Wir führen Sie weiterhin in eine Welt ein, die Phishing bekämpft, die Grundlagen des Social Engineering erlernt und nicht vergisst, ihre Mitarbeiter zu schulen. Heute haben wir ein Phishman-Produkt zu Gast. Dies ist einer der Partner von TS Solution, das ein automatisiertes System zum Testen und Trainieren von Mitarbeitern bereitstellt. Kurz zu seinem Konzept:
-
Ermittlung des Schulungsbedarfs bestimmter Mitarbeiter.
-
Praktische und theoretische Kurse für Mitarbeiter über das Lernportal.
-
Flexibles System zur Automatisierung des Systembetriebs.
Produkteinführung
Unternehmen Seit 2016 entwickelt er Software rund um das Test- und Schulungssystem für Mitarbeiter großer Unternehmen im Bereich Cybersicherheit. Zu den Kunden zählen verschiedene Branchenvertreter: Finanzen, Versicherungen, Handel, Rohstoffe und Industrieriesen – von M.Video bis Rosatom.
Vorgeschlagene Lösungen
Phishman kooperiert mit verschiedenen Unternehmen (vom Kleinbetrieb bis zum Großkonzern), zunächst reichen 10 Mitarbeiter. Beachten Sie die Preis- und Lizenzpolitik:
-
Für kleine Unternehmen:
A) - Version des Produkts von 10 bis 249 Mitarbeitern mit einem Startpreis für eine Lizenz von 875 Rubel. Es enthält die Hauptmodule: Informationssammlung (Testversand von Phishing-E-Mails), Schulung (3 Grundkurse zur Informationssicherheit), Automatisierung (Einrichten eines allgemeinen Testmodus).
B) - Produktversion von 10 bis 999 Mitarbeitern mit einem Startpreis für eine Lizenz von 1120 Rubel. Im Gegensatz zur Lite-Version besteht die Möglichkeit zur Synchronisierung mit dem AD-Server Ihres Unternehmens. Das Schulungsmodul umfasst 5 Kurse.
-
Für Großunternehmen:
A) — Bei dieser Lösung ist die Anzahl der Mitarbeiter nicht begrenzt, sie bietet einen umfassenden Prozess zur Sensibilisierung des Personals im Bereich Informationssicherheit für Unternehmen jeder Größe mit der Möglichkeit, Kurse an die Bedürfnisse des Kunden und des Unternehmens anzupassen. Die Synchronisierung mit AD-, SIEM- und DLP-Systemen ist verfügbar, um Informationen über Mitarbeiter zu sammeln und Benutzer zu identifizieren, die Schulungen benötigen. Die Integration in ein bestehendes Fernlernsystem (LMS) wird unterstützt. Das Abonnement selbst enthält 7 IB-Grundkurse, 4 Fortgeschrittenenkurse und 3 Spielkurse. Es unterstützt auch eine interessante Option für Trainingsangriffe mithilfe von USB-Laufwerken (Flash-Karten).
B) - Die erweiterte Version umfasst alle Enterprise-Optionen, es wird möglich, eigene Konnektoren und Berichte zu entwickeln (mit Hilfe von Phishman-Ingenieuren).
Somit kann das Produkt flexibel für die Aufgaben eines bestimmten Unternehmens konfiguriert und in bestehende Informationssicherheitsschulungssysteme integriert werden.
Einführung in das System
Um den Artikel zu schreiben, haben wir ein Layout mit den folgenden Merkmalen verwendet:
-
Ubuntu Server ab Version 16.04.
-
4 GB RAM, 50 GB Festplattenspeicher, 1 GHz oder schnellerer Prozessor.
-
Windows-Server mit der Rolle DNS, AD, MAIL.
Im Allgemeinen ist das Set Standard und erfordert keine großen Ressourcen, insbesondere wenn man bedenkt, dass Sie normalerweise bereits über einen AD-Server verfügen. Während der Bereitstellung wird ein Docker-Container installiert, der automatisch den Zugriff auf das Verwaltungs- und Schulungsportal konfiguriert.
Unter dem Spoiler ein typisches Netzwerkdiagramm mit Fishman
Typisches Netzwerkdiagramm
Als nächstes machen wir uns mit der Systemoberfläche, den Administrationsmöglichkeiten und natürlich den Funktionen vertraut.
Melden Sie sich beim Verwaltungsportal an
Das Phishman Administration Portal dient der Verwaltung der Liste der Abteilungen und Mitarbeiter des Unternehmens. Es startet Angriffe zum Versenden von Phishing-E-Mails (im Rahmen der Schulung), die Ergebnisse werden in Berichten generiert. Sie können darauf über die IP-Adresse oder den Domänennamen zugreifen, die Sie bei der Bereitstellung des Systems angeben.
Autorisierung auf dem Phishman-Portal
Auf der Hauptseite stehen Ihnen praktische Widgets mit Statistiken zu Ihren Mitarbeitern zur Verfügung:
Phishman-Hauptseite
Mitarbeiter für Interaktionen hinzufügen
Vom Hauptmenü aus können Sie zum Abschnitt gehen "Mitarbeiter", wo eine nach Abteilungen gegliederte Liste aller Mitarbeiter des Unternehmens vorliegt (manuell oder über AD). Es enthält Tools zur Verwaltung Ihrer Daten, es ist möglich, eine zustandsgerechte Struktur aufzubauen.
BenutzerkontrollfeldMitarbeitererstellungskarte
Optional: Es ist eine Integration mit AD verfügbar, mit der Sie den Prozess der Schulung neuer Mitarbeiter bequem automatisieren und allgemeine Statistiken führen können.
Start der Mitarbeiterschulung
Nachdem Sie Informationen über die Mitarbeiter des Unternehmens hinzugefügt haben, ist es möglich, diese zu Schulungen zu schicken. Wann es nützlich sein könnte:
-
neuer Angestellter;
-
geplante Ausbildung;
-
dringender Kurs (es gibt einen Informationsanlass, es ist notwendig, zu warnen).
Der Datensatz ist sowohl für einen einzelnen Mitarbeiter als auch für die gesamte Abteilung verfügbar.
Gestaltung des Lehrgangs
Wo Optionen:
-
eine Lerngruppe bilden (Benutzer zusammenfassen);
-
Wahl des Ausbildungskurses (Anzahl je nach Lizenz);
-
Zugang (permanent oder temporär mit Datum).
Wichtig!
Wenn sich ein Mitarbeiter zum ersten Mal für einen Kurs anmeldet, erhält er eine E-Mail mit Zugangsdaten für das Lernportal. Bei der Einladungsschnittstelle handelt es sich um eine Vorlage, die nach Ermessen des Kunden geändert werden kann.
Musterbrief für eine Einladung zum Studium
Wenn Sie auf den Link klicken, gelangt der Mitarbeiter zum Schulungsportal, wo seine Fortschritte automatisch erfasst und in der Statistik des Phishman-Administrators angezeigt werden.
Beispiel für einen vom Benutzer gestarteten Kurs
Arbeiten mit Angriffsmustern
Mit den Vorlagen können Sie gezielt Schulungs-Phishing-E-Mails mit Schwerpunkt auf Social Engineering versenden.
Abschnitt „Vorlagen“
Vorlagen befinden sich in Kategorien, zum Beispiel:
Registerkarte „Suchen“ für integrierte Vorlagen aus verschiedenen Kategorien
Zu jeder der vorgefertigten Vorlagen gibt es Informationen, auch zur Effizienz.
Ein Beispiel für eine „Twitter-Newsletter“-Vorlage
Erwähnenswert ist auch die praktische Möglichkeit, eigene Vorlagen zu erstellen: Kopieren Sie einfach den Text aus dem Brief und er wird automatisch in HTML-Code umgewandelt.
Hinweis:
zurück zum Inhalt Dann mussten wir manuell eine Vorlage zur Vorbereitung eines Phishing-Angriffs auswählen. Die Enterprise-Lösung von Phishman verfügt über eine große Anzahl integrierter Vorlagen und unterstützt praktische Tools zum Erstellen eigener Vorlagen. Darüber hinaus unterstützt der Anbieter seine Kunden aktiv und kann beim Hinzufügen einzigartiger Vorlagen helfen, was unserer Meinung nach um ein Vielfaches effizienter ist.
Allgemeine Einrichtung und Hilfe
Im Bereich „Einstellungen“ ändern sich die Phishman-Systemparameter je nach Zugriffsebene des aktuellen Benutzers (aufgrund von Layouteinschränkungen standen sie uns nicht vollständig zur Verfügung).
Schnittstelle des Abschnitts „Einstellungen“.
Lassen Sie uns kurz die Optionen zur Anpassung auflisten:
-
Netzwerkparameter (Mailserveradresse, Port, Verschlüsselung, Authentifizierung);
-
Wahl des Schulungssystems (Integration mit anderen LMS wird unterstützt);
-
Bearbeiten von Versand- und Schulungsvorlagen;
-
schwarze Liste von E-Mail-Adressen (eine wichtige Möglichkeit, beispielsweise für Unternehmensleiter die Teilnahme an Phishing-Mailings auszuschließen);
-
Benutzerverwaltung (Erstellung, Bearbeitung von Zugangskonten);
-
Update (Statusansicht und Terminplanung).
Administratoren werden den Abschnitt „Hilfe“ nützlich finden. Dort haben sie Zugriff auf das Benutzerhandbuch mit einer detaillierten Analyse der Arbeit mit Phishman, der Adresse des Support-Dienstes und Informationen über den Status des Systems.
Benutzeroberfläche des HilfebereichsInformationen zum Zustand des Systems
Angriff und Training
Nachdem wir die grundlegenden Optionen und Systemeinstellungen überprüft haben, führen wir einen Trainingsangriff durch. Dazu öffnen wir den Abschnitt „Angriffe“.
Bedienfeldschnittstelle „Angriffe“
Darin können wir die Ergebnisse bereits gestarteter Angriffe sehen, neue erstellen und so weiter. Beschreiben wir die Schritte zum Starten einer Kampagne.
Angriffsstart
1) Nennen wir den neuen Angriff „Datenleck“.
Definieren Sie die folgenden Einstellungen:
Wo:
Absender → Die Mailing-Domain wird angegeben (standardmäßig vom Anbieter).
Phishing-Formulare → werden in Vorlagen verwendet, um zu versuchen, Daten von Benutzern zu erhalten, wobei nur die Tatsache der Eingabe erfasst, die Daten jedoch nicht gespeichert werden.
Redirects → Eine Weiterleitung auf die Seite wird angezeigt, nachdem der Benutzer navigiert hat.
2) In der Verteilungsphase wird der Ausbreitungsmodus des Angriffs angegeben
Wo:
Angriffstyp → legt fest, wie und wie lange der Angriff stattfinden soll. (Option umfasst uneinheitlichen Sendemodus usw.)
Startzeit senden → Geben Sie die Startzeit für das Senden von Nachrichten an.
3) In der Phase „Ziele“ werden die Mitarbeiter nach Abteilung oder einzeln angegeben
4) Danach geben wir die Vorlagen für den von uns bereits betroffenen Angriff an:
Um den Angriff zu starten, brauchten wir also:
a) eine Angriffsvorlage erstellen;
b) den Verteilungsmodus angeben;
c) Ziele wählen;
d) Bestimmen Sie die Phishing-E-Mail-Vorlage.
Überprüfung der Ergebnisse eines Angriffs
Zunächst haben wir:
Auf Benutzerseite ist eine neue E-Mail-Nachricht sichtbar:
Wenn Sie es öffnen:
Wenn Sie auf den Link klicken, werden Sie aufgefordert, Daten aus der Mail einzugeben:
Parallel dazu schauen wir uns die Statistiken zum Angriff an:
Wichtig!
Die Politik von Phishman besteht darin, regulatorische und ethische Standards strikt einzuhalten, sodass die vom Benutzer eingegebenen Daten nirgendwo gespeichert werden, sondern nur die Tatsache des Lecks aufgezeichnet wird.
Berichte
Alles, was oben getan wurde, sollte durch verschiedene Statistiken und allgemeine Informationen über den Vorbereitungsgrad der Mitarbeiter untermauert werden. Für die Überwachung gibt es einen separaten Bereich „Berichte“.
Es beinhaltet:
-
Ein Schulungsbericht, der Informationen über die Ergebnisse des Abschlusses des Kurses innerhalb des Berichtszeitraums enthält.
-
Angriffsbericht, der das Ergebnis von Phishing-Angriffen zeigt (Anzahl der Vorfälle, Zeitpunkt usw.).
-
Ein Lernfortschrittsbericht, der die Leistung Ihrer Mitarbeiter anzeigt.
-
Bericht über die Dynamik von Phishing-Schwachstellen (zusammenfassende Informationen zu Vorfällen).
-
Analytischer Bericht (Reaktion der Mitarbeiter auf Ereignisse davor/nachher).
Arbeiten mit einem Bericht
1) Führen wir „Bericht erstellen“ aus.
2) Geben Sie die Abteilung/Mitarbeiter an, die den Bericht erstellen sollen.
3) Wählen Sie einen Zeitraum
4) Geben Sie die Kurse an, die Sie interessieren
5) Wir erstellen den Abschlussbericht
So helfen Berichte dabei, Statistiken in komfortabler Form darzustellen und die Ergebnisse des Schulungsportals sowie das Verhalten der Mitarbeiter zu überwachen.
Lernautomatisierung
Unabhängig davon ist die Möglichkeit zu erwähnen, automatische Regeln zu erstellen, die Administratoren dabei helfen, die Logik von Phishman anzupassen.
Ein automatisches Skript schreiben
Gehen Sie zum Konfigurieren zum Abschnitt „Regeln“. Uns wird angeboten:
1) Geben Sie einen Namen an und legen Sie die Zeit für die Überprüfung der Bedingung fest.
2) Erstellen Sie ein Ereignis basierend auf einer der Quellen (Phishing, Schulung, Benutzer). Wenn es mehrere davon gibt, können Sie den logischen Operator (AND/OR) verwenden.
In unserem Beispiel haben wir die folgende Regel erstellt: „Wenn ein Benutzer auf einen schädlichen Link aus einem unserer Phishing-Angriffe klickt, wird er automatisch für einen Schulungskurs angemeldet und erhält dementsprechend eine Einladung per E-Mail und Fortschritte.“ verfolgt werden.
Optional:
—> Es gibt Unterstützung für die Erstellung verschiedener Regeln nach Quelle (DLP, SIEM, Antivirus, Personalwesen usw.).
Szenario: „Wenn der Benutzer vertrauliche Informationen sendet, erfasst DLP das Ereignis und sendet die Daten an Phishman, wo die Regel ausgelöst wird: Weisen Sie dem Mitarbeiter für vertrauliche Informationen einen Kurs zu.“
Dadurch kann der Administrator einige Routineprozesse reduzieren (Mitarbeiter zu Schulungen schicken, geplante Angriffe durchführen usw.).
Statt einer Schlussfolgerung
Heute haben wir die russische Lösung zur Automatisierung des Test- und Schulungsprozesses von Mitarbeitern kennengelernt. Es hilft dabei, das Unternehmen auf die Einhaltung des Bundesgesetzes 187, PCI DSS und ISO 27001 vorzubereiten. Zu den Vorteilen der Schulung durch Phishman gehören:
-
Anpassung von Kursen – die Möglichkeit, den Inhalt von Kursen zu ändern;
-
Branding – Erstellen einer digitalen Plattform gemäß Ihren Unternehmensstandards;
-
Offline arbeiten – Installation auf Ihrem eigenen Server;
-
Automatisierung – Erstellen von Regeln (Skripten) für Mitarbeiter;
-
Berichterstattung – Statistiken zu interessanten Ereignissen;
-
Lizenzierungsflexibilität – Unterstützung ab 10 Benutzern.
Wenn Sie an dieser Lösung interessiert sind, können Sie sich jederzeit an uns wenden Wir helfen bei der Organisation des Pilotprojekts und beraten uns gemeinsam mit Phishman-Vertretern. Das ist alles für heute, lernen Sie sich selbst und schulen Sie Ihre Mitarbeiter, bis bald!
Source: habr.com