?

Log in

А посоветуйте ХОРОШИХ тренингов по security awareness? - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

А посоветуйте ХОРОШИХ тренингов по security awareness? [Jan. 20th, 2015|06:19 pm]
ArkanoiD
[Tags|, ]

И русскоязычных, и англоязычных, и интерактивных, и комиксов с картинками.

Потому что я понял, что сам за обозримое время не нарисую.

А то когда я читаю, что для безопасного использования email достаточно "проверять подозрительные аттачменты антивирусом и не открывать файлы от неизвестных отправителей", порой хочется рыдать в голос.
linkReply

Comments:
[User Picture]From: vit_r
2015-01-20 03:45 pm (UTC)
Надо смотреть видео. Когда я занимался темой, понял, что люди просто не читают. Сейчас архивы рыть влом, но при поиске вываливается очень много типа
https://www.enisa.europa.eu/media/multimedia/material/awareness-raising-video-clips
(Reply) (Thread)
[User Picture]From: arkanoid
2015-01-20 03:48 pm (UTC)
Тут есть любопытный bias: они все про то, чему научить просто. Я привел пример того, чему научить сложно -- и про него ни одного видео. Смешно.
(Reply) (Parent) (Thread)
[User Picture]From: vit_r
2015-01-20 04:26 pm (UTC)
Основной вопрос не в том, просто ли на учить, а в том, чтобы они, чёрт побери, не открывали атачменты во всяком пришедшем мейле. Потому нужно не просто видео, но видео, сделанное по законам рекламы, чтобы в мозгах засело.

Из нетривиального пробегала пара текстов от фирм, как они по заказу взламывали клиентов. Но это было давно и искать влом. Где-то валяются статьи и посты про психологию хаккеров (Если ссылки ещё живы). Надо?
(Reply) (Parent) (Thread)
[User Picture]From: scif_yar
2015-01-20 04:27 pm (UTC)
эээ...
а чего сложного в обучении "не открывать неизвестные аттачи" - если это делается запретом на запуск ?
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2015-01-20 05:07 pm (UTC)
Что такое "неизвестные аттачи"?

Запретом на запуск это делается не всегда и не везде.
(Reply) (Parent) (Thread)
[User Picture]From: scif_yar
2015-01-20 05:10 pm (UTC)
>>Что такое "неизвестные аттачи"?
-
аттачи, в которых неизвестно что.
---
>>Запретом на запуск это делается не всегда и не везде.
-
а можно узнать сценарий ? ну, для чего разрешать запуск из темпов ? и вообще откуда-то кроме програмфайлес ?

Edited at 2015-01-20 05:11 pm (UTC)
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2015-01-20 05:56 pm (UTC)
Что неизвестно? Как отличается аттач в котором известно что от аттача, в котором неизвестно что?

Давайте посмотрим на ситуацию с другой стороны: не "зачем разрешать", а "всегда ли есть техническая возможность запретить".
(Reply) (Parent) (Thread)
[User Picture]From: scif_yar
2015-01-20 06:39 pm (UTC)
>>Как отличается аттач в котором известно что от аттача, в котором неизвестно что?
-
очень просто. аттач, в котором известно что, открывается другим приложением с выкрученной на максимум безопасностью. аттач, который не открывается другим приложением - не открывается никак.
---
>>"всегда ли есть техническая возможность запретить"
-
в win-домене - всегда. *
в линуксах конечно надо AppArmour или gr_security, не пробовал такое.

* случай "идиоты работающие из под учетки доменного админа" является реальным, но это административная проблема.

Edited at 2015-01-20 06:40 pm (UTC)
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2015-01-20 08:29 pm (UTC)
локального. и увы, эта проблема не всегда решаема, когда тебе достается дохера легаси юзеров.
(Reply) (Parent) (Thread)
[User Picture]From: scif_yar
2015-01-20 09:08 pm (UTC)
в смысле "локального" ? есть Эн компов не в домене и никак едино не управляемых, на них нет вообще никакого инструмента управления ?
дохера - это сколько и легаси - в каком смысле ?
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2015-01-20 10:49 pm (UTC)
бывает, что комп в домене, апдейты накатывать и все такое можно, но у юзера есть права локального админа. локальный админ и доменный админ "немного" разные понятия.

понятие "дохера" является, естественно, относительным и зависит от количества человек в виндовой команде айти-отдела.

легаси это в том смысле что "оно десять лет так было, а потом приспичило починить".
(Reply) (Parent) (Thread)
[User Picture]From: scif_yar
2015-01-21 05:06 am (UTC)
>>бывает, что комп в домене, апдейты накатывать и все такое можно, но у юзера есть права локального админа
-
Это не влияет на применяемые политики.
---
>>легаси это в том смысле что "оно десять лет так было, а потом приспичило починить".
-
чинил. три раза. визга месяц, потом нормально. 50-500 человек.
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2015-01-21 12:12 pm (UTC)
Есть нюансы.
(Reply) (Parent) (Thread)
[User Picture]From: scif_yar
2015-01-21 12:47 pm (UTC)
есть. ну не мне же пересказывать технет, что gp позволяют фильтрацию по OU, группе и еще 100500 способов гибко регулировать всякое.
(Reply) (Parent) (Thread)
[User Picture]From: vit_r
2015-01-20 03:49 pm (UTC)
Ещё можно поискать по словам "video hacking live demo"
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2015-01-20 03:54 pm (UTC)
ну это не про то.
(Reply) (Parent) (Thread)
From: (Anonymous)
2015-01-20 04:21 pm (UTC)
> для безопасного использования email достаточно "проверять подозрительные аттачменты антивирусом и не открывать файлы от неизвестных отправителей"

а можно в двух словах что не так с этим советом?
(Reply) (Thread)
[User Picture]From: arkanoid
2015-01-20 05:09 pm (UTC)
С ним не так "вообще все".

Во-первых, только последние идиоты рассылают некастомизированные трояны, которые ловятся антивирусом в момент рассылки.

Во-вторых, только последние идиоты не подменяют отправителя на "условно известного".

То есть, фактически, этот совет помогает от СОВСЕМ нетаргетированных атак, которые в общем-то особо и ущербом, как правило, не угрожают: "почистил компьютер и все". Это не те люди, которые охотятся на твои данные.
(Reply) (Parent) (Thread)
[User Picture]From: 109
2015-01-20 07:52 pm (UTC)
с другой стороны, у обычного человека вероятность столкнуться с нетаргетированной атакой куда выше, чем с таргетированной.
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2015-01-20 08:30 pm (UTC)
у частного -- да. у корпоративного -- выше, но не "куда".
(Reply) (Parent) (Thread)
[User Picture]From: scif_yar
2015-01-20 09:10 pm (UTC)
>>То есть, фактически, этот совет помогает от СОВСЕМ нетаргетированных атак, которые в общем-то особо и ущербом, как правило, не угрожают: "почистил компьютер и все"
-
это мягко говоря не так. Я до начала внедрения активных мер (которое шло с визгами и угрозами) примерно раз в полгода наблюдал неловящийся троянец / вирь. Примерно в одном случае из четырех это был шифровальщик.
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2015-01-20 10:50 pm (UTC)
ну, шифровальщик это наиболее безобидный вид.
(Reply) (Parent) (Thread)
[User Picture]From: _winnie
2015-01-20 06:06 pm (UTC)
Я хочу скачать и запустить программу из интернета, можно ли это делать? Или сидеть без софта?

upd: подумал, что проблема частично решается запуском всего чего только можно - в виртуальных машинах. Но скажем какой-нибудь "оптимизатор реестра" или "твикер системных настроек" в sandbox не запустишь ( например, https://windirstat.info/ или TrueCrypt )



Edited at 2015-01-20 06:10 pm (UTC)
(Reply) (Thread)
[User Picture]From: dma
2015-01-20 07:06 pm (UTC)
А их вообще нигде не надо запускать - это в 100% случаев ёбаная ёбань.
(Reply) (Parent) (Thread)
[User Picture]From: _winnie
2015-01-20 07:14 pm (UTC)
А я вот такое запускал (не конкретно этот бинарник, но делающий похожее) - http://www.megaleecher.net/Tcpip.sys_Patch_To_Increase_Windows_XP_Connection_Limit

И ещё вот такое - http://johnhaller.com/useful-stuff/disable-caps-lock

И TrueCrypt, и какой-то непонятный RAM-driver, и windirstat, и FAR/TotalCommander.

И ещё я на самом деле не умею, как удобно работать с виртуальными машинами, поэтому приходится запускать без них не только системный софт, но и прочий (скайп, u-torrent, gephi, paint.net, cpu-z, ...). И каждый раз с одной стороны мучает паранойя, с другой - осознание, что трата времени и лишние клики мышью скорее всего не окупятся.

Edited at 2015-01-20 07:15 pm (UTC)
(Reply) (Parent) (Thread)
[User Picture]From: dma
2015-01-20 08:37 pm (UTC)
первое решается registry setting'ом, насколько помню.
Да и второе, скорее всего, тоже.

"какой-то непонятный Х" не стоит запускать вообще, виртуалка или нет.

Ну да, не окупятся, не окупятся, и ещё раз не окупятся, а потом жопа будет болеть. Теоретически.

А на практике - не будет. Ну перезальют тебе машину, максимум.
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2015-01-20 10:51 pm (UTC)
до момента "перезальют машину", если атака действительно таргетированная, скорее всего будет уже поздно.
(Reply) (Parent) (Thread)
[User Picture]From: dma
2015-01-20 11:16 pm (UTC)
если атака действительно таргетированная - на аттачментах свет клином не сошёлся.

Правда же состоит в том, что надо быть очень интересным для таргетированных атак. И я не знаю, что надо делать (кроме как быть Иранской ядерной программой или военными), чтобы быть интересным.
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2015-01-21 10:33 am (UTC)
Ха. Нет, не нужно. Потому что задача легкой кастомизации атаки на одну организацию из готовых тулкитов и некоторой легкодоступной информации -- на один вечер.

Я тебе сейчас пример расскажу приватно.

Edited at 2015-01-21 10:34 am (UTC)
(Reply) (Parent) (Thread)
[User Picture]From: dma
2015-01-21 06:19 pm (UTC)
Как и всё в секурити - это Бессмысленно Дорого. :)

То есть да, один вечер - но денег за это захотят много.
(Reply) (Parent) (Thread)
[User Picture]From: scif_yar
2015-01-21 05:09 am (UTC)
>>если атака действительно таргетированная, скорее всего будет уже поздно.
-
если есть такие важные данные, то их надо тупо хранить на изолированном (физически) сегменте. удаленный доступ если нужен - например Ip kvm.
ваш кэп.
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2015-01-21 10:34 am (UTC)
Блядь, начинается.
(Reply) (Parent) (Thread)
[User Picture]From: scif_yar
2015-01-21 10:45 am (UTC)
чего начинается ? я видал такую практику - изолированный кабинет, стены обитые чугунием, вход по пропуску.
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2015-01-21 12:11 pm (UTC)
Мало ли, блядь, кто что видел. Примерно 99.9% бизнесов, если им предлождить работать в таких условиях могут просто закрыться прямо сейчас и сэкономить время и силы горе-безопаснику, который советует всякую хуйню вроде этой.
(Reply) (Parent) (Thread)
[User Picture]From: scif_yar
2015-01-21 12:46 pm (UTC)
конечно могут.
(Reply) (Parent) (Thread)
From: steblovski
2015-01-20 11:50 pm (UTC)
А если гугл online privacy/security tutorial?
(Reply) (Thread)
[User Picture]From: arkanoid
2015-01-21 12:12 pm (UTC)
Все не то.
(Reply) (Parent) (Thread)
[User Picture]From: cdplayer
2015-01-26 02:28 am (UTC)
Митник утверждает, что у его команды практически 100% успех по проникновению. И это при том, что те, кого атакуют, в курсе, что их атакуют. Это я к возможности защиты от таргетированных атак.
(Reply) (Thread)
[User Picture]From: arkanoid
2015-01-26 10:47 am (UTC)
Он же, кстати, продает тренинги по security awareness :-)
(Reply) (Parent) (Thread)
[User Picture]From: cdplayer
2015-01-27 12:11 am (UTC)
Ну вот ты и ответил сам на свой вопрос ;)
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2015-02-14 03:34 pm (UTC)
у меня столько денег нет.
(Reply) (Parent) (Thread)
[User Picture]From: cdplayer
2015-02-15 03:07 am (UTC)
Well, bro - твой ROI в данной ситуации == потенциальные потери от targeted pwnage. Тебе решать, что дешевле.
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2015-02-15 11:00 am (UTC)
Спасибо, Кэп.

к сожалению, мне нужно не только решить, но и убедить всех, кто утверждает бюджет, что мое решение верное.
(Reply) (Parent) (Thread)
[User Picture]From: cdplayer
2015-02-15 08:22 pm (UTC)
Чиркни Кевину - у него, скорее всего, есть вспомогательный материал для составления убеждалок, с необходимой статистикой. И, для балансу, спроси подобного же матерьялу у какой-нить в ваших кругах уважаемой аналитичиской компании (не знаю, ценят/верят в у вас в Гартнер или нет).
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2015-02-15 08:24 pm (UTC)
У меня все, конечно, плохо, но не до такой степени деградировало, чтобы Гартнеру верили больше, чем мне :-)
(Reply) (Parent) (Thread)
[User Picture]From: cdplayer
2015-02-15 08:41 pm (UTC)
Я же сказал - у аналитиков, уважаемых в ваших кругах. Я не знаю, есть у вас там такие или нет. По-любому, бин каунтерам нужны цыфирьки. Go get some.
(Reply) (Parent) (Thread)