Frage:
Wie schafft man eine Unternehmenskultur, die sich um Informationssicherheit kümmert?
RF03
2016-10-17 21:42:44 UTC
view on stackexchange narkive permalink

Gehärtete Server, IPS, Firewalls und alle Arten von Schutzmaßnahmen können Sicherheitsprobleme nicht lösen, wenn Personen Informationen verlieren, ohne es zu wissen, nur weil sie fehlgeleitet sind.

Ich habe bereits versucht, sie zu instruieren, aber sie tun es einfach nicht Pflege, sie können sich nicht als wichtigen Teil unseres Intrusion Prevention Systems sehen.

Das Unternehmen befasst sich mit vertraulichen Informationen, denkt jedoch lieber nicht darüber nach. Unsere Richtlinien gehören zu den besten, die ich je gesehen habe, aber niemand außer dem Sicherheitsteam befolgt sie.

Was soll ich tun? Sollte ich ihnen die Protokolle der Angriffe meines Teams ins Gesicht werfen, weil die Mitarbeiter die gesamte Sicherheit umgehen?

Wenn mein Team ausfällt, kann das Telekommunikationssystem meines Landes vollständig betroffen sein. Ich dachte, es wäre eine Motivation, sich um die Sicherheit zu kümmern, aber niemand außer uns kümmert sich darum, weil es unsere Aufgabe ist.

Hat sich bereits jemand mit einer solchen Situation befasst? Soll ich aufgeben?

Ich hasse es, für meinen persönlichen Blog zu werben, aber ... http://gophishyourself.co.uk/
Ist das Sicherheitsteam nicht in der Lage, seine Richtlinien zu diktieren und durchzusetzen?Ist das nicht ihr Job?Der gute alte Ansatz mit Zuckerbrot und Peitsche funktioniert hier!(Peitsche ist ein Verweis, Karotte ist ein Glückwunsch beim wöchentlichen Treffen ...) Im Falle der IT sollten die Netzwerkadministratoren die Möglichkeit haben, alles nach Belieben zu sperren.Sicher, Oldtimer werden wahrscheinlich stöhnen und stöhnen, aber der Vorteil eines Sicherheitsteams ist, dass SIE derjenige sind, der die Regeln festlegt.
Dies könnte auch eine gute Frage für [The Workplace] sein (http://workplace.stackexchange.com/).
Oft reagieren die Leute besser auf Katastrophengeschichten als auf Anweisungen, wie man es richtig macht.Versuchen Sie, ein Briefing über "Dinge, die in der Nacht stoßen, und andere Hacks", "Wie Stuxnet durchgekommen ist und andere Tricks" usw. durchzuführen. Wenn sie * ungelernt sind und sich dessen nicht bewusst sind * (Kruger & Dunning), müssen Sie sich weiterbildensie ein bisschen zuerst, und Humor ist ein guter Weg dorthin.
Sehen Sie sich Mr Robot oder Filme über Hacker an Ihrem Arbeitsplatz an, um das Bewusstsein zu schärfen.Stellen Sie sicher, dass Sie kostenloses Essen zur Verfügung stellen.
Lesen Sie dies, bevor Sie Ihre Mitarbeiter als gleichgültig beurteilen. Http://research.microsoft.com/en-us/um/people/cormac/papers/2009/SoLongAndNoThanks.pdf
Ein anderer Gedanke: Verlangsamen folgende Verfahren ihren Workflow?Und bekommen sie Druck, Dinge schnell zu erledigen?Wenn beides zutrifft: Stellen Sie sicher, dass die Manager wissen, dass sie die zusätzliche Zeit einplanen müssen, und stellen Sie sicher, dass die Mitarbeiter wissen, dass sie NICHT dafür verantwortlich gemacht werden, langsamer zu sein!
Die besten Designs sind solche, die ihre Aufgabe so gut erfüllen, dass man gar nicht merkt, dass sie da sind.Ich glaube nicht, dass sich die Leute jemals wirklich um Sicherheit kümmern werden.Sie könnten die Protokolle jeden Tag auf sie werfen, und ich bezweifle, dass es einen großen Unterschied machen würde.Die beste Option ist es also, ihnen aus dem Weg zu gehen - machen Sie Ihre Sicherheit so einfach zu bedienen, dass die Mitarbeiter standardmäßig sicher sind.Dies hängt natürlich vollständig vom Büro ab, aber ein Beispiel ist, wenn Sie Smartcards zum Ein- und Aussteigen verwenden, z.Verwenden Sie sie auch, um sich anzumelden.Das ist eine 123456 weniger zu merken ..
Ich war einmal Angestellter in einem Unternehmen wie Ihrem und wir hatten strenge Richtlinien mit strengen Strafen, wenn sie gebrochen wurden. Das gleiche Problem, die Leute folgten ihnen nicht und das Management konnte nicht alle entlassen.Dann mussten wir alle Ira Winklers Buch "Spies Among Us" lesen, nachdem ich dieses Buch gelesen hatte. Ich verstand, warum mein Unternehmen all diese Richtlinien hatte und begann, wie viele andere Mitarbeiter, daran teilzunehmen.Bildung ist ein langer Weg, und dieses Buch leistet einen großartigen Beitrag zur Erklärung der Unternehmenssicherheit für den einfachen Mann.
Wenn Ihr Team in der Lage ist, mit dem Angriff umzugehen, warum sind sie dann ein Problem?Warum ist das überhaupt dein Problem?Wenn Sie dokumentieren können, dass eine andere Person die Sicherheitsverfahren nicht befolgt hat, ist Ihre Arbeit sicher.Wie viel Geld steht zur Verfügung und wie stark beeinträchtigt die Sicherheit die Produktivität?Hat jeder das nötige Zeug, um die Maßnahmen umzusetzen?Umfasst Ihre Sicherheit, dass Personen auswendig Schritte für etwas lernen oder komplexe Kennwortanforderungen auswendig kennen?Können die Leute sowieso aus der Ferne verstehen, warum etwas passieren muss, und sich an die Gründe erinnern?
Zehn antworten:
#1
+60
schroeder
2016-10-17 21:56:12 UTC
view on stackexchange narkive permalink

Hochrangige Kultur

Meiner Erfahrung nach umfasst das Verschieben einer Sicherheitskultur drei Schritte:

  1. Lassen Sie sich vom Management einkaufen, um Dinge zu erledigen anders
  2. Holen Sie sich persönliches Management-Engagement, um den Weg für das zu weisen, was wichtig ist.
  3. Geben Sie durch Schulungen, Medien und persönliche Veranstaltungen den Ton an, dass "Menschen wie wir solche Dinge tun".
  4. ol>

    Hier ist die Sache: Das Management muss mit Hilfe der Sicherheitschampions die Verantwortung dafür übernehmen. Das Management muss wollen und ermutigen, dass die technischen Kontrollen auf sich selbst angewendet werden. Wenn das Management besondere Bedingungen hat, ist das Spiel vorbei.

    Holen Sie sich einen Manager, je höher, desto besser, um persönlich und öffentlich seinen Wunsch auszudrücken, an einer angemessen sicheren Umgebung teilzunehmen. Lassen Sie sie auch die Frustrationen und Unannehmlichkeiten ausdrücken. Kommunizieren Sie aber auch, dass die Unannehmlichkeiten für die Gesundheit des Unternehmens wichtig sind.

    "Ich murre morgens, wenn ich aufgefordert werde, mein Passwort zu ändern. Ich glaube, ich habe es erst vor [1 | 3] Monaten geändert! Aber das weiß ich, wenn ich es tue, Ich schneide den Weg eines Hackers ab, meine Anmeldeinformationen zu verwenden, um mir und diesem Unternehmen Schaden zuzufügen. "

    [Ja, ich bin mir der Kontroverse über häufige Kennwortänderungen bewusst, aber rollen Sie mit dem Beispiel für eine Sekunde]

    Sobald Sie diese großartige Grundlage haben, beginnen Sie, diese Botschaft für alle auf die persönliche Ebene zu bringen.

    Bringen Sie ihnen bei, sich selbst zu sichern

    Es kann für Menschen leicht sein, Unternehmensrichtlinien als von der Realität getrennt anzusehen (haben Sie Ihre TPS-Berichte ausgefüllt?) . Ein starker Druck auf die Unternehmenssicherheit kann daher ein Verlust sein. Denken Sie stattdessen daran, den Menschen beizubringen, wie sie sich und ihre Familien schützen können. Zeigen Sie, wie Hacker Heimcomputer und mobile Geräte haben und kompromittieren. Auf diese Weise können Sie die damit verbundenen Gefahren wirklich erkennen. Sobald Sie dieses Buy-In haben, ist es viel einfacher, den Fokus auf Gefahren bei der Arbeit zu richten.

    Holen Sie sich ein paar Zähne

    Wenn alle mit den Richtlinien einverstanden sind, ist das großartig, aber Sie müssen einige Konsequenzen für den schlimmsten Fall haben für Menschen, die nicht einhalten. Dies ist ein heikles Thema, und Sie müssen mit HR, GRC und Management zusammenarbeiten, damit dies funktioniert.

Nebenbei bemerkt, so sehr das Management sich engagieren muss, muss es auch beiseite treten und das Sicherheitsteam tun lassen, was es zu gegebener Zeit tun muss, auch wenn dies eine Änderung eines langjährigen Unternehmensverfahrens bedeutet.Ein Großteil des Managements blockiert in der Regel alle Anstrengungen und schätzt die Bequemlichkeit gegenüber der Sicherheit, ohne unbedingt die beste Entscheidung zu treffen.Ein gutes Management wird das Problem mit dem sec-Team besprechen, Verfahren entwickeln, dann aber einen Schritt zurücktreten und wie alle anderen in die Kugel beißen.
Ich würde sagen, der Teil "Zähne" braucht etwas Nachdruck.Finden Sie einen mittelständischen Manager, der trotz zahlreicher Eingriffe von Ihrer Seite wiederholt gegen die Richtlinien verstößt, und arbeiten Sie mit dem Management und der Personalabteilung zusammen, um sie entlassen zu lassen (vorausgesetzt, die Arbeitsverträge verfügen über eine ausreichende Rechtsgrundlage für solche Maßnahmen).
Ich denke, das einzige, was fehlt, ist, dass Sicherheit einfach sein muss.Wenn Ihr Passwort kein [Q oder Z] (http://security.stackexchange.com/questions/57909/why-would-you-not-permit-q-or-z-in-passwords) oder a haben kann[Ziffer am Ende] (http://security.stackexchange.com/questions/139795/why-would-a-password-requirement-prohibit-a-number-in-the-last-character) sind Menschen nichtin die Sicherheitskultur einkaufen.
Lernen Sie von hochkarätigen Unternehmen, die Opfer von Hacking geworden sind, zumindest von Unternehmen, die am härtesten daran gearbeitet haben, sich zu erholen.Nach dem ersten Schock nahmen sie Änderungen auf höchster Ebene vor.Sie haben ihre Organisation von "Director of Security" oder "VP of Security" in die C-Suite geändert.Ein CISO berichtet direkt an den CEO, nicht an den CIO, und kann unternehmensweite Änderungen auf eine Weise bewirken, die ein Manager, Direktor oder sogar ein VP nicht kann.Das ist weder einfach noch billig;Aber es ist viel billiger, es zu tun, bevor die Hacker Schaden anrichten, als danach.
#2
+32
Rich
2016-10-18 04:57:05 UTC
view on stackexchange narkive permalink

Stellen Sie sich Ihre Benutzer als Kunden vor. Sie helfen ihnen, ihre Geschäftsanforderungen zu erfüllen, um Daten zu sichern. Das heißt, es ist Ihre Aufgabe, die an sie gestellten Anforderungen so vernünftig, gerechtfertigt und begrenzt wie möglich zu halten. Es handelt sich um UX-Engineering.

Beispiele:

  • Wenn Sie es schwierig machen, sich ordnungsgemäß auf einem System anzumelden, teilen Arbeitsgruppen Kennwörter auf Post-its oder Whiteboards .

  • ' Sicherheitstheater' verringert das Vertrauen in das Konzept, dass Vorsichtsmaßnahmen erforderlich sind (die Benutzer müssen wöchentlich 20 Zeichen ändern, um das Unternehmen zu lesen Intranet).

  • Wenn die deutsche Armee im Zweiten Weltkrieg ihre Bediener nicht dazu bringen konnte, Sicherheitsanweisungen zu befolgen (z. B. das häufige Ändern der Enigma-Rotoreinstellungen), und wenn sie Menschen wegen Ungehorsams erschießen könnten, was? Chance hast du nur mit Hectoring?

Soviel dazu.Sicherheitstheater macht es schwer, sicher zu sein.Es ist entscheidend, das Richtige einfach und das Falsche schwer zu machen.
#3
+13
Mark Buffalo
2016-10-18 09:52:52 UTC
view on stackexchange narkive permalink

Dies ist ein wirklich schwieriges Thema, aber wenn Sie die Möglichkeit haben, Dinge zu ändern, sollten Sie alles geben, was Sie haben.

Sie können eine Kultur nicht über Nacht ändern. Es gibt jedoch Schritte, die Sie unternehmen können, um die Kultur zum Besseren zu verändern.


Durchsetzung von Richtlinien

Dies steht an erster Stelle auf meiner Liste. Ich stimme hier voll und ganz zu, dass Sie Sicherheitsrichtlinien durchsetzen und diejenigen disziplinieren müssen, die diese nicht befolgen. Das schließt alle von oben bis unten ein.

Möchten Sie das Unternehmen lieber gefährden, indem Sie diejenigen, die immer wieder Fehler machen, weiterhin ... immer wieder Fehler machen lassen? Setzen Sie Ihr Unternehmen keinen unnötigen Gefahren aus.

Menschen, die in kleinen Dingen unehrlich sind, sind in größeren Dingen unehrlich und sind die Zeit nicht wert, die sie brauchen, um sie zu disziplinieren. Diese Leute stehen ganz oben auf meiner Liste der Kündigungsempfehlungen. Jeder, der ehrlich ist, was er falsch gemacht hat, wird im schlimmsten Fall suspendiert, es sei denn, er macht immer wieder dieselben Fehler.

Wenn jemand eine Meinungsverschiedenheit hat, geben Sie ihm einen Ort, an dem er seine Meinung äußern kann, aber rollen Sie nicht einfach für sie herum. Erklären Sie vorsichtig, warum ... einige Benutzer müssen wissen, warum, es ist nur so, wie sie denken. Diese Benutzer stellen fast immer Fragen, warum sie etwas tun sollten. Seien Sie bereit, sie zu unterrichten.

Wenn sich jemand weigert, Sicherheitsrichtlinien zu befolgen, müssen Sie Mitarbeiter finden, die dies tun. So einfach ist das wirklich.


Allerdings hat niemand Zeit für eine riesige Liste von Regeln.

Ich bin der Meinung, dass zu viele Regeln für diejenigen, die ihre Arbeit tun, schädlich sind. Aus diesem Grund sollten Sie einige spezifische Regeln für alle festlegen und dann rollenspezifische Regeln erstellen.

Bobby in der Buchhaltung ist nicht kundenorientiert. Ich muss ihn nicht über Pufferüberläufe, SQL-Injektionen, xss, csrf usw. unterrichten. Cathy in Finance muss nichts über Server-Hardening-Techniken wissen.

Buff Markalo im Ingenieurwesen muss es jedoch unbedingt wissen. Und er muss die Richtlinien verstehen, die ihm beigebracht werden.


Machen Sie das Training leicht verdaulich und leicht verständlich.

Sie müssen Ihr Publikum kennen, bevor Sie überhaupt anfangen, oder Sie sind zum Scheitern verurteilt, bevor Sie anfangen.

Denken Sie daran, Beispiele sind SUPER hilfreich, damit die Leute verstehen, was sie lesen. Ich werde ein paar super grundlegende Themen auflisten, um Ihnen den Einstieg zu erleichtern. Fühlen Sie sich frei, sie zu ergänzen, aber machen Sie es nicht überheblich.

  1. Entwickler .
    • Machen Sie es plattformspezifisch und geben Sie plattformspezifische Beispiele.
    • Sie können es kurz und einfach machen. Sie können sogar leicht verdauliche Videos entwickeln, die für jede der OWASP Top 10-Schwachstellen nur etwa 5 Minuten lang sind.
    • .gitignore, ohne die falschen Inhalte auf GitHub zu speichern usw.
    • Alles, was für Ihre Umgebung relevant ist.
  2. Mitarbeiter mit Kundenkontakt
    • Nein zum Kreditkartenspeicher, oder Sie werden entlassen .
    • Dos and Donts.
  3. Jeder
    • Erläuterung zu Phishing / Walfang / Social Engineering und wie sie funktionieren.
    • Alles, was für ihre Rolle relevant ist. Kundenkontakt? Berühren Sie keine Karteninhaberdaten.
    • Geben Sie Ihre Passwörter / Konten nicht frei.
    • Richten Sie keine nicht autorisierten Ressourcen (Server, virtuelle Maschinen usw.) ein.
  4. Systemadministratoren
    • Richtige Härtungsverfahren
    • Dringlichkeit der Aktualisierung anfälliger Komponenten
    • Alles, was für ihre Umgebung relevant ist.
  5. ol>

    Und immer aktualisieren, wenn Sie ein Problem finden, das vorher nicht existierte. Sie werden nie alles erhalten, aber Sie können fast erhalten.


    Neue Sicherheitsorientierung für Mitarbeiter

    Das versteht sich von selbst. Sie müssen sicherstellen, dass alle Einstellungen einer Sicherheitsorientierung unterliegen. Wenn Sie ein verdauliches Lernpaket erstellen, bei dem davon ausgegangen wird, dass jeder eine kurze Aufmerksamkeitsspanne hat, haben Sie einen viel besseren Erfolg als mehr als 2-stündige Sicherheitsvideos, bei denen ein Typ mit ernsthafter Stimme dröhnt. Ich möchte diesen Mist nicht einmal sehen.


    Quiz sie

    Sie müssen sehen, ob sie tatsächlich verstehen, was sie lernen. Lassen Sie alle ein jährliches Quiz absolvieren, und lassen Sie nicht zu, dass diejenigen, die nicht weiterarbeiten, nur bestehen.

    Verstärkungsquiz und allgemeine Kompetenzquiz helfen ebenfalls.

    Vergessen Sie nicht, Ihre Zielgruppe zu kennen. Wenn Ihre Zielgruppe unreifen Humor mag, verwenden Sie diesen in den Quiz.


    Jagen Sie Sicherheitsprobleme und konfrontieren Sie diejenigen, die sie verursachen.

    Haben Sie einen Jäger? Lassen Sie sie die Sicherheitsprobleme in Ihren eigenen Netzwerken aufspüren und erklären Sie sie den für diese Lücken verantwortlichen Teams ausführlich. Dokumentieren Sie alles, was sie falsch gemacht haben, und sprechen Sie sie an und sagen Sie ihnen, dass es behoben werden muss.

    Wenn sie sich weigern, das Problem zu beheben oder zu ändern, lesen Sie die Durchsetzung von Richtlinien oben.

    Glauben Sie nichts, was Benutzer Ihnen sagen. Überprüfen Sie immer, was sie sagen. Ehrliche Menschen sind die am einfachsten zu bearbeitenden Menschen der Welt. Unehrliche Menschen verursachen weit mehr Probleme als sie helfen.


    Zusammenfassung

    1. Durchsetzung von Richtlinien
    2. Keine überheblichen Regeln. Verhindern Sie nicht, dass Menschen ihre Arbeit erledigen.
    3. Machen Sie es leicht verdaulich und einfach zu verstehen. KISS funktioniert wirklich gut.
    4. Neue Sicherheitsorientierung für Mitarbeiter.
    5. Quiz sie.
    6. Jagen Sie Sicherheitsprobleme und konfrontieren Sie diejenigen, die sie erstellen.
    7. Mit der Zeit werden sich die Menschen verändern. Es ist manchmal eine harte Schlacht, aber eine, für die es sich zu kämpfen lohnt.

Das ist ziemlich umfassend.Ein Problem, das ich nicht direkt angesprochen habe, ist, dass es manchmal legitime Regeln gibt, die besagen: Mach kein X, aber es gibt keinen genehmigten Ansatz, der es erlaubt, dass ein bestimmtes Unternehmen angesprochen werden muss.Mit anderen Worten, der Punkt dieser Richtlinien muss sein: "Wie man Geschäftsprobleme ohne unnötiges Risiko löst" und nicht "Hier sind all die Dinge, die Sie nicht tun können".Andernfalls wird "geschäftliche Notwendigkeit" schnell zu einem Hauptschlüssel für die Umgehung von Sicherheitsrichtlinien.
Buff Markalo, heh.
#4
+5
grochmal
2016-10-18 05:28:29 UTC
view on stackexchange narkive permalink

Ich werde einen kleinen Umweg machen und die in diesem Teil implizierte Frage beantworten:

aber es ist ihnen einfach egal

@ shroeders Antwort bereits deckt den Ausgangspunkt ab, an dem das Management an Ihrer Seite sein soll. Und Menschen beizubringen, wie sie sich selbst sichern können, ist eine sehr gute Einstellung zur Durchführung der Indoktrination, aber ich werde sie erweitern. Fragen wir uns, wie Sie die Mitarbeiter des Unternehmens motivieren , sich der Sicherheit bewusster zu werden.

Im Allgemeinen begegnen Sie bei der Änderung von Arbeitsgewohnheiten drei Arten von Menschen. Indem Sie Anreize für jeden Typ bieten, erhöhen Sie Ihre Chancen auf eine erfolgreiche Implementierung einer Sicherheitskultur. Möglicherweise begegnen Sie:

  1. Der Karrieremann : Am häufigsten vertreten durch mittlere Manager oder Projektmanager. Ihr Fokus liegt auf der Dokumentation ihrer Fähigkeiten, und Sie werden das untersuchen. Bieten Sie ihnen in offiziellen Sitzungen das Sicherheitstraining mit Abschlusszertifikaten an.

    Ein Zertifikat bedeutet wenig über das tatsächliche Wissen, aber Sie können eine Prüfung durchführen, um die Zertifikate tatsächlich auszugeben. Sie können sie selbst zum Lernen bringen.

  2. Der Geek : Technisches Personal, Betriebspersonal (je nach Unternehmen) und häufig andere Mitarbeiter das könnte versuchen, ihre Karriere weiterzuentwickeln. Ihr Fokus liegt auf Neugier. Für einen Geek können Sie ein Beispiel für das Debuggen einer Malware oder das Erklären eines Pufferüberlaufs zeigen und von dort aus die Richtlinien erweitern, die Sie implementieren möchten. Geben Sie ihnen neugierige Fakten und verknüpfen Sie sie dann wiederholt mit der Unternehmenssicherheit.

  3. Die Drohne : Manche Leute wollen sich einfach nicht ändern. Sie möchten einfach jedes Detail darüber erfahren, was sie tun müssen, und nie mehr als das tun. Sie sind an jedem Ort und auf jeder Ebene innerhalb eines Unternehmens zu finden. Und hier gibt es keine magische Regel. Sie müssen dafür sorgen, dass sie Konsequenzen haben, wenn sie nicht den Richtlinien entsprechen. Oft müssen Sie diese Konsequenzen sehr rücksichtslos durchsetzen, um sicherzustellen, dass sich andere Drohnen an sie anpassen.

  4. ol>
#5
+3
gWaldo
2016-10-18 18:02:17 UTC
view on stackexchange narkive permalink

Dies ist eine schwierige Situation, wenn Sie bereits eine antagonistische Beziehung zu den anderen Abteilungen haben.

Diese Antwort wird eine ganze Reihe von Annahmen enthalten. Dies sind nur einige Gedanken, die auf meinen eigenen Erfahrungen beruhen. YMMV.

Es ist schwierig, den kulturellen Wandel voranzutreiben, und in der Regel müssen Sie mehrere Gruppen ändern, um sich unterschiedlich um die Sicherheit zu kümmern:

  • Sicherheitsabteilung:
    • Die Sicherheit muss sich aus Sicherheitsgründen weniger um die Sicherheit kümmern.
    • Möglicherweise müssen informierte Diskussionen über "akzeptables Risiko" stattfinden. Es wird Zeiten geben, in denen das Produkt Vorrang hat.
    • Stoppen Sie die Präsentation einer Kultur von "Nein".
    • Erleichtern Sie das Testen der "grundlegenden" Sicherheitskonformität. (Integrieren Sie beispielsweise Sicherheitstests in CI / CD-Pipelines.)
  • Entwicklungsteams:
    • Sie müssen andere Teams davon überzeugen, die Sicherheit in Betracht zu ziehen. Front als Kernproduktmerkmal.
    • Es muss eine kontinuierliche Überlegung sein; Die Zeit muss im Voraus regelmäßig (Sprint, Woche, Monat usw.) zugewiesen werden, um die Plattform- / Framework- / Plugin-Versionen für Sicherheitspatches zu bewerten. Nehmen Sie sich relativ wenig Zeit, aber stellen Sie sicher, dass beispielsweise 4 Personenstunden pro Sprint für die Hygiene vorab zugewiesen sind.
  • Systeme / Betrieb
    • Erinnern Sie sie daran, dass Sie da sind, um ihnen zu helfen. (Peitsche und Karotte funktionieren nicht, wenn Sie keine Karotte haben.)
    • Arbeiten Sie mit Systemen / Ops zusammen, um Sicherheitspatches und Compliance-Berichte zu automatisieren.
    • li> Das braucht Zeit, also tun Sie Ihr Bestes, um sie nicht mit einem Slap-Down-Hinweis zu überraschen, wenn möglich ohne Heads-up. Sys / Ops-Teams schätzen es nicht, unter einen Bus geworfen zu werden, wenn beispielsweise ein Sicherheitsüberprüfungsbericht an die Geschäftsleitung geht.
  • Helfen Sie ihnen, Sicherheitstests in die Betriebsüberwachung einzubeziehen.
  • Zum Beispiel haben sie möglicherweise einen https-Monitor, der vor Ablauf des Zertifikats ausgeht, aber es ist weniger wahrscheinlich, dass sie einen für schwache Chiffren haben.

Schließlich gibt es eine Menge Erkenntnisse aus dem DevOpsDaysMSP 2014-Vortrag von Ben Hughes "Handmade Security at Etsy", in dem er genau dieses Thema behandelt.

#6
+2
undo
2016-10-18 19:41:22 UTC
view on stackexchange narkive permalink

Okay, Sie sollten dies nur versuchen, wenn NICHTS ANDERES FUNKTIONIERT. Sie wurden gewarnt.
Hier ist die Sache, Menschen werden die Wichtigkeit von etwas oft erst erkennen, wenn sie es verlieren Auf die gleiche Weise, wie Benutzer erst dann mit der Sicherung von Daten beginnen, wenn sie zum ersten Mal etwas verlieren, das für einen Hardwarefehler wichtig ist.

Es hilft nicht, ihnen zu zeigen, wie viele Angriffe Sie verhindert haben. Sie werden nur noch sicherer, dass Sie jedem Angriff standhalten können. Was Sie brauchen, ist ein erfolgreicher Angriff. Oder lassen Sie es zumindest so aussehen, als wäre einer erfolgreich geworden.

Also ... Stellen Sie sich im Urlaub oder so etwas vor, Ihr Netzwerk sei zielgerichtet und kompromittiert. Überzeugen Sie . Schalten Sie die Netzwerklaufwerke für ein oder zwei Stunden offline. Und dann sagen Sie, dass Sie es geschafft haben, alles wiederherzustellen, aber der Angriff wurde verursacht, weil jemand wichtige vertrauliche Anmeldeinformationen herumliegen ließ oder sein Konto auf einem öffentlichen PC angemeldet war. Wenn dies nicht funktioniert, wird nichts anderes . Ich habe das einmal meinem Team angetan und vertraue mir, sie haben all ihre Nachlässigkeit verloren. Der Schock, möglicherweise das Projekt verloren zu haben, an dem sie monatelang gearbeitet hatten, machte sie sehr ernst mit der Sicherheit.

Es gibt jedoch einige Dinge, die Sie beachten sollten:

  • Ihr Chef / Ihre Senioren sollten über diesen inszenierten Angriff Bescheid wissen. Sagen Sie ihnen, dass dies die einzige Möglichkeit ist, die Organisation später in der Zukunft vor einem ernsthaften Angriff zu schützen. ABER SAGEN SIE IHNEN . Sie möchten wirklich nicht gefeuert werden, weil Sie versucht haben, jemandem beizubringen, wie wichtig es ist, mit seinen Passwörtern vorsichtig zu sein.

  • Ihre Kollegen reagieren möglicherweise nicht Nun, wenn sie erkennen, dass der ganze Vorfall inszeniert wurde. Bitte denken Sie nach, bevor Sie dies ihnen mitteilen. Mein Team hat verstanden, warum ich das getan habe. Möglicherweise nicht.

BITTE DENKEN SIE VIEL, BEVOR SIE MIT DIESEM VORAUSGEHEN.

Wenn sie herausfinden, dass es eine Fälschung war, verlieren Sie jegliches Vertrauen, das sie in Sie gehabt haben könnten.Es gibt immer etwas anderes zu versuchen.
Das ist eine schreckliche Idee.Wenn Sie Ihre Mitarbeiter bedrohen und belügen müssen, damit sie die Unternehmensrichtlinien befolgen, hat Ihr Unternehmen ernsthafte Managementprobleme, die behoben werden müssen, bevor Sie sich über InfoSec Gedanken machen.
AilivjivnkCMT Fair genug ...
@Schroeder Vielleicht ist das Aufgeben von Freundschaft / Vertrauen ein geeigneter Kompromiss im Austausch für eine sichere Umgebung, wenn Sie mit sehr sensiblen Informationen umgehen wollen?IDK, das muss das OP entscheiden.Ich denke, ich habe genug Warnungen aufgenommen?Außerdem muss das OP es ihnen nicht * sagen * ... Manchmal muss man lügen, um Dinge zu erledigen.So ist es halt.
Es geht nicht um Freundschaft, sondern darum, jederzeit mit Ihren Kollegen kommunizieren zu können.Ohne Vertrauen können Sie vergessen, irgendeine Art von Kultur aufzubauen oder Ihr Unternehmen in eine sicherere Umgebung zu führen.
Ich bin der festen Überzeugung, dass Vertrauen der ultimative Wert für eine sichere Kommunikation ist (insbesondere in einer vernetzten Gesellschaft), aber ich sehe, dass dies funktionieren kann, wenn es in kleinerem Maßstab gemacht wird.Was ich damit meine ist, dass Menschen nicht ihre Arbeit verlieren, Sie das Netzwerk in einigen sehr kritischen Momenten versehentlich gefährden können (und Sie können Ihr Gewissen behalten, dass jemand entlassen wurde, weil er etwas nicht rechtzeitig geliefert hat).Arbeiten Sie dies stattdessen als freundlichen Streich um.Infizieren Sie die Maschinen und sagen Sie dann eines Tages Ihren Kollegen: Möchten Sie, dass ich jetzt alle Ihre persönlichen Geräte herunterfahre?
@schroeder - Sie können dies als "Drill" anstelle einer "Fälschung" kommunizieren, und es gibt keinen Vertrauensverlust.Analogie: Ich gehe davon aus, dass Ihr Büro regelmäßig Feuerwehrübungen durchführt - aber Sie haben aufgrund dieser "Fälschungen" nicht das Vertrauen in Ihren Feuerwehrmann verloren.
@paj28 das ist ... Eine ziemlich gute Idee
#7
+2
Stephan Branczyk
2016-10-21 07:51:41 UTC
view on stackexchange narkive permalink

Das Problem, das Sie beschreiben, gilt auch für Drogen- und Bombenschnüffler.

Es spielt keine Rolle, wie oft Sie sie anschreien und bedrohen, Drogen- und Bombenschnüffler können sehr schnell das Interesse verlieren wenn sie trotz aller Arbeit nicht finden, wonach sie suchen.

Deshalb muss der Trainer ständig falsche Drogen oder Bomben verstecken, um den Hund in seiner Aktivität zu halten. Und ja, der Trainer wird anfänglich Leckereien verwenden, um etwas zu finden und die Belohnung zu verstärken, aber was den Hund letztendlich beschäftigt, ist das Spielelement und die Idee, dass der Hund nach etwas sucht, das sehr wahrscheinlich ist gefunden (auch wenn das gefundene Objekt die meiste Zeit gefälscht werden muss, um das Interesse des Hundes zu wecken).

Aus diesem Grund sollte Ihr Unternehmen regelmäßig Penetrationstests und Social-Engineering-Angriffe durchführen und anschließend die Ergebnisse anschließend regelmäßig mit allen Beteiligten überprüfen. Es gibt wirklich keinen Ersatz für solche Dinge.

Tatsache ist, dass Ihre Server möglicherweise ständig von Port-Scannern gehämmert werden, aber das ist für Ihre Führungskräfte oder Ihre Empfangsmitarbeiter nicht wichtig. Was sie sehen müssen, sind tatsächliche Angriffe, die sie betreffen oder über die sie nicht nachgedacht haben. Der beste Weg, dies zu tun, besteht darin, diese Angriffe in der gewohnten Umgebung zu versuchen.

Dies entlastet auch die soziale Unbeholfenheit, wenn jemand mit einer höheren oder gleichberechtigten Autorität konfrontiert oder blockiert wird. An meinem Arbeitsplatz hatten wir die strikte Richtlinie, dass niemand, den wir nicht kannten, uns durch die Tür folgen ließ, nachdem wir unsere RFID-Karte zum Betreten verwendet hatten. Aber natürlich würden die College-Praktikanten und die Nachtpfleger niemals die Zeugnisse von jemandem verlangen, der so aussieht, als ob er dort arbeiten könnte. Damit sie so etwas tun konnten, mussten sie glauben, dass es eine vernünftige Chance gab, dass es sich um einen Test oder eine Übung handelte, da die tatsächliche Wahrscheinlichkeit, dass es sich um einen Bösen handelt, vergleichsweise gering war.

Und bitte denken Sie nicht, dass ich nur Hausmeister und Praktikanten beschuldige, sie sind nicht die einzigen, die möglicherweise gegen das Protokoll verstoßen, nur weil sie zu nett sind oder weil sie am meisten wollen bequeme Lösungen. Mitarbeiter, Führungskräfte und viele andere werden dasselbe tun.

#8
+1
Overmind
2016-10-19 11:27:36 UTC
view on stackexchange narkive permalink

Das größte Sicherheitsproblem ist tatsächlich der Benutzerpool.

Keine Sicherheit kann die Dummheit der Benutzer besiegen (wie das Klicken auf ein Skript, das per zufälliger E-Mail empfangen wird).

Was Sie Notwendigkeit zu tun:

  • Präsentieren Sie die Risiken für das Management

  • Präsentieren Sie Beispiele für schlechte Dinge, die passiert sind

  • einen Gegenmaßnahmenplan (technisch) vorlegen

  • Anforderung, Regeln zu haben, die für alle obligatorisch sind, und Ihre Sicherheitsrichtlinie durchzusetzen (erstellen Sie eine, wenn Sie keine haben bereits)

  • fordern, dass ein Strafsystem für diejenigen erstellt wird, die nachweislich mehrmals gegen die Regeln verstoßen

  • das Management organisieren Schulung mit den Benutzern - dies ist die wichtigste - Schulung muss alles enthalten, von komplexeren Sicherheitsproblemen, die durch die Einhaltung der Benutzerkonformität verhindert werden können, bis hin zu einfachen Aufgabenlisten (dh keine Links in E-Mails anklicken)

Die Technologie kann zwar nicht die gesamte Benutzersicherheit beeinträchtigen, sie kann jedoch viele davon beeinträchtigen, und es gibt zahlreiche Lösungen für das von Ihnen erwähnte Problem: E-Mail-Gateway-Filterung, gehärtete E-Mail-Client-Konfiguration, Desktop-Sandboxing usw.
Kein E-Mail-Filter dieser Welt kann einen Link zu einer Website verweigern, die noch nicht irgendwo auf der schwarzen Liste steht.Und Antivirenprogramme blockieren nicht das, was wie ein legitimes E-Mail-Sendeformular aussieht (was aus technischer Sicht tatsächlich der Fall ist - es sind die Ziele und Nutzungsraten, die den Schaden verursachen).
Ihr Beispiel war ein Skript, das an eine E-Mail angehängt war.Mail-Gateways können nach Inhaltstyp filtern und alle Skripte blockieren.Links zu schädlichen Websites: Sie können den E-Mail-Client so konfigurieren, dass keine Links angezeigt werden.Aber vielleicht willst du sie.Desktop-Sandboxing wie Bromium führt den Browser in einer Einweg-VM aus.Wirklich, es gibt gute Lösungen.Sie haben einige Beispiele ausgewählt, die ihrem Marketing-Hype nicht gerecht werden.Tatsächlich gibt es jedoch gute Lösungen.
Nein, das Skript befindet sich auf der Zielwebsite.Die E-Mail enthält nur den Link zu dem, auf den der Cowox-Benutzer klickt und das Skript ausführt, was mein Ausgangspunkt war.Sandboxing und dergleichen sind aufgrund genau des gleichen Problems nahezu unmöglich zu implementieren: der Benutzer.Sie können kaum E-Mails verfassen. Wie erwarten Sie, dass sie VMs verwenden?
Was für ein Skript meintest du?Sie können Browser / Windows so konfigurieren, dass Benutzer keine ausführbaren Dateien herunterladen und ausführen können.Bromium macht das Sandboxing transparent, Benutzer sind sich dessen nicht bewusst.Ich bin nicht mit ihnen beschäftigt, aber es ist cooles Zeug.Außerdem scheinen Sie meinen Standpunkt bezüglich der Konfiguration des E-Mail-Clients so ignoriert zu haben, dass keine Links angezeigt werden. Dies ist eine nützliche Verteidigung.
Ich bin keine akute .exe, nur eine VB oder JS oder viele andere Varianten.Es liest das Benutzerkennwort aus Outlook und sendet dann automatisch E-Mails.Antivirenprogramme erkennen nichts.Ich kann Links nicht ignorieren, da es viele offizielle E-Mails gibt, die Links zu Client-Seiten, Client-Konfigurationen oder Angeboten kommunizieren. Daher kann ich diese nicht ablehnen.
Die Softwareeinschränkungsrichtlinie kann Benutzer daran hindern, vb / js auszuführen.Wenn Sie weitere Informationen wünschen, öffnen Sie eine neue Frage und benachrichtigen Sie mich hier.
Das geht auch nicht, weil Benutzer vb / js für ihre tägliche Arbeit benötigen.Sie haben verschiedene Anwendungen, die vb und js verwenden.
Hallo Overmind.Ich habe zuvor angeboten, dies alles genauer zu erklären, wenn Sie eine separate Frage stellen.Das Angebot steht noch.
#9
+1
paj28
2016-10-20 13:28:04 UTC
view on stackexchange narkive permalink

Einfachheit &-Konsistenz

Die Sicherheitsrichtlinien müssen für die Benutzer leicht zu befolgen sein. Viele Organisationen haben Richtlinien, die nicht die Realität widerspiegeln, sich selbst widersprechen und die Menschen brechen müssen, um ihre Arbeit zu erledigen. Die Lösung besteht darin, Richtlinien zu vereinfachen und Feedback von Benutzern zu akzeptieren.

Die Durchsetzung sollte konsistent sein. Wenn einige Leute gegen Richtlinien verstoßen und nichts passiert, ermutigt dies andere. Verwenden Sie Technologie, um Richtlinien so weit wie möglich durchzusetzen. Das Verlassen auf einzelne Benutzer als Sicherheitskontrolle sollte das letzte Mittel sein. Der beste Weg, um zu verhindern, dass Personen Informationen preisgeben, besteht darin, sie erst gar nicht weiterzugeben.

Andere haben erwähnt, dass für Personen, die sich nicht daran halten, ein Durchsetzungs-Stick erforderlich ist. Ich denke, das ist kontraproduktiv und hält die Leute davon ab, offen zu sprechen.

Klassifizierung

Sie müssen herausfinden, welche Teile Ihres Vorgangs kritisch sind. Alles im Geschäft ist bis zu einem gewissen Grad wichtig, aber einige Bits sind "normal wichtig" und andere "überkritisch".

Die überkritischen Bits, für die Sie sehr starke Kontrollen benötigen. Und die regulären Elemente, über die Sie verfügen, sind ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit.

Ich denke, viele Probleme bei der Unternehmenssicherheit sind das Versäumnis, dies zu tun. Die Sicherheitsabteilung versucht, das gesamte Unternehmen auf die "überkritische" Ebene zu bringen - was nicht realistisch ist.

#10
+1
G.Sch.
2016-12-27 17:32:37 UTC
view on stackexchange narkive permalink

Zeigen Sie das WARUM

Es gibt bereits sehr gute Antworten darauf, aber erlauben Sie mir, dieses kleine Detail beizutragen:

Um Ihre Benutzer auf Ihre Seite zu bringen, zeigen Sie ihnen WARUM Alle diese Richtlinienanforderungen sind von entscheidender Bedeutung!

Hier ein sehr einfaches Beispiel: Geben Sie Beispiele dafür, wie schnell fehlerhafte Kennwörter ausgenutzt werden können.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...