Wir haben kürzlich unsere dritte Runde der jährlichen Sicherheitsschulung bei PagerDuty abgeschlossen. Wir führen zwei Sitzungen durch: Eine für alle Mitarbeiter , wo wir Dinge wie Social Engineering, Passwortverwaltung und Datenverarbeitung diskutieren; und ein weiteres für Engineering-Teams , wo wir häufige Schwachstellen besprechen und wie man sie ausnutzt und einschränkt.

Dabei handelt es sich um Schulungskurse, die wir intern entwickelt und selbst durchgeführt haben. Ich wollte erzählen, warum wir uns für einen anderen Schulungsansatz als die meisten anderen entschieden haben und wie sich dieser für uns bewährt hat – sowohl die guten als auch die schlechten Seiten.

Ich freue mich auch sehr, Ihnen mitteilen zu können, dass wir unsere Sicherheitstraining zur Nutzung durch die Community. Wenn Sie die Geschichte dahinter lieber überspringen und direkt einsteigen möchten, können Sie sie hier ansehen: https://sudo.pagerduty.com .

Das Problem mit Sicherheitstrainings

Im Laufe meiner Karriere habe ich an vielen Arten von obligatorischen Sicherheitsschulungen teilgenommen. Normalerweise muss man sich auf einer Website anmelden und sich über zwei Stunden lang mehrere nicht überspringbare Videos ansehen, die meistens konstruierte und peinliche Rollenspiele beinhalten. Anschließend muss man eine Reihe von Multiple-Choice-Fragen beantworten, wobei man eine unbegrenzte Anzahl von Versuchen hat. Ich habe noch nie jemanden getroffen, der diesen Schulungsansätzen wirklich aufmerksam zugehört hat, und schlimmer noch, ich habe noch nie jemanden getroffen, der danach das Gefühl hatte, seine Zeit gut investiert zu haben und etwas Nützliches gelernt zu haben.

Ich kann jedoch verstehen, warum diese Art von Schulungen in der gesamten Branche üblich sind: Sie erfordern nur geringe Vorabinvestitionen und ermöglichen es Unternehmen, die Teilnahme zu verfolgen (da Sie möglicherweise Compliance-Anforderungen haben, bei denen Sie die Teilnahme an der Schulung nachverfolgen und überprüfen müssen). Aber wenn niemand der Schulung Aufmerksamkeit schenkt, Antworten mit roher Gewalt erzwungen werden können und jeder sie als lästige Pflicht betrachtet, die er ignorieren kann, welchen Sinn hat es dann, sie überhaupt durchzuführen? Das Ankreuzen eines Compliance-Kontrollkästchens ist nicht sehr nützlich, wenn Ihre Mitarbeiter nicht gut im Umgang mit gängigen Sicherheitsbedrohungen geschult sind.

Diese Art von Training war schon immer ein Ärgernis für mich. Ich schwor mir, dass ich, wenn ich jemals in der Lage wäre, etwas anders zu machen, es tun würde. Bei PagerDuty hatte ich genau diese Gelegenheit – und habe sie voll ausgenutzt.

Trainingsphilosophie

Die erste Aufgabe bestand darin, zu entscheiden, wie ich das Training angehen wollte. Was waren meine Ziele? Was war in der Vergangenheit gescheitert? Wie könnte ich versuchen, das zu verbessern? Dies sollten meine Leitprinzipien bei der Entwicklung des Materials sein. Ich entschied mich schließlich für diese vier:

1. Bringen Sie ihnen nicht nur das Was, sondern auch das Warum bei.
2. Scheuen Sie sich nicht vor technischen Details.
3. Machen Sie es für jedes Fähigkeitsniveau zugänglich.
4. Es ist OK, lustig zu sein.

Lehren Sie das Warum, nicht nur das Was

Ich fand es immer ärgerlich, wenn ich eine Regel oder Anweisung bekomme, die ich befolgen soll, aber keinen Kontext dazu, Warum Ich sollte mich daran halten. Bei der Entwicklung unseres Sicherheitstrainingsprogramms wollte ich sicherstellen, dass ich Zeit darauf verwende, darüber zu sprechen, warum bestimmte Regeln existieren, anstatt sie einfach wörtlich aufzusagen und alle zu zwingen, sie zu befolgen.

Wenn ich beispielsweise jedem sagen würde, dass er einen Passwort-Manager verwenden sollte und dass alle Passwörter lang, zufällig und einzigartig sein sollten, ernte ich wahrscheinlich nur verständnislose Blicke. Die Leute nicken und ignorieren den Ratschlag dann sofort, da es viel einfacher ist, einfach das gleiche Passwort weiter zu verwenden, das sie schon immer hatten. Wir können zwar das Kästchen ankreuzen, das besagt, dass alle Mitarbeiter an der Schulung teilgenommen haben, aber es bringt uns keinen wirklichen Nutzen.

Deshalb habe ich mich bei unserem Ansatz zunächst dafür entschieden, den Leuten zu zeigen, warum ein gutes Passwortmanagement wichtig ist. Ich habe Beispiele aus der Praxis gezeigt, wie Passwörter geknackt werden, wie einfach es ist, gestohlene Passwörter zu „knacken“ und wie viel schwerer man es einem Angreifer machen kann, wenn man ein besseres Passwort hat.

Ich habe eine gestohlene Beispieldatenbank genommen und sie durchgearbeitet, um die Passwörter in Echtzeit zu knacken.

Wir begannen mit dem Knacken von Passwörtern, indem wir einfach auf der Grundlage der uns bereits zur Verfügung stehenden Informationen rieten, und arbeiteten uns schließlich zu komplizierteren Methoden vor. Am Ende waren alle Passwörter geknackt.

Ich zögerte zunächst, einen solchen Abschnitt einzubauen, da ich befürchtete, dass er Laien abschrecken würde. Aber ich hätte nicht falscher liegen können. Es war der spannendste Abschnitt der gesamten Schulung. Den Leuten zu zeigen, wie leicht Passwörter geknackt werden können, war für viele Mitarbeiter eine Offenbarung. Die Enthüllung am Ende, dass Passwörter bei einigen früheren Sicherheitsverletzungen genau so gespeichert wurden, war für viele Zuhörer der Wendepunkt. Allein dieser Abschnitt veranlasste viele unserer Mitarbeiter dazu, ihre Passwortgewohnheiten zu ändern, worauf ich später noch näher eingehen werde.

Ebenso gab es einen Abschnitt über Phishing-Versuche. Ich zeigte echte Phishing-Versuche, die gegen PagerDuty unternommen wurden. Einige davon waren leicht zu erkennen, andere weniger. Wir spielten eine kurze Runde „Reel or Phish“ (zu Wortspielen komme ich später), bei der das Publikum erraten musste, ob eine tatsächliche E-Mail echt war oder ein Phishing-Versuch. Normalerweise bin ich kein Fan von Publikumsbeteiligung bei Präsentationen, also sorgte ich dafür, dass es nicht zu einer peinlichen Stille kam, wenn niemand etwas sagte, aber die Leute versuchten es wirklich und riefen laut, ob sie Beispiele für Phishing-Versuche hielten oder nicht.

Natürlich habe ich auch die Warnsignale gezeigt, an denen man solche Phishing-Versuche erkennt, damit jeder etwas darüber lernen konnte, wie man sie erkennt. Aber mit Beispielen aus der Praxis und der Darstellung Warum Dinge sind wichtig, ist einer der zentralen Grundsätze unserer Ausbildung.

Scheuen Sie sich nicht vor technischen Details

Um den Leuten zu zeigen, wie Passwörter geknackt werden, mussten wir über Passwort-Hashing sprechen. Die bloße Erwähnung des Wortes „Hashing“ reicht wahrscheinlich aus, um bei nichttechnischen Mitarbeitern glasige Augen zu bekommen. Also nenne ich es stattdessen einfach „Magie“. Denn um ehrlich zu sein, muss man keine der technischen Terminologien kennen, um die Konzepte zu verstehen. Wir können die Dinge einfach und für jeden leicht verständlich halten, anstatt die Leute mit technischen Begriffen abzuschrecken.

Allerdings wollte ich die Leute nicht in die Irre führen. Deshalb haben wir uns entschieden, ihnen klar zu machen, dass es sich um einen Fachbegriff handelt; er ist für den Rest des Inhalts einfach nicht wichtig. Hier ist die Grenze schmal, denn man möchte die Leute nicht bevormunden. Auch hier kommt es darauf an, das „Warum“ zu erklären, und nicht nur das „Was“.

Konzepte wie Rainbow Tables können dann erklärt werden, ohne dass man auf den eigentlichen Namen verweisen muss. Wir können einfach demonstrieren, dass man eine Nachschlagefunktion erstellen und sie „magische Liste“ nennen kann. Die Verwendung einer für alle verständlichen Sprache stellt sicher, dass der Inhalt für ein möglichst großes Publikum zugänglich ist, während gleichzeitig wichtige technische Konzepte vermittelt werden.

Machen Sie es für jedes Fähigkeitsniveau zugänglich

Ich wollte, dass die Inhalte für jeden zugänglich sind, unabhängig von seinem Fachwissen in einem bestimmten Bereich. Das bedeutete, dass ich denjenigen, die sich bereits gut mit den Inhalten auskennen, genügend Informationen gebe, aber für diejenigen, die sich nicht so gut auskennen, Beschreibungen in einfachem Englisch bereitstelle.

Ich habe versucht, dies zu erreichen, indem ich die Konzepte Stück für Stück aufgebaut habe, um sicherzustellen, dass alle auf dem gleichen Stand waren. Bei der Multi-Faktor-Authentifizierung hätte ich beispielsweise einfach sagen können, dass es die drei Faktoren „Wissen“, „Besitz“ und „Inhärenz“ gibt, und es dabei belassen. Aber die meisten Leute werden diese Begriffe nicht verstehen. Also habe ich es stattdessen in einfachem Englisch ausgedrückt und einige Beispiele hinzugefügt, um es noch klarer zu machen. Genau wie zuvor bei „Hashing“ sind die Fachbegriffe für diejenigen, die damit besser vertraut sind, immer noch vorhanden.

Es ist OK, lustig zu sein

Sicherheit ist ein ernstes Thema, aber wenn man jemandem eine Stunde lang ernsthaft zuhört, wird selbst der beste Mensch müde. Ich bin ein großer Fan davon, Humor einzubringen, wann immer ich kann. Manchmal muss man in ernsten Momenten am meisten lachen. Nun, ich bin kein Meister der Komik (wie meine Familie bestätigen wird), und Ihr Training muss kein Stand-up-Programm sein. Aber fügen Sie für diejenigen, die aufpassen, ab und zu ein lustiges Bild oder eine kleine Nachricht in die Folien ein. Wenn das Publikum über ein schreckliches Wortspiel, das Sie gemacht haben, lacht, bleibt die Aufmerksamkeit der Leute erhalten und es macht allen mehr Spaß.

Ich würde jedoch empfehlen, es kontextbezogen zu halten. Fügen Sie nicht einfach ein lustiges Katzenbild ohne Kontext ein. Sorgen Sie dafür, dass es für den Inhalt relevant ist. Hier ist beispielsweise eine ernsthafte Folie aus der Schulung. Sie zeigt einen Phishing-Versuch, bei dem wir einige der Indikatoren hervorgehoben haben. Die wichtigen Informationen sind alle vorhanden: Wir zeigen, was mit der E-Mail nicht stimmt und dass es sich um einen Phishing-Versuch handelt. Aber für diejenigen, die aufpassen, gibt es hier ein nettes kleines Wortspiel.

Ebenso habe ich im Vorfeld des Trainingstermins habe ein paar lustige Poster gemacht und wir haben sie in unseren Büros aufgehängt. Sie erfüllen einen ernsten Zweck, denn sie erinnern alle daran, dass eine Sicherheitsschulung ansteht, aber sie sorgen auch für eine lockere Stimmung und sorgen für Lacher, denn sie enthalten viele kleine Witze für diejenigen, die aufmerksam zuhören.

Wie sah es letztendlich aus?

Die Präsentation dauerte 1 Stunde und 15 Minuten, am Ende gab es 15 Minuten für Fragen und Antworten.

Es wurden fünf Hauptthemen behandelt:

1. Soziale Entwicklung: In erster Linie wurde Phishing erwähnt, aber auch andere Formen des Social Engineering wurden erwähnt.
2. Passwörter: Ein Crashkurs darüber, wie Passwörter geknackt werden und warum sichere Passwörter wichtig sind. Außerdem werden Passwortmanager und ihre Hilfestellung behandelt.
3. Physische Sicherheit: So schützen Sie die Büros und Geräte von PagerDuty und melden verdächtige Aktivitäten.
4. Datenverarbeitung: Die Arten der von uns verarbeiteten Daten und wie wir diese Daten sicher verarbeiten.
5. Einhaltung: Beschreibungen verschiedener Compliance-Vorschriften und wie diese uns betreffen.

Natürlich hätten wir noch viele weitere Themen behandeln können, aber wir haben diese ausgewählt, da wir der Meinung waren, dass sie für alle Mitarbeiter am relevantesten sind. Es gibt keine 100-prozentige Sicherheit, und ebenso gibt es keine Sicherheitsschulung, die alles abdeckt. Wir entwickeln unser Schulungsmaterial ständig weiter und werden die Themen in den kommenden Jahren wahrscheinlich ändern, je nachdem, welche Bedrohungen unserer Meinung nach am wichtigsten sind.

Wie war das Feedback?

Am Ende der Schulung wurden die Teilnehmer gebeten, im Rahmen einer Umfrage optional Feedback zu geben. Es wurden zwei Fragen gestellt und es gab ein Feld für zusätzliche Kommentare. Wir hatten über 300 Antworten auf die Umfrage, die uns einige wertvolle Daten lieferte.

Die erste Frage war: „Hat dir das Training gefallen?“, mit einer Bewertung von 1 bis 5, wobei 1 die schlechteste und 5 die beste Bewertung ist. Über 98 % der Antwortenden gaben eine Bewertung von 3 oder höher ab, und die durchschnittliche Bewertung lag bei 4,54 von 5. (Es ist erwähnenswert, dass ich niemanden bestochen oder durch Social Engineering beeinflusst habe, um diese Bewertungen zu erhalten).

Die zweite Frage war: „Wie relevant oder hilfreich war es Ihrer Meinung nach für Ihren Job?“, mit derselben Bewertungsskala wie bei der vorherigen Frage. Über 99 % der Antwortenden gaben eine Bewertung von 3 oder höher ab, und die durchschnittliche Bewertung lag bei 4,56 von 5.

Was ging gut?

Beide Ergebnisse sind äußerst ermutigend und zeigen, wie wertvoll und angenehm die Schulung für die überwiegende Mehrheit unserer Mitarbeiter war.

Dank der Schulung sind noch ein paar weitere interessante Dinge passiert, die nicht unbedingt im Feedback enthalten waren, auf die ich aber hinweisen wollte:

• Mehr als 30 Mitarbeiter haben uns erzählt, wie viel Zeit sie nun damit verbracht haben, auf einen Passwort-Manager umzusteigen. Nicht nur für ihre Mitarbeiterkonten, sondern auch für ihre persönlichen Konten!
• Mehr als 20 Mitarbeiter forderten eine Open-Source- oder bereinigte Version der Folien an, damit sie diese mit ihrer Familie teilen können (mehr dazu in Kürze).
• Das Sicherheitsbewusstsein scheint im gesamten Unternehmen gestiegen zu sein.

Der größte Gewinn aus meiner Sicht war die Tatsache, dass mehrere Mitarbeiter auf einen Passwort-Manager umgestiegen sind. Das ist riesig, denn wir haben den Leuten nie gesagt, dass sie hatte einen Passwort-Manager zu verwenden! Wir haben lediglich gezeigt, wie Passwörter geknackt werden und warum wir glauben, dass Passwort-Manager dabei helfen, die Dinge sicherer zu machen. Die Mitarbeiter haben sich selbst für den Wechsel entschieden und dies auch mit ihren persönlichen Konten getan.

Dem Sicherheitsteam werden immer mehr Fragen gestellt. Wir werden mittlerweile zu allen möglichen Themen befragt, von der Frage, wie man sicherstellt, dass ein Telefonanruf legitim ist, bis hin zur Frage, wie man ein Facebook-Konto richtig absichert. Es geht nicht nur um die Sicherheit von PagerDuty , sondern auch darum, wie man persönliche Konten schützt. Ich weiß, dass dies bei früheren Jobs wahrscheinlich als „außerhalb des Rahmens“ betrachtet worden wäre und keine Antworten gegeben hätte, aber wir beantworten diese Fragen gerne in unserem Team. Es führt immer zu einer guten Diskussion über Online-Schutz, baut Vertrauen zu anderen im Unternehmen auf und fördert eine großartige Community.

Ich bin der festen Überzeugung, dass Sicherheitsteams nicht diejenigen sein sollten, die zu allem einfach „Nein“ sagen. Das Motto unseres Teams bei PagerDuty lautet: „ Machen Sie es einfach, das Richtige zu tun ”. Wir sind nicht hier, um jedem im Weg zu stehen. Wir sind hier, um den „richtigen“ Weg (d.h. den sicherer Weg ) der einfachste Weg, sodass die Leute diesen Weg automatisch nutzen.

Was lief nicht so gut?

Es gab allerdings nicht nur gute Nachrichten. Wie Sie den Diagrammen oben entnehmen können, haben einige das Training sehr schlecht bewertet. Es wäre nachlässig, wenn wir uns nur selbst auf die Schulter klopfen und diese Daten nicht genauer untersuchen würden. Wenn wir uns die negativen Kommentare im Feedback genauer ansehen, können wir sie in zwei Kategorien einteilen:

1. Bei der Schulung handelte es sich um eine Wiederholung der Schulung der letzten beiden Jahre, was bedeutete, dass einige unserer Mitarbeiter dieselben Materialien bereits zum dritten Mal sahen.
2. Die Ausbildung war zu lang.

Gegen beide Punkte kann man nur schwer argumentieren. Dank des Feedbacks möchten wir unseren Kurs für das nächste Jahr ändern und denjenigen, die diese Schulung bereits besucht haben, einen viel kürzeren „Auffrischungskurs“ mit neuem Material anbieten. Wir hoffen, dass damit die wichtigsten Problembereiche der diesjährigen Schulung angesprochen werden.

Ein weiterer Bereich, der nicht so gut lief, war die Vorbereitung. Oh je, habe ich unterschätzt, wie lange es dauern würde, das Training zu erstellen? Das Erstellen des Trainings dauerte nicht ein paar Tage. Es waren mehrere Wochen Arbeit nötig, um das Material zusammenzustellen und den Inhalt so zu gestalten, dass er fesselnd ist. Die Erstellung der Folien war sehr aufwändig – viel mehr, als ich ursprünglich vorhatte. Dies war eine erhebliche Investition an Zeit und Geld.

Anschließend haben wir alle Mitarbeiter für anderthalb Stunden von ihren Arbeitsplätzen abgezogen, um die Schulung durchzuführen. Auch dies ist eine erhebliche Investition, insbesondere angesichts der heutigen Größe von PagerDuty .

Hat es sich gelohnt? Ich denke schon. Mein Team denkt das. Und viele Mitarbeiter denken das auch. Aber ist es das Richtige für Ihr Unternehmen? Vielleicht nicht. Ich kann durchaus verstehen, dass Sie nicht so eine Anfangsinvestition tätigen möchten. Wir haben jetzt Glück, denn die Inhalte sind bereits erstellt. Sobald diese Anfangsinvestition abgeschlossen ist, ist der Wartungsaufwand relativ gering. Und das bringt mich zu einer guten Nachricht …

Ich bin überzeugt! Kann ich mir das Training ansehen?

Ich freue mich sehr, Ihnen mitteilen zu können, dass wir ab heute unsere Sicherheitstraining für jedermann nutzbar!

Nicht das gesamte Material ist öffentlich verfügbar, da einige Inhalte immer noch auf PagerDuty Mitarbeiter beschränkt sind. Der Großteil der Schulung ist jedoch allgemeiner Natur und nicht spezifisch für PagerDuty selbst. Jeder redigierte Inhalt ist deutlich gekennzeichnet und enthält eine Textbeschreibung des Inhalts.

Derzeit enthält die Site nur unsere Schulungen für alle Mitarbeiter. Bleiben Sie dran für die ingenieurspezifischen Schulungen, die ich in den kommenden Wochen zur Site hinzufügen möchte.

Wenn das nach etwas klingt, woran Sie gerne arbeiten würden, oder wenn Sie nur die internen Folien sehen möchten, Wir stellen ständig ein .