Get best of the week

我们在审核时将胶棒插入车轮,或者如何使IS审核对审核员尽可能不舒服

哈Ha!在我身旁的安全审计项目上工作了9年之后,我简直无法忍受,想写一本书“ 1000和1次尝试欺骗审计员”。也许我将从第一章开始-在收到审核员的最少评论后,我将分享有关如何“成功”通过审核的坏建议。

公司为什么要进行信息安全审核?可能有几个原因:

  • (为您自己)客观评估信息安全状态;
  • 因为审计是强制性的(对于监管机构);
  • 因为审计是合作伙伴或上级组织(针对其他组织)的要求。

这些类型的审计都追求主要的积极目标-通过定位当前问题来使公司变得更好。我们的大多数客户都对有效开展此类工作感兴趣。但是,有时在某些情况下,成功进行有序审核的标准是审核报告中没有发现已确定的问题(如果有)。原因不同,但最常见的原因如下。

  • 审核由上级组织“实施”。
  • 未审核(例如PCI DSS)会受到监管机构的制裁
  • IB服务部门害怕得到领导层的“顶薪”。

在所有这些情况下,定期审核都变成了战场,公司试图保持最大界限而又不表现出“多余”,审核员的工作更像是一个侦探故事。

PS切入清单并不是虚构的,所有这一切都已发生,有时在实际项目中会发生。


准备进行审核


我们培训员工-我们教您说什么和不显示什么


成功进行人员破坏培训的关键(尤其是在未来的敌对行动中)是彻底的初步培训。通常,它的目标是:

  • 提高对审计师当前武器,技术,技巧和痛点的认识;
  • 开发和提高团队在混淆,隐藏痕迹以及磨练“开关人”技术方面的技能。

显然,审计师发现的信息越少,发现的差异就越少,并且在差异少的地方,问题(和工作)就很少。这意味着,经审核的公司的最大目标是通过培训专家以显示和不需要的内容来隐藏可能存在的问题区域(信息系统,IT基础架构的各个元素等)。

通常,我们不得不通过间接迹象来猜测这种培训的进行方式,但同时也存在令人讨厌的“穿刺”现象。例如,在PCI DSS合规性审核期间,其中一家银行在草稿上打印了一个网络图,而在背面则是... IS服务的一封信,其中包含有关系统的详细备忘录,当然可以显示,但是这次没有显示。邮件客户端中的“转发”按钮还一再让经验丰富的战斗人员失望,当与审核证书(屏幕快照/上传)一起时,内部协议就飞了过来。

这招有用吗?坏:我们使用各种全面检查-和谐的安排开始“崩溃”。

忽略对信息的初步要求


任何审核都始于对信息的初步要求:审核员会尝试事先了解公司的运作方式以及其流程的结构,以便最佳地计划会议及其会期。因此,此阶段的重要任务是破坏审核员关于轻松审核的梦想。与公司完美约会的场景应该是意料之外的。我们使用以下经过时间检验的参数:
  • “序幕不适合我们,以后可以再读几张纸。”
  • “我们仍然一无所有,真理是真理(不是真理)。”
  • “我们在门户网站上拥有一切,现在我们将在两个星期内迅速建立一个帐户,快来阅读。”

有很多例子,一个结果:许多工作必须当场处理,在审计过程中已经发现了新事物。这样的策略成功了吗?不,您只需要花更多的时间“加班”即可。

只有一次通过,只有铁杆!


美好的早晨始于咖啡通行证。另一个大招就是提前使敌人士气低落。我们提早起床,在接待处或通行证处排队,画一支笔。如果您仍然不知道护照的编号和号码,那么现在您一定会记得的。

有时有完全被禁止的把戏。例如,一个客户进入该网站的条件是制定有关该网站的规定。谁需要访问权限?我们!因此,我们写了我们将如何获得它以及与谁进行协调。

这样的“困难”会导致什么吗?显然不是:我们喜欢早起(如果我们仍然上床睡觉)。

使项目管理更加复杂


您需要-您可以组织。经验丰富的硬版




另一个重要的军事技巧:将负责组织所有会议的责任转移到项目经理的有经验的肩膀上。
“这里是门户,这里是电话-自己安排会议。可以将报告发送到此地址,只有先通过邮件与所有人同意。”
通常,结果很快就会出现:由于缺少策展人,专家们将永远没有时间开会。

延迟期限的好方法,但对我们的经理和内置的升级系统(-)效果不佳。

我们尝试过,但没有成功。初学者的轻量级版本


焦油更多-蜂蜜更少。我们使日程安排变得不舒适且不可预测。现场审核员的理想日子应该是这样的:在9.00进行一个小时的对话,然后在13.00进行30分钟,然后在18.00进行一次对话。有关计划在第二天召开的会议的信息严格在23.55发送。混乱越多,审计师就越有可能在经过内部培训的情况下忘掉草稿信的机会

审核员必须具有灵活性,因此另一个生活技巧是在会议当天立即交换采访。采访计划本身始终遵循一定的逻辑,例如,首先研究系统的功能,然后检查其组件(DBMS等)。但这是Sparta,逻辑是w弱的人,因为:
“我们想在周五与DBA交流,但是我们的专家有15分钟的空闲时间,他现在就来。”
敌人会被击败吗?不,这是我们经常看到并能够解决的问题。

摄影审核-最诚实的审核


我们增加成功的机会。我们将“现场”审核转变为“纪录片”审核。记得:
“分散人们的工作是错误的,我们拥有高素质的人员来填写所有内容并附加屏幕截图。发送问卷。”
不可能针对所有情况编写通用调查表;根据答案,审核员总是以不同的方式进行对话。详细调查表的问题归结为它们缺乏灵活性:它们所包含的问题越多,对详细问题进行回答的愿望就越少。因此,通常,此类审核随后如下所示:

  • 准备一堆带有备忘录的问卷以将其填写。
  • 获取大量的非结构化材料(每个人都可以以不同的方式理解问题)。
  • 与专家通电话以澄清信息。
  • 用所有材料构建和谐的画面。
  • 关心新的完善圈。

公司是否已实现降低质量的目标,并且有可能使敌人士气低落?否:我们喜欢打电话,甚至更喜欢检查他们发送给我们的内容。

进行面试


剧院从衣架开始-我们选择最佳的交谈场所


如果您仍然无法反击,并且无法避免与审核员会面,那么这里是进行面试的最佳场所的最佳。审核员一定会喜欢的-不用谢。

  • 在真菌附近的操场上。
  • 在洗手间里,转换成另一个交换间。
  • 在车上(晚上)。
  • 在餐厅里。

实际上,我们进行采访的地方还很多。但是,然后您必须忍受它。总的来说,这更有趣,因此,它比负号更具优势。

你不是一个小时的间谍吗?


在审核过程中,公司的每位员工都应保持警惕:如果这是社会工程,那么间谍会代替我们成为审计员,而不是审核员?计算间谍很简单-按以下顺序意外显示它:

  • 审计师所在公司的保密协议;
  • 您的私人NDA审核员;
  • 工作准证;
  • 工作簿的副本;
  • 公司负责人撰写的一封信;
  • 护照。

只有这样,才能给出“军事秘密”。我没有工作的副本-好吧,我将不得不再次安排会议。

接待很少见,它对于一次会议来说完美无瑕,然后将所有文档迅速收集到适当数量的副本中。

我们批量购买,或更有趣的是(否)


如何使商务会议尽可能无用?诀窍很简单:我们在有效的会议上打开互联网上的任何文章,然后将有用的内容变成无用的内容:

  • 务必事先确定会议议程。切勿将会议目的告知同事。假设这是PRO SECURITY,并且需要的人会与您联系(您是否感到鸡皮??)。
  • , 7 . -. , ().
  • , . , .
  • , . — . HR, DBA, : , .

组织此类会议的做法并不罕见(尽管此类时刻总是由客户说出),并且我们以不同的方式摆脱困境,以吸引所有专家参与对话,而不会让他们感到无聊。

作品?不好,但是很好的尝试。

我们演奏Danetka,否则我会从一个音符中猜出这个旋律




我们激活了秘密武器-我们记得达涅特卡的游戏规则。

员工的任务:最大程度地减少审核员的心理折磨,迫使他们正确提出问题,以便只能以“是”或“否”回答他们。

审计员的任务:猜测一个男人为什么进入酒吧并索要一杯水,调酒师突然拿出枪并将其对准那个男人。该名男子说“谢谢”,并留下了他的问题答案:
-您使用哪种自动化的应用程序管理方式?
-是的!
-公司使用了哪些虚拟化技术?
-全部!

进行此类审核非常困难;必须以谷物形式获取信息。我爱这游戏。

添加审查


您是否认为审查制度是对信息,印刷材料,音乐和舞台作品以及其他事物的内容和传播的监督系统?没有。审查制度是一名信息安全官员,及时在审计师的背后露面。在诸如审计这样的重要事件中,没有任何地方可以让审计员进行想象和猜测。因此:
“这对我们来说没有错,您误解了,您的问题是错的。”
审查员的任务是帮助员工避免考试不及格。帮助可能包括以下内容:

  • 我们根据自己的喜好过滤掉“错误”的问题。我们根据审计范围或未解决或没有实质性的问题提出上诉。
  • 我们对被审核方负责(突然之间,他忘记了他们之前有时间与他协商)。
  • 我们查看审核员的笔记并提出意见。

超现实主义?他是。但是,这种经验也在我们的实践中。坦率地说:尽管这个主意很火,但结果却对客户造成了很大的影响!

我们以周期离开并平移箭头


混淆敌人很重要,这样他就不能做出危险的审核报告并伤害您。另一枚核武器,例如达内特卡。写下一个通用公式。
工人N:“我不知道,我是工人N,另一个工人N + 1知道这一点。”

员工N + 1:``我是N + 1的员工,您被欺骗了,这是员工N的责任范围''。

IS员工:“很遗憾,我们为N和N + 1位员工提供的可用空间已用完,您需要使用所提供的信息。”
在这种模式下很难工作,这意味着已经实现了目标?不,有可能而且有必要打架:我们会预先召集专家,保持会议记录等。

握住鼠标,我走了,或者如果您想更好地了解系统-自己动手!


任何审核员都是具有大写字母的专家。因此,他必须绝对地了解您在管理员级别使用的所有技术,能够在5分钟内重建Linux内核,并完全了解您的SAP。因此,让他紧张的最好方法是让他“转向”。让他了解您多年来构建的系统架构。您可以坐在旁边闭嘴。

顺便说一下,它不能很好地工作,因为我们经常知道如何“转向”,但是在审核过程中,也会评估员工的能力。结果,我们可以得出结论,专家不了解他们的系统。

快速纠正-这意味着没有


你知道五秒法则吗?太好了,也可以在审核中使用它。分散审核员的注意力,并大胆地更改安全设置。或根本不分散注意力,并随身携带:他们迅速纠正了问题-那就没有了。您无法解释-不起作用。

我们使获得证书的程序复杂化


我们有绝密信息


一种流行的技术,无故障,如卡拉什尼科夫突击步枪。所有开发的文档均为知识产权。所有网络设备配置都是商业秘密。要研究必要的信息,请使审核员在专门的工作场所工作,关闭Internet并禁用闪存驱动器。让它要么在纸上重写您需要的所有内容,要么进行个性化处理并将文件保留在桌面上,并且您已经将所需的文件保留在文件中了。至于文件,请让审核员以印刷形式阅读。

另外,还召回了几起案件。

  • 不知何故,我们未经许可从站点上移走资料,就在一对Snegurochka包装上打印出了网络设备的配置。
  • 还有一次,我们需要证明每个请求的屏幕截图都是合理的。
  • 在另一个项目中,所有证书只能以纸质形式传输。

有人合理地反对:也许这些公司有严格的商业秘密制度?没有。他一点也不。

它会以某种方式帮助降低工作质量吗?值得商。的。我们没有这样的经验:例如,通过具有封闭缓冲区,端口和Internet的客户VDI创建报告,并在光盘上获得标有CT courier的证书。大卫·布莱恩(David Blaine),您觉得怎么样?

使用图形编辑器的魔力




正如伟大的孙子在《孙子兵法》中所说:
战争是一种欺骗手段。因此,如果您能做任何事情,请向敌人展示您无法做的事情;如果您使用任何东西,请告诉他您不使用它。”
在战争中,所有方法都是好的,因此使用图形编辑器会增加获胜的机会。您手中的所有“不便”证据仍然存在,请在发送之前进行一些补充。当远程请求信息或审计员的内存不足时,此向量的机会很小。更少:当审核员决定检查站点上以前提供的屏幕截图时,结果很尴尬。但是谁阻止了它?

在我们的实践中,有时会收到客户随机发送的包含以下内容的信件链:
-更正了一些屏幕截图,这似乎是真的吗?
-突然发车。
顺便说一句,没有。

我们加强对报告的批准


逗号很重要


对抗的最后阶段:进行采访,发送证据,收到报告草稿。现在该解决最重要的问题了:逗号和句点。文件的规范控制是最后阶段(这已经达成共识),这没关系,报告中的所有内容都应该没问题。注释越多,对审核执行不佳的印象就越大。尽可能延迟实质性评论和批准报告各节的时间。

在协调链中包含大量专家也很有效。我们的座右铭:“六个月的审核,我们将同意一个半月!”。拉更长的时间,白炽度将下降,并且部分工作将变得无关紧要(将出现新的工作,旧的工作将停止使用)。

效果不佳,请阅读上文有关经理的信息。

***

当然,我们的大多数审计项目都是照常进行的,这是如何将此类工作转变为长期事件的最突出示例。每个人都会自己得出结论:通过并“成功”通过检查,或者使您与集成商的下一次联合审核更好一些。

经常微笑:-)

More articles:


All Articles