top-image
Главная » Услуги и обучение » Экономическая безопасность » Противодействие социальной инженерии

Код: ES400

Противодействие социальной инженерии

Отправить нам заявку на участие в мероприятии Получить коммерческое предложение

Описание:

Социальная инженерия становится угрозой N1 при обеспечении личной и корпоративной безопасности, что неслучайно, поскольку объектом воздействия здесь является самое слабой звено – человеческий фактор.

Особую опасность социнженерия представляет для финансовой сферы, где путем несложных психологических манипуляций мошенники вынуждают свою жертву сообщить им ценную конфиденциальную информацию или осуществить денежные переводы. При этом злоумышленники активно используют все современные каналы коммуникации с жертвой, начиная с телефонных звонков и заканчивая социальными сетями.

Атака методами социальной инженерии всегда идет в обход аналитических инструментов разума. Она воздействует на эмоциональную сферу, привычно подавляемую у людей, занятых умственным трудом. Высокий интеллект «потенциальной жертвы» не спасает, потому что методы социальной инженерии направлены на разрушение шаблонов поведения, страхи и приспособительные рефлексы. Чтобы критический блок мышления не мешал воздействию на жертву, ее перегружают информацией или манипулируют временем.

В ситуации принятия срочных решений и при дефиците информации жертва начинает действовать, руководствуясь глубинными чувствами: желанием помочь, стремлением получить признание или отделаться от возникшей проблемы. Часто удается сыграть на жажде легкой наживы, страхе потерять деньги, результаты труда или репутацию.

Защититься от таких атак непросто, поскольку жертвы могут не подозревать, что ими манипулируют. Необходимо изучить природу и разновидности атак, понять, что нужно злоумышленнику, научиться распознавать манипуляции и эффективно противодействовать им. 

Цели курса:

  • изучить психологическую природу и технические способы реализации атак методами социальной инженерии;   
  • освоить принципы безопасной работы с электронными средствами коммуникаций (интернет, почта, мобильные приложения, социальные сети);
  • ознакомиться с техниками активной и пассивной защиты личных интересов и интересов компании;
  • приобрести навыки правильного реагирования на манипулятивное воздействие, аргументированного отказа и противодействия социальной инженерии;
  • освоить практику проведения регулярных тренингов по противодействию социальной инженерии в своем коллективе.

Программа мероприятия:

1-й день

1. Введение в проблематику социальной инженерии

  • Социальная инженерия одна из самых актуальных угроз корпоративной и личной безопасности
  • Атаки на сотрудников и социальная инженерия как ключевая техника успешных атак.  История вопроса, Кевин Митник и др. «звезды».
  • Практикум. Разбираем схему современной цифровой атаки.
  • Модель психологического воздействия цифровых атак. Векторы атак с использованием социнженерии. Наглядные примеры.

2. Безопасная работа в интернете и с почтой

  • Самый популярный и опасный вектор цифровых атак на сотрудников.
  • Как мошенники используют сайты, чтобы взломать сотрудника и компанию.
  • Безопасная работа с сайтами и интернет-сервисами.
  • Спам и целевой фишинг. Как работает фишинговая атака.
  • Практикум и примеры. Разбор типовых атак по модели психологического воздействия.
  • Практикум и примеры. Сложные технологические вектора атак. Разбор по модели психологического воздействия.
  • Основы безопасности при работе с электронной почтой.
  • Ключевые технические меры защиты.
  • Практикум. Оцениваем готовность технических мер защиты в своей организации.
  • Алгоритм действий для сотрудника. Методики проверки отправителя, ссылки, вложенного файла.
  • Практикум. Используем алгоритм на примерах реальных и имитированных атак.

3. Мобильная безопасность: безопасная работа на любом мобильном устройстве

  • Угрозы для мобильных пользователей. Как мошенники могут взломать ноутбук или смартфон.
  • Основы безопасной настройки ОС и мобильных устройств под управлением Android и IOS.
  • Проверка обновлений на ноутбуках и смартфонах.
  • Резервное копирование и восстановление данных.
  • Практикум. Проверяем ключевые параметры защищенности личных устройств.
  • Безопасная работа с мобильными приложениями, ссылками и почтой.
  • Работа в недоверенных беспроводных сетях.
  • Работа с ВПН и двухфакторной аутентификацией.
  • Правила безопасности в публичных местах и в поездках.
  • Физическая защита, блокировка и поиск потерянных устройств.

4. Безопасная работа в социальных сетях, «облачных» сервисах и мессенджерах

  • Социальные сети. Типы угроз и мотивация атакующих.
  • «Облачные» сервисы. Традиционные и специфичные угрозы безопасности. Методы защиты.
  • Мессенджеры. Типы угроз и методы защиты
  • Практикум и примеры. Разбор атак по модели психологического воздействия.
  • Главные правила безопасности при работе в социальных сетях.
  • Безопасность в «облачных» сервисах.
  • Безопасность в мессенджерах.
  • Практикум. Проверяем защищенность личных аккаунтов в социальных сетях, сервисах и мессенджерах.

5. Как тренировать своих сотрудников. Обзор процесса и практические рекомендации для специалистов и руководителей СБ и СИБ

  • Человеческий фактор как главный вектор современных цифровых атак.
  • Обучение. Что должны знать сотрудники, чтобы помогать защищать свою компанию.
  • Тренировка навыков. Что должны уметь сотрудники. Общий подход и практические рекомендации.
  • Категории атак. Эффективность по различным психологическим векторам.
  • Формат и примеры сценариев. Примеры готовых имитированных атак. Как разработать, согласовать и изготовить имитированные атаки.
  • Практикум. Подготовка сценариев имитированных цифровых атак.
  • Измеримые показатели поведения сотрудников.
  • Категории сотрудников, которых важнее обучать и тренировать.
  • Инструменты и сервисы для автоматизации процессов.
  • Практикум. Использование Антифишинга для создания и выполнения имитированных цифровых атак.
  • Психологические факторы. Оценка сотрудников, выявление потенциальных жертв цифровых атак нетехническими методами.
  • Мотивация сотрудников. Доверие к безопасности. Положительная обратная связь.
  • Цифровая безопасность как часть корпоративной культуры

 

2-й день

6. Природа психологического манипулирования в социальной инженерии

  • Психологическая характеристика методов социальной инженерии.
  • Типичные способы манипулирования поведением жертвы. Некоторые законы социальной инженерии.
  • Наиболее распространенные психологические «ловушки» и сигналы попадания в них.

7. Распознавание психологических манипуляций: цели, векторы, приемы

  • Источники манипулирования: потребности, слабости, пристрастия, ритуалы.
  • Основные приемы социальной инженерии для выведывания конфиденциальной информации.
  • Система психологических «уловок» собеседника.
  • Приемы выявления настораживающих признаков поведения в процессе общения.
  • Навыки распознавания манипуляций на основе анализа текстовых сообщений.
  • Освоение техники распознавания вербальных и невербальных признаков психологического воздействия при телефонном общении.
  • Разбор реальных ситуаций, имевших место в Вашей организации.

8. Пассивное и активное противодействие психологическому манипулированию

  • Пассивная защита от манипуляций: задержка спонтанных реакций, сохранение самообладания.
  • Активная защита от манипуляций: разоблачение и контрманипуляция.
  • Обучение конструктивным техникам защиты от социальной инженерии.
    • Техника «локализации проблемы»
    • Треугольник Карпмана
    • Техника «заезженной пластинки»
    • Трансактный анализ
    • Техника отказа с помощью разделения ответственности (как научиться говорить «нет» и сохранять хорошие отношения)
    • Техника работы с агрессивным контрагентом

9. Психологические игры и упражнения.

Оставить свой отзыв об этом мероприятии