2. Обучение пользователей основам ИБ. Phishman

2. Обучение пользователей основам ИБ. Phishman

Мы продолжаем знакомить вас с миром, который борется против фишинга, изучает основы социальной инженерии и не забывает обучать свой персонал. Сегодня у нас в гостях продукт Phishman. Это один из партнеров TS Solution, предоставляющий автоматизированную систему тестирования и обучения сотрудников. Кратко о его концепции:

  • Выявление потребностей обучения конкретных сотрудников.

  • Практические и теоретические курсы для сотрудников через портал обучения.

  • Гибкая система автоматизации работы системы.

Введение в продукт

2. Обучение пользователей основам ИБ. Phishman

Компания Phishman c 2016 года занимается разработкой программного обеспечения, связанного с системой тестирования и обучения сотрудников крупных компаний в сфере кибербезопасности. Среди заказчиков есть различные представители отраслей: финансовые, страховые, торговые, сырьевые и промышленные гиганты — от М.Видео до Росатома.

Предлагаемые решения

Phishman сотрудничает с различными компаниями (от малого бизнеса до крупных корпораций), первично достаточно иметь 10 сотрудников. Рассмотрим политику ценообразования  и лицензирования:

  1. Для малого бизнеса:

    А) Phishman Lite — версия продукта от 10 до 249 сотрудников со стартовой ценой за лицензию от 875 рублей. Содержит основные модули: сбор информации ( тестовая рассылка фишинговых писем), обучение (3 базовых курса по ИБ), автоматизация (настройка общего режима тестирования).

    Б) Phishman Standart — версия продукта от 10 до 999 сотрудников со стартовой ценой за лицензию от 1120 рублей. В отличие от версии Lite имеет возможность синхронизации с вашим корпоративным AD-сервером, модуль обучения содержит 5 курсов.

  2. Для крупного бизнеса:

    А) Phishman Enterprise — в данном решении количество сотрудников не ограничено, обеспечивается комплексный процесс повышения осведомленности персонала в области ИБ для компаний любого размера с возможностью адаптации курсов под потребности заказчика и бизнеса. Доступна синхронизация с AD, SIEM, DLP системами для сбора информации о сотрудниках и выявления пользователей, которым необходимо обучение. Существует поддержка интеграции с уже имеющейся системой дистанционного обучения (СДО), сама подписка содержит 7 базовых курсов ИБ, 4 расширенных и 3 игровых. Также поддерживается интересная опция по обучающей атаке с помощью USB-накопителей (флеш-карт).

    Б) Phishman Enterprise+ — дополненная версия включает в себя все опции Enterpise, появляется возможность разработки собственных коннекторов и отчетов (при помощи инженеров Phishman).

    Таким образом, продукт можно гибко настраивать под задачи конкретного бизнеса и интегрировать в уже существующие системы обучения ИБ.

Знакомство с системой

Для написания статьи мы развернули макет со следующими характеристиками:

  1. Ubuntu Server от версии 16.04.

  2. 4 ГБ ОЗУ, 50 ГБ места на жестком диске, процессор с тактовой частотой от 1 ГГц и выше.

  3. Windows сервер с ролью DNS, AD, MAIL.

В целом, набор стандартный и не требующий большой затраты по ресурсам, тем более, учитывая, что AD-сервер, как правило, у вас уже есть. При развертывании будет установлен Docker-контейнер, который автоматически настроит доступ в портал управления и обучения.

Под спойлером типовая схема сети с Fishman

2. Обучение пользователей основам ИБ. PhishmanТиповая схема сети

Далее познакомимся с интерфейсом системы, возможностями для администрирования и конечно же функциями.

Вход в портал управления

Портал администрирования Phishman служит для управления списком отделов и сотрудников компании. В нем запускаются атаки по рассылке фишинговых писем (в рамках обучения), результаты формируются в отчеты. Перейти в него возможно по IP-адресу или доменному имени, которое вы указываете при развертывании системы.

2. Обучение пользователей основам ИБ. PhishmanАвторизация на портале Phishman

На главной странице вам будут доступны удобные виджеты со статистикой по вашим сотрудникам:

2. Обучение пользователей основам ИБ. PhishmanГлавная страница портала Phishman

Добавление сотрудников для взаимодействий

Из главного меню можно перейти в раздел “Сотрудники”, где находится список всего персонала компании c разбивкой по отделам (вручную или через AD). В нем расположены инструменты для управления их данными, существует возможность выстраивать структуру в соответствие со штатом.

2. Обучение пользователей основам ИБ. PhishmanПанель управления пользователями2. Обучение пользователей основам ИБ. PhishmanКарточка создания сотрудника

Опционально: доступна интеграция с AD, что позволяет удобно автоматизировать процесс обучения новых сотрудников и вести общую статистику.

Запуск обучения сотрудников

После того, как у вас добавлена информация о сотрудниках компании, появляется возможность отправить их на обучающие курсы. Когда это может быть полезно:

  • новый сотрудник;

  • плановое обучение;

  • срочный курс (есть инфоповод, необходимо предупредить).

Запись доступна как для отдельного сотрудника, так и для всего отдела.

2. Обучение пользователей основам ИБ. PhishmanФормирование обучающего курса

Где опции:

  • сформировать учебную группу (объединить пользователей);

  • выбор учебного курса (количество в зависимости от лицензии);

  • доступ (постоянный или временный с указанием дат).

Важно!

При первой записи на курсы сотрудник получит письмо с данными для входа на Портал обучения. Интерфейс приглашения — шаблон , доступен для изменения на усмотрение Заказчика.

2. Обучение пользователей основам ИБ. PhishmanОбразец письма для приглашения на обучение

Если перейти по ссылке, то сотрудник попадет на обучающий портал, где будет автоматически фиксироваться его прогресс и отображаться в статистике у администратора Phishman.

2. Обучение пользователей основам ИБ. PhishmanПример запущенного пользователем курса

Работа с шаблонами атаки

Шаблоны позволяют отправлять целевые обучающие рассылки фишинговых писем с упором на социальную инженерию.

2. Обучение пользователей основам ИБ. PhishmanРаздел «Шаблоны»

Шаблоны расположены внутри категорий, например:

2. Обучение пользователей основам ИБ. PhishmanВкладка поиска встроенных шаблонов из различных категорий

О каждом из готовых шаблонов есть информация , в том числе, и по эффективности.

2. Обучение пользователей основам ИБ. PhishmanПример шаблона «Рассылка Твиттер»

Также стоит упомянуть об удобной возможности создавать собственные шаблоны: достаточно скопировать текст из письма: и он автоматически будет преобразован в HTML-код.

2. Обучение пользователей основам ИБ. Phishman

Заметка:

если вернуться к содержанию 1 статьи, то нам приходилось вручную подбирать шаблон для подготовки фишинговой атаки. В Enterprise-решении Phishman существует большое количество интегрированных шаблонов, и присутствует поддержка удобных инструментов для создания своих. Кроме этого, вендор активно поддерживает заказчиков и может помочь в добавлении уникальных шаблонов, что считаем в разы эффективнее.  

Общая настройка и помощь

В разделе «Настройки» меняются параметры системы Phishman в зависимости от уровня доступа текущего пользователя (из-за ограничений макета у нас они в полной мере доступны не были).

2. Обучение пользователей основам ИБ. PhishmanИнтерфейс раздела «Настройки»

Перечислим кратко возможности для настройки:

  • cетевые параметры (адрес почтового сервера, порт, шифрование, аутентификация);

  • выбор системы обучения (поддерживаются интеграция с другими СДО);

  • редактирование шаблонов отправки и обучения;

  • черный список адресов почты (важная возможность для исключения участия в фишинговой рассылки, например, для руководителей компании);

  • управление пользователями (создание, редактирование учетных записей доступа);

  • обновление (просмотр статуса и планирование).

Администраторам будет полезен раздел “Помощь”, в нем есть доступ к руководству пользователя с подробным разбором работы с Phishman, адрес службы поддержки и информация о состоянии системы.

2. Обучение пользователей основам ИБ. PhishmanИнтерфейс раздела «Помощь»2. Обучение пользователей основам ИБ. PhishmanСведения о состояние системы

Атака и обучение

После рассмотрения базовых опций и настроек системы проведем обучающую атаку, для этого откроем раздел “Атаки”.

2. Обучение пользователей основам ИБ. PhishmanИнтерфейс панели управления «Атаки»

В нем мы можем ознакомиться с результатами уже запущенных атак, создать новые и т.д. Опишем шаги для запуска кампании.

Запуск атаки

1) Назовем новую атаку «утечка данных».

2. Обучение пользователей основам ИБ. Phishman

Определим следующие настройки:

2. Обучение пользователей основам ИБ. Phishman

Где:

Отправитель → указывается домен рассылки (по умолчанию от вендора).

Фишинговые формы → используются в шаблонах с целью попытки получения данных от пользователей, при этом фиксируется лишь сам факт ввода, данные не сохраняются.

Переадресация → указывается редирект на страницу после перехода пользователем.

2) На стадии рассылки указывается режим распространения атаки

2. Обучение пользователей основам ИБ. Phishman

Где:

Тип атаки → указывается, как и в течение какого времени будет происходить атака. (опция включает в себя неравномерный режим рассылки и т.д.)

Время начала рассылки → указывается время старта отправки сообщений.

3) На этапе “Цели” указываются сотрудники по отделам или индивидуально

2. Обучение пользователей основам ИБ. Phishman

4) После чего мы указываем уже затрагиваемые нами шаблоны для атаки:

2. Обучение пользователей основам ИБ. Phishman

Итак , чтобы запустить атаку нам понадобилось:

а) создать шаблон атаки;

б) указать режим рассылки;

в) выбрать цели;

г) определить шаблон фишингового письма.

Проверка результатов атаки

Изначально имеем:

2. Обучение пользователей основам ИБ. Phishman

Со стороны пользователя видимо новое почтовое сообщение:

2. Обучение пользователей основам ИБ. Phishman

Если его раскрыть:

2. Обучение пользователей основам ИБ. Phishman

Если перейти по ссылке, то будет предложено ввести данные от почты:

2. Обучение пользователей основам ИБ. Phishman

Параллельно смотрим в статистику по атаке:

2. Обучение пользователей основам ИБ. Phishman

Важно!

Политика Phishman строго следует нормативным и этическим нормам, поэтому данные вводимые пользователем нигде не сохраняются, фиксируется лишь факт утечки.

Отчеты

Все, что делалось выше, должно быть подкреплено различной статистикой и общей информацией об уровне подготовленности сотрудников. Для мониторинга существует отдельный раздел “Отчеты”.

2. Обучение пользователей основам ИБ. Phishman

Он включает в себя:

  • Отчет по обучению, отражающий информацию о результатах прохождения курса в рамках отчетного периода.

  • Отчет по атакам, показывающий результат проведения фишинговых атак ( количество инцидентов, распределение по времени и т.д. ).

  • Отчет по динамике обучения, отображающий успеваемость ваших сотрудников.

  • Отчет по динамике фишинговых уязвимостей ( сводная информация по инцидентам ).

  • Аналитический отчет ( реакция сотрудников на события до/после ).

Работа с отчетом

1) Выполним “Сформировать отчет”.

2. Обучение пользователей основам ИБ. Phishman

2) Укажем отдел/сотрудников для формирования отчета.

2. Обучение пользователей основам ИБ. Phishman

3) Выберем период

2. Обучение пользователей основам ИБ. Phishman

4) Укажем интересующие курсы

2. Обучение пользователей основам ИБ. Phishman

5) Формируем итоговый отчет

2. Обучение пользователей основам ИБ. Phishman

Таким образом, отчеты помогают в удобной форме отразить статистику и следить за результатами работы обучающего портала, а также поведения сотрудников.

Автоматизация обучения

Отдельно стоит упомянуть о возможности создавать автоматические правила, которые помогут администраторам настроить логику работы Phishman.

Написание автоматического сценария

Для настройки необходимо перейти в раздел “Правила”. Нам предлагается:

1) Указать имя и задать время проверки условия.

2. Обучение пользователей основам ИБ. Phishman

2) Создаем событие по одному из источников (Фишинг, Обучение, Пользователи), если их несколько, то можно использовать логический оператор (И / ИЛИ). 

2. Обучение пользователей основам ИБ. Phishman

В нашем примере мы создали следующее правило: “Если пользователь перешел по вредоносной ссылке одной из наших фишинговых атак, то он будет автоматически записан на обучающий курс, соответственно, ему на почту поступит приглашение, и начнет отслеживаться прогресс прохождения.

Опционально:

—> Существует поддержка создания различных правил по источникам ( DLP, SIEM, Антивирусы, Кадровые службы и т.д). 

Cценарий: “Если пользователь отправляет чувствительную информацию, то DLP фиксирует событие и отправляет данные в Phishman, где срабатывает правило: назначить курс работнику по работе с конфиденциальной информацией”.

Таким образом, администратор может сократить часть рутинных процессов (отправка сотрудников на обучение, проведение плановых атак и т.д.).

Вместо заключения

Сегодня мы с вами познакомились с российским решением автоматизации процесса тестирования и обучения сотрудников. Оно помогает в подготовке компании к соответствию 187 ФЗ, PCI DSS, ISO 27001. К преимуществам обучения через Phishman отнесем:

  • Кастомизация курсов — возможность изменить содержание курсов;

  • Брендирование — создание цифровой платформы согласно вашим корпоративным стандартам;

  • Работа офлайн — установка на собственный сервер;

  • Автоматизация — создание правил (сценариев) для сотрудников;

  • Отчетность — статистика по интересующим событиям;

  • Гибкость лицензирования — поддержка от 10 пользователей. 

Если вас заинтересовало данное решение, вы всегда можете обратиться к нам, мы поможем в организации пилота и проконсультируем совместно с представителями Phishman. На этом сегодня все, учитесь сами и обучайте сотрудников, до новых встреч!

Источник: habr.com