На сённяшні дзень сеткавы адміністратар або інжынер ИБ марнуе процьму часу і сіл, каб абараніць перыметр сеткі прадпрыемства ад розных пагроз, асвойвае ўсё новыя сістэмы прадухілення і маніторынгу падзей, але нават гэта не гарантуе яму поўнай абароненасці. Сацыяльная інжынерыя актыўна выкарыстоўваецца зламыснікамі і можа несці за сабой сур'ёзныя наступствы.
Як часта вы лавілі сябе на думцы: "Добра было б задаволіць праверку для персаналу на прадмет пісьменнасці ў ИБ"? Нажаль, думкі ўпіраюцца ў сцяну неразумення ў выглядзе вялікай колькасці задач або абмежаванасці часу працоўнага дня. Мы плануем расказаць вам пра сучасныя прадукты і тэхналогіі ў галіне аўтаматызацыі навучання персаналу, якія не будуць патрабаваць працяглай падрыхтоўкі для правядзення пілотаў або ўкаранення, але пра ўсё па парадку.
Тэарэтычны падмурак
На сённяшні дзень больш за 80% шкоднасных файлаў распаўсюджваецца з дапамогай пошты (дадзеныя ўзяты са справаздач адмыслоўцаў Check Point за апошні год з дапамогай сэрвісу Intelligence Reports).
Справаздача за апошнія 30 дзён аб вектары нападаў па распаўсюджванні шкоднасных файлаў (Расія) — Сheck Point
Гэта сведчыць аб тым, што змесціва ў паштовых паведамленнях дастаткова ўразлівае для выкарыстання зламыснікамі. Калі разглядаць найболей папулярныя шкоднасныя фарматы файлаў ва ўкладаннях (EXE, RTF, DOC), то варта заўважыць, што ў іх, як правіла, ёсць аўтаматычныя элементы выканання кода (скрыпты, макрасы).
Гадавая справаздача аб фарматах файлаў у атрыманых шкоднасных паведамленнях - Сheck Point
Як змагацца з дадзеным вектарам нападаў? Праверка пошты заключаецца ў выкарыстанні інструментаў бяспекі:
-
Антывірус - Сігнатурнае дэтэктаванне пагроз.
-
Эмуляцыя - пясочніца, з дапамогай якой ўкладанні адкрываюцца ў ізаляваным асяроддзі.
-
Content Awareness - Выманне актыўных элементаў з дакументаў. Карыстальнік атрымлівае вычышчаны дакумент (як правіла, у фармаце PDF).
-
Антыспам - Праверка дамена атрымальніка / адпраўніка на прадмет рэпутацыі.
І, па ідэі, гэтага дастаткова, але існуе яшчэ адзін не менш каштоўны рэсурс для кампаніі – карпаратыўныя і асабістыя дадзеныя супрацоўнікаў. У апошнія гады актыўна расце папулярнасць наступнага выгляду інтэрнэт-махлярства:
Фішынг (англ. phishing, ад fishing - рыбная лоўля, вывуживание) - выгляд інтэрнэт-махлярства. Яго мэта атрымаць ідэнтыфікацыйныя даныя карыстальнікаў. Сюды адносяцца крадзеж пароляў, нумароў крэдытных карт, банкаўскіх рахункаў і іншай канфідэнцыйнай інфармацыі.
Зламыснікі ўдасканальваюць спосабы фішынг-атак, перанакіроўваюць DNS-запыты ад папулярных сайтаў, разгортваюць цэлыя кампаніі з выкарыстаннем сацыяльнай інжынерыі для рассылання лістоў.
Такім чынам, для абароны вашай карпаратыўнай пошты ад фішынгу рэкамендавана прымяняць два падыходы, прычым іх сумеснае выкарыстанне прыводзіць да найлепшых вынікаў:
-
Тэхнічныя прылады абароны. Як і гаварылася раней, прымяняюцца розныя тэхналогіі па праверцы і перасылцы толькі легітымнай пошты.
-
Тэарэтычная падрыхтоўка персаналу. Заключаецца ў комплексным тэсціраванні персаналу для выяўлення патэнцыйных ахвяр. Далей праводзіцца іх перанавучанне, стала фіксуецца статыстыка.
Не давярай і правярай
Сёння гаворка пойдзе аб другім падыходзе па прадухіленні фішынгавых нападаў, а менавіта аб аўтаматызаваным навучанні персаналу з мэтай павышэння агульнага ўзроўню абароненасці карпаратыўных і асабістых дадзеных. Чаму ж гэта можа быць так небяспечна?
Сацыяльная інжынерыя - псіхалагічнае маніпуляванне людзьмі з мэтай здзяйснення пэўных дзеянняў або разгалашэння канфідэнцыйнай інфармацыі (у дачыненні да ИБ).
Схема тыпавога сцэнара разгортвання фішынгавай атакі
Давайце звернемся да займальнай блок-схемы, коратка адлюстроўвае шлях па прасоўванні фішынгавай кампаніі. У ёй ёсць розныя этапы:
-
Збор першасных дадзеных.
У 21 стагоддзі цяжка знайсці чалавека, які не зарэгістраваны ні ў адной сацыяльнай сетцы або на розных тэматычных форумах. Натуральна, шмат хто з нас пакідае разгорнутую інфармацыю пра сябе: месца бягучай працы, група для калег, тэлефон, пошта і г.д. Дадайце да гэтага персаналізаваную інфармацыю аб інтарэсах чалавека і вы атрымаеце дадзеныя для фарміравання фішынгавага шаблону. Нават калі людзей з такой інфармацыяй знайсці не ўдалося, заўсёды ёсць сайт кампаніі, адкуль можна падабраць усю цікавую для нас інфармацыю (даменную пошту, кантакты, сувязі).
-
Запуск кампаніі.
Пасля таго як будзе падрыхтаваны "плацдарм", з дапамогай бясплатных ці платных інструментаў вы можаце запусціць сваю ўласную таргетаваную фішынг-кампанію. Падчас працы рассылання ў вас будзе збірацца статыстыка: дастаўленая пошта, адчыненая пошта, пераход па спасылках, увод уліковых дадзеных і т.д.
Прадукты на рынку
Фішынг могуць выкарыстоўваць як зламыснікі, так і супрацоўнікі ИБ кампаніі, з мэтай правядзення сталага аўдыту паводзін супрацоўнікаў. Што ж нам прапануе рынак бясплатных і камерцыйных рашэнняў па аўтаматызаванай сістэме навучання супрацоўнікаў кампаніі:
-
- апенсорсны праект, які дазваляе разгарнуць фішынгавую кампанію з мэтай праверкі IT-пісьменнасці вашых супрацоўнікаў. Да пераваг я б аднёс прастату разгортвання і мінімальныя сістэмныя патрабаванні. Да недахопаў - адсутнасць гатовых шаблонаў рассылання, адсутнасць тэстаў і навучальных матэрыялаў для персаналу.
-
— пляцоўка з вялікай колькасцю даступных прадуктаў для тэсціравання персаналу.
-
- аўтаматызаваная сістэма тэсціравання і навучання супрацоўнікаў. Мае розныя версіі прадуктаў, якія падтрымліваюць ад 10 да больш за 1000 супрацоўнікаў. Курсы навучання ўключаюць у сябе тэорыю і практычныя заданні, ёсць магчымасць выяўлення запатрабаванняў на аснове атрыманай статыстыкі пасля фішынгавай кампаніі. Рашэнне камерцыйнае з магчымасцю трыяльнага выкарыстання.
-
- аўтаматызаваная сістэма навучання і кантролю абароненасці. Камерцыйны прадукт прапануе правядзенне перыядычных навучальных нападаў, навучанне супрацоўнікаў і г.д. У якасці дэма-версіі прадукта прапануецца кампанія, якая ўключае ў сябе разгортванне шаблонаў і правядзенне трох навучальных нападаў.
Вышэйпералічаныя рашэнні толькі частка даступных прадуктаў на рынку аўтаматызаванага навучання персаналу. Вядома ж, у кожнага ёсць свае перавагі і недахопы. Сёння мы пазнаёмімся з , які імітуе фішынгавую атаку, вывучым даступныя опцыі.
GoPhish
Такім чынам, надышоў час для практыкі. GoPhish быў абраны невыпадкова: ён уяўляе сабой user-friendly інструмент, які мае наступныя асаблівасці:
-
Спрошчаная ўстаноўка і запуск.
-
Падтрымка REST API. Дазваляе фармаваць запыты з і прымяняць аўтаматызаваныя сцэнары.
-
Зручны графічны інтэрфейс кіравання.
-
Кросплатформеннасць.
Каманда распрацоўшчыкаў падрыхтавала выдатны па разгортванні і наладзе GoPhish. Насамрэч вам спатрэбіцца толькі перайсці ў , спампаваць ZIP-архіў для адпаведнай АС, запусціць унутраны бінарны файл, пасля чаго прылада будзе ўсталяваны.
ВАЖНАЯ НАТАТКА!
У выніку вы павінны атрымаць у тэрмінале інфармацыю аб разгорнутым партале, а таксама дадзеныя для аўтарызацыі (актуальна для версіі старэй версіі 0.10.1). Не забудзьцеся зафіксаваць для сябе пароль!
msg="Please login with the username admin and the password <ПАРОЛЬ>"Разбіраемся з наладай GoPhish
Пасля ўсталёўкі ў дырэкторыі прыкладання будзе створаны канфігурацыйны файл (config.json). Апішам параметры для яго змены:
ключ
Значэнне (па змаўчанні)
Апісанне
admin_server.listen_url
127.0.0.1:3333
IP-адрас сервера GoPhish
admin_server.use_tls
ілжывы
Ці выкарыстоўваецца TLS для падлучэння да сервера GoPhish
admin_server.cert_path
example.crt
Шлях да SSL-сертыфіката для партала адміністравання GoPhish
admin_server.key_path
example.key
Шлях да прыватнага SSL-ключу
phish_server.listen_url
0.0.0.0:80
IP-адрас і порт размяшчэння фішынгавай старонкі ( па змаўчанні размяшчаецца на самім серверы GoPhish па 80 порце)
-> Перайдзіце ў партал кіравання. У нашым выпадку: https://127.0.0.1:3333
-> Вам прапануюць змяніць дастаткова доўгі пароль на больш просты ці наадварот.
Стварэнне профілю адпраўшчыка
Перайдзіце ва ўкладку “Sending Profiles” і пазначце дадзеныя аб карыстальніку, ад якога будзе паходзіць наша рассыланне:
Дзе:
Імя
Імя адпраўніка
ад
Пошта адпраўніка
Гаспадар
IP-адрас паштовага сервера, з якога будзе праслухоўвацца ўваходная пошта.
Імя карыстальніка
Лагін ўліковага запісу карыстальніка паштовага сервера.
пароль
Пароль уліковага запісу карыстальніка паштовага сервера.
Таксама вы можаце адправіць тэставае паведамленне, каб пераканацца ў поспеху дастаўкі. Захавайце наладкі з дапамогай кнопкі "Save profile".
Стварэнне групы адрасатаў
Далей варта сфарміраваць групу адрасатаў "лістоў шчасця". Перайдзіце ў "User & Groups" → "New Group". Існуе два спосабу дадання: уручную або імпарт CSV файла.
Для другога спосабу патрабуецца наяўнасць абавязковых палёў:
-
Імя
-
Прозвішча
-
E-mail
-
становішча
Як прыклад:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Стварэнне шаблона фішынгавага ліста
Пасля таго як мы паказалі ўяўнага зламысніка і патэнцыйных ахвяр, неабходна стварыць шаблон з паведамленнем. Для гэтага перайдзіце ў раздзел "Email Templates" → "New Templates".
Пры фарміраванні шаблона выкарыстоўваецца тэхнічны і творчы падыход, трэба пазначыць паведамленне ад сэрвісу, які будзе знаёмы карыстальнікам-ахвярам або выкліча ў іх пэўную рэакцыю. Магчымыя опцыі:
Імя
Назва шаблону
Прадмет
тэма ліста
Text / HTML
Поле для ўводу тэксту ці HTML-кода
Gophish падтрымлівае імпарт ліста, мы ж створым уласнае. Для гэтага які імітуецца сцэнар: карыстач кампаніі атрымлівае ліст з прапановай аб змене пароля ад яго карпаратыўнай пошты. Далей прааналізуем яго рэакцыю і паглядзім на наш "улоў".
У шаблоне будзем выкарыстоўваць убудаваныя зменныя. Больш падрабязна з імі можна азнаёміцца ў вышэйзгаданым у раздзеле .
Для пачатку загрузім наступны тэкст:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamАдпаведна, у аўтаматычным рэжыме будзе падстаўляцца імя карыстальніка (згодна з раней зададзеным пунктам “New Group”) і ўказвацца яго паштовы адрас.
Далей нам трэба пазначыць спасылку на наш фішынгавы рэсурс. Для гэтага вылучым у тэксце слова "here" і абярэм опцыю "Link" на панэлі кіравання.
У якасці URL пакажам убудаваную зменную {{.URL}}, якую мы запоўнім пазней. Яна аўтаматычна будзе ўбудавана ў тэкст фішынгавага ліста.
Перад захаваннем шаблону не забудзьцеся ўлучыць опцыю "Add Tracking Image". Гэта дадасць медыя-элемент памерам 1×1 піксель, ён будзе адсочваць факт адкрыцця ліста карыстальнікам.
Такім чынам, засталося няшмат, але перш за рэзюмуем абавязковыя крокі пасля аўтарызацыі на партале Gophish:
-
Стварыць профіль адпраўніка;
-
Стварыць групу рассылкі, дзе пазначыць карыстальнікаў;
-
Стварыць шаблон фішынгавага ліста.
Пагадзіцеся, настройка не заняла шмат часу і мы ўжо амаль гатовы да запуску нашай кампаніі. Застаецца дадаць фішынгавую старонку.
Cтварэнне фішынгавай старонкі
Перайдзіце ва ўкладку "Landing Pages".
Нам прапануюць пазначыць імя аб'екта. Ёсць магчымасць імпарту сайта крыніцы. У нашым прыкладзе я паспрабаваў пазначыць працоўны web-партал паштовага сервера. Адпаведна, ён імпартаваўся ў выглядзе HTML-кода (хай і не поўнасцю). Далей ідуць цікавыя опцыі па захопе ўведзеных дадзеных карыстальніка:
-
Capture Submitted Data. Калі дадзеная старонка сайта змяшчае розныя формы для ўводу, то ўсе дадзеныя будуць запісвацца.
-
Capture Passwords - захоп уведзеных пароляў. Дадзеныя запісваюцца ў БД GoPhish без шыфравання, як ёсць.
Дадаткова можам выкарыстоўваць опцыю "Redirect to", якая перанакіруе карыстальніка на зададзеную старонку пасля ўводу уліковых дадзеных. Нагадаю, што мы задалі сцэнар, калі карыстачу прапануецца змяніць пароль ад карпаратыўнай пошты. Для гэтага яму прапануецца фэйкавая старонка партала аўтарызацыі пошты, пасля чаго карыстальніка можна адправіць на любы даступны рэсурс кампаніі.
Не забываем захаваць запоўненую старонку і пераходзім у раздзел "New Campaign".
Запуск лоўлі GoPhish
Мы пазначылі ўсе неабходныя дадзеныя. Ва ўкладцы "New Campaign" створым новую кампанію.
Запуск кампаніі
Дзе:
Імя
Імя кампаніі
Шаблон электроннай пошты
Шаблон паведамлення
Мэтавая старонка
Фішынгавая старонка
URL
IP вашага сервера GoPhish (павінен мець сеткавую даступнасць з хастом ахвяры)
Дата запуску
Дата старту кампаніі
Send Emails By
Дата фінішу кампаніі (рассыланне размяркоўваецца раўнамерна)
Адпраўка профілю
Профіль адпраўніка
груп
Група атрымальнікаў рассылкі
Пасля старту мы заўсёды можам азнаёміцца са статыстыкай, у якой паказана: адпраўленыя паведамленні, адчыненыя паведамленні, пераходы па спасылках, пакінутыя дадзеныя перанос у спам.
З статыстыкі бачым, што 1 паведамленне было адпраўлена, праверым пошту з боку атрымальніка:
Сапраўды, ахвяра паспяхова атрымала фішынгавы ліст з просьбай перайсці па спасылцы для змены пароля ад карпаратыўнага акаўнта. Выконваем запытаныя дзеянні, нас адпраўляе на старонку Landing Pages, што са статыстыкай?
У выніку наш карыстач перайшоў па фішынгавай спасылцы, дзе патэнцыйна мог пакінуць дадзеныя ад свайго ўліковага запісу.
Заўвага аўтара: працэс уводу дадзеных не фіксаваўся з прычыны выкарыстання тэставага макета, але такая опцыя ёсць. Пры гэтым змесціва не шыфруецца і захоўваецца ў БД GoPhish, улічыце гэта.
замест заключэння
Сёння мы з вамі закранулі актуальную тэму аб правядзенні аўтаматызаванага навучання супрацоўнікаў з мэтай абараніць іх ад фішынгавых нападаў і выхаваць у іх IT-пісьменнасць. У якасці даступнага рашэння быў разгорнуты Gophish, які паказаў сябе з добрага боку пры суадносінах часу разгортвання і выніку. З дапамогай гэтай даступнай прылады вы зможаце праверыць сваіх супрацоўнікаў і скласці справаздачы па іх паводзінах. Калі вас зацікавіў гэты прадукт, мы прапануем дапамогу ў яго разгортванні і правядзенні аўдыту вашых супрацоўнікаў ([электронная пошта абаронена]).
Аднак, мы не збіраемся спыняцца на аглядзе аднаго рашэння і плануем працягваць цыкл, дзе раскажам пра Enterprise-рашэнні для аўтаматызацыі працэсу навучання і кантролю абароненасці супрацоўнікаў. Заставайцеся з намі і будзьце пільныя!
Крыніца: habr.com