

探索作为私人个体如何受到攻击是解决此问题的一种方法。另一个是让他们计划对任意目标的攻击。

评论


您会考虑哪些主题为核心?是的,不感到无聊可能是那里最大的挑战之一。

– hamena314
16年4月6日在14:09

@ hamena1234我认为非技术性读者可以将#4视为硬核。

– A.达尔文
16年4月6日在18:35

@ A.Darwin:嗯,我以为更多是作为演示“我将启动此工具...,然后20秒钟后我将可以使用您的设备。”。最近的iOS错误(这种错误使人们可以使用SIRI和NO密码访问手机上的图片)。我不想向人们展示如何编程缓冲区溢出或任何此类详细信息。

– hamena314
16-4-7在7:19



@ hamena314我根本没有考虑缓冲区溢出(那会太过分了)。我个人认为,解释工具的工作方式可能比仅仅展示工具的功能(有时看起来像是黑魔法)更令人满意,而且如果是这种情况,那么有些攻击需要一些技术知识。但是,如果您认为可以通过解释存在某种攻击并进行简短演示来使听众满意,那么您应该这样做。例如,您可以尝试通过显示网络钓鱼攻击来尝试。

– A.达尔文
16年4月7日在7:50

#5 楼

向他们显示一个密码管理器,例如LastPass或KeePass。

我认识的大多数人都有大量的用户ID和密码。为了帮助他们记住它们,他们会执行一些操作,例如使用所有相同的密码,将其写下来或粘贴在未加密的文本文档中。

向他们展示如何使用密码管理器。我向一些非IT朋友展示了如何使用LastPass。现在,他们使用非常强大的密码短语进入密码管理器,并使其管理所有登录信息。他们喜欢它!

评论


我敢肯定,这个问题是关于专业安全培训的,而不是教您的朋友如何从一些花花公子登录到您的电子邮件并窃取您的裸体照片中变得更加安全。

–森林
16年4月7日在0:08

如果主题之一是“什么是好的密码,如何存储,永远不要在不同的帐户上使用相同的密码”,那么听众显然会在解释密码管理器的意义上。

–贡特拉姆·布洛姆
16年4月7日在6:39

我公司的IT安全团队实际上提供了一个密码管理器并对其进行在线培训,以供在我们的企业环境中使用。显然,这只是他们总体安全计划的一小部分。

–亚当·迪文(Adam Dewing)
16-4-7在19:52

#6 楼

一般而言,您可以从用户那里抽象出更多的安全措施-更好!例如,


应该进行文件存储(如果有的话)在集中式服务器上。假设您有足够的能力来正确设置此资源,那么维护受过培训的人员完成的公司范围内的备份要比教每个员工如何进行私有备份(并让他们记住要这样做!)要容易得多。
如果您的环境支持,请在适用的情况下使用Windows域/ Active Directory管理策略(例如,通过仅密码解锁来引入屏幕超时,或者强制执行密码长度/字符内容以及定期更改密码)。

对您的建议的评论:

1。保持简单-计算机安全性=保护公司资产。信息就是力量,从更直接的意义上讲,信息甚至可能是金钱(商业秘密等)。您的具体论据将取决于您公司从事的工作类型以及存储方式/存储方式,但本质上应该始终是:未经授权访问计算机系统会对您的公司造成巨大破坏,无论是破坏还是盗窃(或两者兼而有之)。 )。

2。当然可以,但是如前所述,使用技术工具来执行尽可能多的规则,以减轻最终用户的责任。

3。绝对!它不是很常见的攻击媒介,但却是最简单的“修复”之一。因此,应立即实施。在工作站附近或出口处张贴提醒。

4。避免这种情况,除非您找到员工可以直接联系的具体示例(因为您使用相同的硬件/软件或类似的东西)。如果您走这条路,亲亲-不要迷失在技术术语中。尽可能使用一般概念和非技术术语。花更少的时间来解释问题,而花更多的时间描述给用户正确的行为。

5.这很容易成为最危险的攻击媒介之一,同时也是最难教您的员工如何防范的媒介。最后保存下来-在深入研究这个特定主题之前,您希望您的员工采用“安全意识型文化”。他们对安全程序的了解和思考越多,以及确保授权和正确协议的重要性,就越容易理解第三方如何设法越过这些障碍。

6。绝对-尽可能使用组策略阻止Flash,Active-X或强制执行NoScript等!同样,无需用户做任何事情或进行任何管理即可添加的缓解措施越多越好。

9。同样,如果您可以集中进行此操作,那就更好了。从您的问题来看,这听起来可能不是您的公司的情况?

关于订单-我建议使用与可能出现问题的订单相同的订单。也就是说:

user login (passwords, lockscreen) 
  --> program startup (viruses, backups) 
    --> program use (phishing, social engineering, "bad" downloads/attachments).


评论


非常有趣的想法,我特别喜欢9号点……我什至可以更早开始:将汽车停放在停车场(不要拿起可疑的USB记忆棒),进入建筑物(不要让人们尾随您)等。就像我的“同事鲍勃”一样,在一天的工作中都会受到黑客攻击,我们会看着他识别并防御它们! (具有某种化身经历这些事件可能会帮助人们获得另一种观点)

– hamena314
16-4-7在11:59



如果您认为这是真正的威胁,则可以早在员工早上醒来时就开始!任何到达员工个人电话/收件箱/门口的呼叫者或电子邮件,如果询问与工作有关的事情,甚至是不起眼的事情,都应重定向至相关负责人等。

– Vegard
16-4-7在12:06



#7 楼

我认为kjartan的答案是正确的,但是从更一般的安全意识培训的角度来看,只有几个主要组成部分


您保护什么?信息,数据和知识-业务各个方面的驱动力。
为什么需要对其进行保护? CIA +不可否认。我认为,重要的是要解释为什么用户不共享凭据很重要。
用户如何帮助您保护它。关于不单击链接,提供信息,拿起闪存驱动器并将其插入的一些基本规则-基本内容。
发生的事件示例以及相关的金钱和声誉损失成本。

如果您需要进一步说明,最好解释一下什么是政策和程序以及为什么要遵循这些政策和程序。对于非IT和非业务驱动的个人,可以用简单的术语来表示。然后将其纳入更高层级员工的业务术语中,以及如何将达成一致的意见视为正确的安全性和业务运营水平(例如,为什么这些事情不仅存在,而且仅仅是他们需要克服的障碍才能做到)他们的工作)。我认为这是普通用户难以解决的关键-“就让我做好我的工作吧!”