💡 ИБ за 60 секунд
⁉Снизить процент перехода по фишинговым ссылкам с 80% до 2%? Реально?
🗣Обсудим эту тему вместе с Ольгой Поздняк, продюсером «Код ИБ» и Юрием Другачом, методологом по повышению осведомленности, StopPhish.
🕺Корнем любой проблемы в ИБ является человек, поэтому повышение уровня осведомленности сотрудников👩🏻💼🧑🏼💼👨🏽💼 крайне важно.
⚠Помните, если не тренировать сотрудников, их навыки проверят злоумышленники.
💥Пошаговый план повышения осведомленности:
1. Получаем список email сотрудников с именами;
2. Рассылаем 3 учебные атаки, не предупреждая, что будет фишинг от имени ИБ. Для рассылки используем бесплатные сервисы Gophish, King Phisher или свои разработки. Потребуется 3 письма📨: с кражей учетных данных, с вредоносным файлом, с подменой отправителя;
3. Собираем полученные данные, анализируем общую картину;
Готовим фишинг на год вперед:
4. Создаем таблицу персонализации📋 (учитывая индивидуальные интересы сотрудников). Важно понимать, что рядовых сотрудников могут заинтересовать скидки в «Пятерочке», а топов льготная ипотека от «Сбербанка». Но будьте осторожны, сотрудники могут начать действительно обивать пороги «Пятерочки» и «Сбербанка». Учитывать нужно также и то, на чьи письма реагируют определенные отделы, например, топы реагируют на письма от СМИ и гос. органов.
5. Готовим обучающие материалы📚: Как распознать фишинговые письма, вредоносные файлы, сомнительные ссылки, курсы размещаем в своей LMS.
6. Предупреждаем об учебных атаках⚔ (если вы перейдете по вредоносной ссылке, то Вам будет предложено пройти мини-урок). Регулярно рассылаем атаки (каждые 2 месяца 4 письма, после каждого инцидента, отправляем сотрудника на курс.
7. Замеряем результаты (время прохождения обучения и процент правильного реагирования на атаку).
Создаем систему рейтинга📊 сотрудника, учитывающей, сколько раз сотрудник попался, прошёл обучение, не открыл письмо, завершил обучение.
8. Подводим итоги и обозначаем сроки.
Еще больше бесплатных материалов, рекомендаций и лайфхаков Вы найдете в записи доклада.
