市警察使用乐高模拟来教授网络安全
董事会有一些艰难的决定。该公司刚刚采用水电站。
Office IT系统和SCADA工业控制系统与互联网相连,所有人都可能受到黑客和病毒的风险。很少,如果有的话,安全到位。
欢迎来到伦敦警方的网络安全仿真游戏。本周揭幕为Force Cyber Griffin计划的一部分,以帮助Square Mile的公司提高其安全性,该游戏旨在鼓励公司委员会及其IT团队在发生之前思考和准备安全问题。
作为董事,我们每年安全预算为100,000英镑和各种各样的选择。防火墙,防病毒,中央电视台,资产审计,威胁评估,操作系统升级和安全培训 - 我们需要所有,但预算有限,我们必须优先考虑。
每个人都用他们的想法筹码:
“我们可以先寻找抗病毒等基础,然后稍后做威胁评估。”
“我们也需要闭路电视,因为我们不知道谁在那里工作。”
“我们在办公室需要一个防火墙,因为它们在午餐时间都在Facebook上。”
“GDPR [一般数据保护规范]的风险如何?如果我们的客户的电子邮件被黑客攻击,我们可能会接触到巨额罚款,这将使公司失业。“
“所以我们有真正的员工,看起来真的很可爱,为每个人带来蛋糕,他们实际上是种植设备到处种植?”
讨论都是思想挑衅和疯狂。无论我们所做的什么选择,我们都是默认情况下,遗漏了另一部分脆弱的商业。
Ben Shreeve,之前在兰卡斯特大学和现在的布里斯托尔大学网络安全集团的一部分,开发了游戏,帮助商业领袖了解网络安全的复杂性。
该电厂由乐高制成,玩家可以选择在有时令人困惑的选择范围内将年度安全预算花在彩色扑克牌上。
做出错误的决定,你的风险被攻击,受到监管机构的攻击,遭到罚款,并可能破产。
查理莫里森和本赫雷维许多公司在过去两年中参加了比赛,它吸引了伦敦市外的警察势力,包括大都会警察和区域部队。
Charlie Morrison是伦敦市警方的网络犯罪单位的中士。他鼓励董事董事作为网络格里芬计划的一部分与其安全员工一起玩游戏。
“在CEO和IT家伙之间有一个公平的摩擦,”他说。“IT家伙从根本上挫败了他们需要CEO来了解这些问题。首席执行官觉得这是一个从根本上的技术问题。他们每个人都通过自己的经验,觉得另一个是错误的。“
莫里森说,经过两小时后,董事会成员开始以不同的光线查看他们的专家。他们意识到安全是董事会问题,但公司的声誉和使命是IT部门的手中。
“我们认为这场比赛是一项非常好的方法,开始让这些企业在思考网络安全背后的概念的业务中,”他说。“游戏真的很擅长让你在一天中思考这些事情。”
对网络安全培训来说从未如此。根据国家网络安全中心的研究,根据国家赞助组织的数据违规行为,许多由国家赞助的组织达到记录水平。
受影响的公司包括雅虎,该公司承认,2013年的违约行为违约了三百万客户,并且有关1.45亿用户和70万英国用户的个人身份信息受到损害。
这些攻击中的许多攻击不与技术,但与人们一起,并且在模拟期间犯了许多板的错误是在技术解决方案上关注太多。许多攻击开始于犯罪分子发出网络钓鱼电子邮件,该电子邮件试图将员工成员欺骗与恶意软件相关联的文件。
有组织的犯罪团伙和国家 - 国家赞助团体可以走向极端的长度,以研究社交媒体的目标,以创造一个非常令人信服的矛网络钓鱼攻击。
“我们遇到了一个事件,在那里有一些肩膀冲浪 - 有人在咖啡店的房间里,听,”莫里森说。“这是我所知的事情,已经发生了,但这是非常罕见的。”
莫里森已达到落后于复杂的网络钓鱼袭击事件的公司,其中犯罪致辞来自首席执行官的电子邮件,要求立即转移数十万英镑到银行acccount。骗局 - 被称为首席执行官欺诈 - 令人惊讶的是常见的,并且公司失去大量资金并不罕见。
在另一个案例中,犯罪分子走进办公室,用清洁套件,说他在那里清洁MAC。第二天,该公司发现了20台计算机缺失。
Ben Shreeve为乐高板增加了碎片但警方难以犯罪。“由于跨国,电子乘以运作的方式,你不一定会逮捕问题,”莫里森说。“由于犯罪的明显性质,您也有困难地寻找受害者。”
但像伦敦警方的网络安全游戏一样的举措可以产生很大的不同。主要网络安全威胁是:脚本小孩,谁利用货架黑客工具找到脆弱的IT系统;在政治上有动力的黑客主义者;有组织的犯罪团体,谁是赚钱;和国家州。
“如果我正在寻找任何其他警察领域,我将看待非常不同的策略来试图打击它们,”莫里森说。但在网络犯罪中,同样的防御对所有攻击者都有影响。“这是一个巨大的机会,”他补充道。
伦敦警方的Cyber Griffin计划旨在帮助城市的公司更好地准备回应网络攻击。这包括向公司发送专家培训师,与他们交谈他们的业务连续性计划。该计划将涵盖威胁和恢复计划,协助公司对其对风险的看法以及它需要做些什么来减少它们。
另一个领域,伦敦警方认为它有一些东西要提供的是教学企业如何在现场,高压网络攻击模拟中使用警察决策技术。参与的公司可以预期攻击者已经完成了他们的作业,并通过社会工程攻击来编写,他们可以针对公司高管使用。
“这将强调决策过程,”莫里森说。“最终结果是公司有机会钻取计划,如果他们发现它有用,请利用警察机制做出决定。”
该计划的第三个要素是莫里森为首席信息安全官员(CISOS)称为“大脑信任”。有许多行业团体在那里专注于分享有关安全威胁的情报,但莫里伦将该集团视为扮演更多的支持和咨询角色。
“警察可以提供的事情之一是我们完全是中立的,”他说。“网络安全的一件事是每个人都试图卖给你一些东西。我们正在将一群专家们聚集在一起,这使您可以信任的真正折衷的团队。当你来咨询时,我们可以确保它是公平和公正的。“
本集团将汇集警察网络犯罪专家,网络安全专家和其他高技能的安全大师,与CisoS一起来自广场英里的公司。
“我的感觉是,Cisos是令人难以置信的高强调的角色,迫切需要在目前在一个不太明确定义的地区推进公司的安全性的人,”莫里森说。
“这个小组是关于帮助和支持。如果我们获得英特尔共享,那么我对此感到非常满意,但我不希望人们觉得当他们来到集团时,他们将被送入信息。我希望人们去那里,真正得到他们可以信任的帮助,消失,让他们的组织更安全。“
莫里森说他准备好快速移动,但希望看到城市的公司在决定如何分配资源之前,他们最需要。他已经建立了一个公司和联系方式,虽然他在网络犯罪单位的工作。
但回到游戏 - 我们的小组董事决定在顾问审核我们的资产。结果是可怕的:每种操作系统都过期,未匹配和脆弱。
担心GDPR下的巨额罚款,我们决定将剩余的预算升级我们的服务员并加密PC上的数据。用闪亮的新乐高取代了我们的旧系统。
我们紧张地等待莫里森报道:
Wannacry病毒以某种方式使其进入您的网络。您办公室中的所有计算机都被锁定锁定了ransomware。您决定支付赎金,共计5,000英镑。幸运的是,这解锁了所有计算机,您可以获得所有数据。学习信息安全的大学学生愚蠢地决定通过试图破解您的公司来练习黑客。他无法相信它是多么容易,像你这样的公司没有防火墙。幸运的是,他是未来的白人黑客,他决定向你报告这个消息而不是偷你的。故事对销售的负面影响类似于12,000英镑的销售额。董事会剧本Kiddie决定通过试图破解贵公司来练习黑客攻击。他不可能相信在你没有办公室防火墙时攻击是多么容易。不幸的是,他是未来的黑帽黑客,并决定通过远程访问木马提供的电子邮件拦截付款请求。他最终向17,500英镑的款项致力于欺诈。但它可能是更糟糕的 - 在游戏结束时,公司幸存下来,仍然在商业,防御阻止了一些最严重的攻击。所有董事都同意,下次,他们会以不同的方式做事。
Bill Goodwin参加了由伦敦警方的网络安全模拟,作为Force Cyber Confifin安全计划在平方英里的企业的一部分。