website templates free download
Повышение осведомленности сотрудников с помощью StopPhish

Повышение осведомленности сотрудников для защиты
от социальной инженерии

Помогаем защититься от атак киберпреступников
с помощью обучения сотрудников
правилам информационной безопасности
и проведения регулярных учебных атак

Что делает система StopPhish

1

Специальный алгоритм подбирает «ловушку» под специфику работы сотрудника

2

Отправляется персонализированная «ловушка»

3

Сотрудник открывает «вредоносные» файлы и ссылки

4

Служба безопасности видит, кто из пользователей «попался»

5

Проводится онлайн-обучение для «попавшихся» сотрудников

6

Далее проверка сотрудников
и обучение проводится по расписанию

Опасность социальной инженерии


  • «Основная наша озабоченность - это социальная инженерия, а не технические атаки и распространение вредоносного программного обеспечения»
    Артем Сычев, Банк России 
  • «Чаще всего киберпреступники проводят целевые атаки с использованием рассылок вредоносного программного обеспечения.»
    Владимир Журавлев, «Открытие»
  • «Какие бы ни были технологии, все становится бессмысленно, если сотрудники открывают подозрительные файлы и кликают на фишинговые ссылки»
    Илья Сaчкoв, Grоup-IB

Кейс по проверке текущей осведомленности сотрудников


Задача: Проверить навыки информационной безопасности у проектной команды Ростех с использованием массовой и таргетированной социальной инженерии.
Особенности: Тестировались ИТ-специалисты.
Реализовано: Проведено 3 учебных атаки, включая таргетированую.
Результат: Выявлены сотрудники не различающие опасные ссылки или файлы в письмах.

Кейс в организации, где сотрудники «сопротивляются» обучению и не всегда проходят назначенные курсы


Задача: Снизить процент событий безопасности, основанных на хищении конфиденциальной информации.
Особенности:
- Сотрудники редко открывают письма с обучающими курсами;
- Часто игнорируют рекомендации службы ИБ.
Реализовано:
- Применено 3 типа онлайн-обучения сотрудников, для снижения «стресса» от обучения;
- Введена система рейтинга по каждому сотруднику, для предоставления руководству явных «диверсантов»;
Результаты:
- Выявлены сотрудники, регулярно игнорирующие коммерческую корреспонденцию, что замедляло бизнес-процессы организации;
- Контракт заключен на год, но уже через 4 месяца значительно снизился процент инцидентов с хищением КИ.
- Служба ИБ получила «рычаг» влияния на риски взлома организации через человеческий фактор.

Кейс в организации, где была введена ответственность за игнорирование правил ИБ


Задачи:
- В рамках внутренних киберучений, привлечь стороннюю компанию для экспертизы обучающих материалов;
- Выявить сотрудников, явно не различающих соц. инженерию;
- Провести быстрое обучение по одному из векторов фишинга.
Особенности: К заказчику выезжал наш специалист и проводил учебные атаки на их территории, для обеспечения большей безопасности мероприятий.
Реализовано:
- Скорректированы внутренние обучающие материалы;
- Проведен один из видов онлайн-обучения;
- Осуществлены 3 учебных атаки.
Результаты: За месяц количество сотрудников, не различающих определенные фишинговые письма, снизилось в 8.5 раз.

Кейс в организации, после применения услуги «Экспресс повышение осведомленности»


Задача:
Протестировать один из типов онлайн-обучения с целью снижения инцидентов основанных на фишинге.
Особенности: Тестировались и обучались ИТ-специалисты организации.
Реализовано:
- Проведены 2 учебных атаки для проверки текущей осведомленности;
- Применен один из вариантов онлайн-обучения;
- Проведена учебная атака, для проверки знаний после обучения.
Результаты: Количество сотрудников, не различающих определенные фишинговые письма уже после одного курса, снизилось в 6.5 раз.

Благодарности и рекомендации

Разовая проверка

Разовая проверка осведомленности:
  • 3 разных атаки на сотрудников
  • Отчет о результатах проведения атак
  • Включает многоуровневые векторы атак

С обучением

Ежемесячная проверка осведомленности:
  • 50 разных атак на сотрудников за год
  • Отчет о результатах проведения атак
  • Включает многоуровневые векторы атак
  • Обучение  сотрудников

Без обучения

Ежемесячная проверка осведомленности:
  • 50 разных атаки на сотрудников за год
  • Отчет о результатах проведения атак
  • Включает многоуровневые векторы атак

Варианты обучения

Принцип обучения:

В течение года проводится 50 разных учебных атак с использованием социальной инженерии.

Провалившим проверку назначается онлайн мини-курс по теме, которую он плохо усвоил.

После изучения материалов проводится мини-экзамен и в будущем проводится похожая атака.

Что входит:

- Как распознать вредоносную ссылку в письме (6 типов ссылок).

- Векторы атак с USB-устройствами (5 типов usb-устройств).

- Как распознать вредоносное вложение в письме (3 типа вложений).

- 4 вредоносных сценария, которые используют хакеры в письме.

- Как хакер может испортить вам жизнь.

- Как хакеры входят в доверие.

- Противодействие сценариям «Find trap».

- Проверяем отправителя.

- Определяем хакерское письмо по тексту.

Данные курсы по противодействию социальной инженерии будут составляться на основе интервью с вами.

По ним мы также можем создать учебные атаки и тестировать сотрудников.

Разработка курсов платная. После этого они добавляются в тариф «С обучением» и не увеличивают его стоимость.

В зависимости от ваших регламентов:
- Какие данные нельзя отправлять по электронной почте.
- Опасные действия, которые может требовать злоумышленник и как их распознать.
- Действия при обнаружении взлома почты.
- Тренировка: что делать, если вы сомневаетесь кто вам пишет, хакер или обычный пользователь.
- Как безопасно проверить ссылку и не заразить компьютер.
- Какие сообщения стоит игнорировать, а о каких сообщать в службу безопасности? 

В зависимости от браузера:
- Установка дополнений в браузере.
- Сохранение пароля в браузере. 

В зависимости от парольной политики:
- Создание надежного и простого для запоминания пароля.
- Безопасное хранение пароля.
- Кому можно сообщать свой пароль от почты.
- Опасность использования одинаковых паролей на разных ресурсах. 

В зависимости от взаимодействия подразделений:
- Действия, когда из одного отдела пришло подозрительное письмо в другой отдел 


МОБИЛЬНАЯ АДАПТАЦИЯ

Не требуется особых знаний, все сайты Mobirise адаптивны. Вам не нужно создавать специально мобильную версию сайта.

МОБИЛЬНАЯ АДАПТАЦИЯ

Не требуется особых знаний, все сайты Mobirise адаптивны. Вам не нужно создавать специально мобильную версию сайта.

МОБИЛЬНАЯ АДАПТАЦИЯ

Не требуется особых знаний, все сайты Mobirise адаптивны. Вам не нужно создавать специально мобильную версию сайта.

ЛЕГКО И ПРОСТО

Сократите время разработки с помощью простого перетаскивания блоков на страницу, редактируйте содержание и публикуйте - нет необходимости в технических навыках.

ЛЕГКО И ПРОСТО

Сократите время разработки с помощью простого перетаскивания блоков на страницу, редактируйте содержание и публикуйте - нет необходимости в технических навыках.

ЛЕГКО И ПРОСТО

Сократите время разработки с помощью простого перетаскивания блоков на страницу, редактируйте содержание и публикуйте - нет необходимости в технических навыках.

ТРЕНДОВЫЕ БЛОКИ

Выберите готовые и настраиваемые шаблоны блоков - полноэкранный интро, bootstrap-карусель, слайдер, галерею изображений с параллаксом, "липким" заголовком и многое другое.

ТРЕНДОВЫЕ БЛОКИ

Выберите готовые и настраиваемые шаблоны блоков - полноэкранный интро, bootstrap-карусель, слайдер, галерею изображений с параллаксом, "липким" заголовком и многое другое.

ТРЕНДОВЫЕ БЛОКИ

Выберите готовые и настраиваемые шаблоны блоков - полноэкранный интро, bootstrap-карусель, слайдер, галерею изображений с параллаксом, "липким" заголовком и многое другое.

Обучение персонала правилам информационной безопасности


Почему классическое обучение плохо работает:

Мы тестировали 2 группы сотрудников.

1-я группа, месяцем ранее, обучалась правилам ИБ
2-я группа не проходила обучения навыкам кибербезопасности.

Сотрудникам отправлялось письмо с ссылкой на поддельный сайт с «вредоносным» файлом.

В результате:
«Обученные» - 30 переходов и скачиваний файла
«Не обученные» - 34 перехода и скачиваний

Вывод:

Сотрудники забывают правила из курсов по ИБ

Нам доверяют:

Mobirise

Закажите тестовую проверку сотрудников
или задайте вопрос:

© 2017-2020 «StopPhish» - повышение осведомленности сотрудников в области информационной безопасности для защиты от социальной инженерии и фишинга.

Варианты сотрудничества  Результаты  Контакты