Описание

Цели курса:
изучить психологическую природу и технические способы реализации атак методами социальной инженерии;   
освоить принципы безопасной работы с электронными средствами коммуникаций (интернет, почта, мобильные приложения, социальные сети);
ознакомиться с техниками активной и пассивной защиты личных интересов и интересов компании;
приобрести навыки правильного реагирования на манипулятивное воздействие, аргументированного отказа и противодействия социальной инженерии;
освоить практику проведения регулярных тренингов по противодействию социальной инженерии в своем коллективе

Программа

  • Введение в проблематику социальной инженерии

    1-й день

    • 1. Введение в проблематику социальной инженерии

      • Социальная инженерия одна из самых актуальных угроз корпоративной и личной безопасности
      • Атаки на сотрудников и социальная инженерия как ключевая техника успешных атак.  История вопроса, Кевин Митник и др. «звезды».
      • Практикум. Разбираем схему современной цифровой атаки.
      • Модель психологического воздействия цифровых атак. Векторы атак с использованием социальной инженерии. Наглядные примеры.

    • 2. Безопасная работа в интернете и с почтой

      • Самый популярный и опасный вектор цифровых атак на сотрудников.
      • Как мошенники используют сайты, чтобы взломать сотрудника и компанию.
      • Безопасная работа с сайтами и интернет-сервисами.
      • Спам и целевой фишинг. Как работает фишинговая атака.
      • Практикум и примеры. Разбор типовых атак по модели психологического воздействия.
      • Практикум и примеры. Сложные технологические вектора атак. Разбор по модели психологического воздействия.
      • Основы безопасности при работе с электронной почтой.
      • Ключевые технические меры защиты.
      • Практикум. Оцениваем готовность технических мер защиты в своей организации.
      • Алгоритм действий для сотрудника. Методики проверки отправителя, ссылки, вложенного файла.
      • Практикум. Используем алгоритм на примерах реальных и имитированных атак.

    • 3. Мобильная безопасность: безопасная работа на любом мобильном устройстве

      • Угрозы для мобильных пользователей. Как мошенники могут взломать ноутбук или смартфон.
      • Основы безопасной настройки ОС и мобильных устройств под управлением Android и IOS.
      • Проверка обновлений на ноутбуках и смартфонах.
      • Резервное копирование и восстановление данных.
      • Практикум. Проверяем ключевые параметры защищенности личных устройств.
      • Безопасная работа с мобильными приложениями, ссылками и почтой.
      • Работа в недоверенных беспроводных сетях.
      • Работа с ВПН и двухфакторной аутентификацией.
      • Правила безопасности в публичных местах и в поездках.
      • Физическая защита, блокировка и поиск потерянных устройств.

    • 4. Безопасная работа в социальных сетях, «облачных» сервисах и мессенджерах

      • Социальные сети. Типы угроз и мотивация атакующих.
      • «Облачные» сервисы. Традиционные и специфичные угрозы безопасности. Методы защиты.
      • Мессенджеры. Типы угроз и методы защиты
      • Практикум и примеры. Разбор атак по модели психологического воздействия.
      • Главные правила безопасности при работе в социальных сетях.
      • Безопасность в «облачных» сервисах.
      • Безопасность в мессенджерах.
      • Практикум. Проверяем защищенность личных аккаунтов в социальных сетях, сервисах и мессенджерах.

    • 5. Как тренировать своих сотрудников. Обзор процесса и практические рекомендации для специалистов и руководителей СБ и СИБ

      • Человеческий фактор как главный вектор современных цифровых атак.
      • Обучение. Что должны знать сотрудники, чтобы помогать защищать свою компанию.
      • Тренировка навыков. Что должны уметь сотрудники. Общий подход и практические рекомендации.
      • Категории атак. Эффективность по различным психологическим векторам.
      • Формат и примеры сценариев. Примеры готовых имитированных атак. Как разработать, согласовать и изготовить имитированные атаки.
      • Практикум. Подготовка сценариев имитированных цифровых атак.
      • Измеримые показатели поведения сотрудников.
      • Категории сотрудников, которых важнее обучать и тренировать.
      • Инструменты и сервисы для автоматизации процессов.
      • Практикум. Использование Антифишинга для создания и выполнения имитированных цифровых атак.
      • Психологические факторы. Оценка сотрудников, выявление потенциальных жертв цифровых атак нетехническими методами.
      • Мотивация сотрудников. Доверие к безопасности. Положительная обратная связь.
      • Цифровая безопасность как часть корпоративной культуры

    Природа психологического манипулирования в социальной инженерии

    2-й день

      • Психологическая характеристика методов социальной инженерии.
      • Типичные способы манипулирования поведением жертвы. Некоторые законы социальной инженерии.
      • Наиболее распространенные психологические «ловушки» и сигналы попадания в них.

    • 7. Распознавание психологических манипуляций: цели, векторы, приемы

      • Источники манипулирования: потребности, слабости, пристрастия, ритуалы.
      • Основные приемы социальной инженерии для выведывания конфиденциальной информации.
      • Система психологических «уловок» собеседника.
      • Приемы выявления настораживающих признаков поведения в процессе общения.
      • Навыки распознавания манипуляций на основе анализа текстовых сообщений.
      • Освоение техники распознавания вербальных и невербальных признаков психологического воздействия при телефонном общении.
      • Разбор реальных ситуаций, имевших место в Вашей организации.

    • 8. Пассивное и активное противодействие психологическому манипулированию

      • Пассивная защита от манипуляций: задержка спонтанных реакций, сохранение самообладания.
      • Активная защита от манипуляций: разоблачение и контрманипуляция.
      • Обучение конструктивным техникам защиты от социальной инженерии.
      • Техника «локализации проблемы»
      • Треугольник Карпмана
      • Техника «заезженной пластинки»
      • Трансактный анализ
      • Техника отказа с помощью разделения ответственности (как научиться говорить «нет» и сохранять хорошие отношения)
      • Техника работы с агрессивным контрагентом

    • 9. Психологические игры и упражнения.

      Итоговая аттестация