Seguimos presentándote un mundo que lucha contra el phishing, aprende los conceptos básicos de la ingeniería social y no se olvida de capacitar a su personal. Hoy tenemos un producto Phishman como invitado. Este es uno de los socios de TS Solution, que proporciona un sistema automatizado para evaluar y capacitar a los empleados. Brevemente sobre su concepto:
-
Identificación de necesidades formativas de empleados específicos.
-
Cursos prácticos y teóricos para empleados a través del portal de aprendizaje.
-
Sistema flexible de automatización de la operación del sistema.
Introducción del producto
Inmobiliaria Desde 2016 desarrolla software relacionado con el sistema de testing y formación para empleados de grandes empresas en el ámbito de la ciberseguridad. Entre los clientes hay varios representantes de industrias: financiera, seguros, comercio, materias primas y gigantes industriales, desde M.Video hasta Rosatom.
Las soluciones sugeridas
Phishman coopera con varias empresas (desde pequeñas empresas hasta grandes corporaciones), inicialmente es suficiente tener 10 empleados. Considere la política de precios y licencias:
-
Para pequeñas empresas:
A) - versión del producto de 10 a 249 empleados con un precio inicial para una licencia de 875 rublos. Contiene los módulos principales: recopilación de información (envío de prueba de correos electrónicos de phishing), capacitación (3 cursos básicos sobre seguridad de la información), automatización (configuración de un modo de prueba general).
B) - versión del producto de 10 a 999 empleados con un precio inicial para una licencia de 1120 rublos. A diferencia de la versión Lite, tiene la capacidad de sincronizarse con su servidor AD corporativo, el módulo de capacitación contiene 5 cursos.
-
Para grandes empresas:
A) — en esta solución no se limita el número de empleados, proporciona un proceso integral de sensibilización del personal en el campo de la seguridad de la información para empresas de cualquier tamaño con la capacidad de adaptar los cursos a las necesidades del cliente y del negocio. La sincronización con los sistemas AD, SIEM, DLP está disponible para recopilar información sobre los empleados e identificar a los usuarios que necesitan capacitación. Hay soporte para la integración con un sistema de aprendizaje a distancia (LMS) existente, la suscripción en sí contiene 7 cursos básicos del IB, 4 avanzados y 3 de juegos. También admite una opción interesante para entrenar ataques utilizando unidades USB (tarjetas flash).
B) - la versión mejorada incluye todas las opciones de Enterprise, es posible desarrollar sus propios conectores e informes (con la ayuda de los ingenieros de Phishman).
Por lo tanto, el producto puede configurarse de manera flexible para las tareas de una empresa en particular e integrarse en los sistemas de capacitación en seguridad de la información existentes.
Introducción al sistema
Para escribir el artículo, desplegamos un diseño con las siguientes características:
-
Ubuntu Server desde la versión 16.04.
-
4 GB de RAM, 50 GB de espacio en disco duro, procesador de 1 GHz o superior.
-
Servidor Windows con la función de DNS, AD, MAIL.
En general, el conjunto es estándar y no requiere muchos recursos, especialmente teniendo en cuenta que generalmente ya tiene un servidor AD. Durante el despliegue se instalará un contenedor Docker que configurará automáticamente el acceso al portal de gestión y formación.
Debajo del spoiler, un diagrama de red típico con Fishman
Diagrama de red típico
A continuación, nos familiarizaremos con la interfaz del sistema, las opciones de administración y, por supuesto, las funciones.
Iniciar sesión en el portal de gestión
El Portal de Administración de Phishman se utiliza para administrar la lista de departamentos y empleados de la empresa. Lanza ataques para enviar correos electrónicos de phishing (como parte del entrenamiento), los resultados se generan en informes. Puede acceder a él por la dirección IP o el nombre de dominio que especifique al implementar el sistema.
Autorización en el portal Phishman
Los widgets convenientes con estadísticas sobre sus empleados estarán disponibles para usted en la página principal:
Página principal de Phishman
Adición de empleados para interacciones
Desde el menú principal, puede ir a la sección "Empleados", donde existe un listado de todo el personal de la empresa desglosado por departamentos (manualmente o vía AD). Contiene herramientas para la gestión de sus datos, es posible construir una estructura de acuerdo con el estado.
Panel de control de usuarioTarjeta de creación de empleados
Opcional: la integración con AD está disponible, lo que le permite automatizar convenientemente el proceso de capacitación de nuevos empleados y mantener estadísticas generales.
Lanzamiento de la formación de los empleados.
Después de haber agregado información sobre los empleados de la empresa, es posible enviarlos a cursos de capacitación. Cuándo puede ser útil:
-
nuevo empleado;
-
formación planificada;
-
curso urgente (hay una ocasión informativa, es necesario advertir).
El registro está disponible tanto para un empleado individual como para todo el departamento.
Formación del curso de formación.
Donde opciones:
-
formar un grupo de estudio (combinar usuarios);
-
elección del curso de formación (el número depende de la licencia);
-
acceso (permanente o temporal con fechas).
¡Importante!
La primera vez que un empleado se inscribe en un curso, recibirá un correo electrónico con los detalles de inicio de sesión para el Portal de aprendizaje. La interfaz de invitación es una plantilla, disponible para cambios a discreción del Cliente.
modelo de carta de invitacion a estudiar
Si hace clic en el enlace, se llevará al empleado al portal de capacitación, donde su progreso se registrará automáticamente y se mostrará en las estadísticas del administrador de Phishman.
Ejemplo de curso iniciado por el usuario
Trabajar con patrones de ataque
Las plantillas le permiten enviar correos electrónicos de phishing de capacitación dirigidos con un enfoque en la ingeniería social.
Sección "Plantillas"
Las plantillas se encuentran dentro de categorías, por ejemplo:
Pestaña de búsqueda de plantillas integradas de varias categorías
Hay información sobre cada una de las plantillas preparadas, incluida la eficiencia.
Un ejemplo de una plantilla de "Twitter Newsletter"
También vale la pena mencionar la conveniente capacidad de crear sus propias plantillas: simplemente copie el texto de la carta y se convertirá automáticamente en código HTML.
Nota:
volver al contenido , luego tuvimos que seleccionar manualmente una plantilla para preparar un ataque de phishing. La solución empresarial de Phishman tiene una gran cantidad de plantillas integradas y hay soporte para herramientas convenientes para crear las suyas propias. Además, el proveedor apoya activamente a los clientes y puede ayudar a agregar plantillas únicas, lo que creemos que es mucho más eficiente.
Configuración general y ayuda
En la sección "Configuración", los parámetros del sistema Phishman cambian según el nivel de acceso del usuario actual (debido a restricciones de diseño, no estaban completamente disponibles para nosotros).
Interfaz de la sección "Configuración"
Vamos a enumerar brevemente las opciones de personalización:
-
parámetros de red (dirección del servidor de correo, puerto, encriptación, autenticación);
-
elección del sistema de formación (se admite la integración con otros LMS);
-
editar plantillas de envío y entrenamiento;
-
lista negra de direcciones de correo (una oportunidad importante para excluir la participación en correos de phishing, por ejemplo, para ejecutivos de empresas);
-
gestión de usuarios (creación, edición de cuentas de acceso);
-
actualización (vista de estado y programación).
Los administradores encontrarán útil la sección “Ayuda”, tiene acceso al manual de usuario con un análisis detallado del trabajo con Phishman, la dirección del servicio de soporte e información sobre el estado del sistema.
Interfaz de la sección de ayudaInformación sobre el estado del sistema.
ataque y entrenamiento
Después de revisar las opciones básicas y la configuración del sistema, realizaremos un ataque de entrenamiento, para ello abriremos la sección "Ataques".
Interfaz del panel de control "Ataques"
En él podemos ver los resultados de los ataques ya lanzados, crear otros nuevos, etc. Vamos a describir los pasos para lanzar una campaña.
Lanzamiento de ataque
1) Llamemos al nuevo ataque "fuga de datos".
Defina los siguientes ajustes:
Donde:
Remitente → se especifica el dominio de correo (por defecto, del proveedor).
Formularios de phishing → se utilizan en plantillas para tratar de obtener datos de los usuarios, mientras que solo se registra el hecho de ingresar, los datos no se guardan.
Desvío de llamadas → se indica una redirección a la página después de que el usuario navega.
2) En la etapa de distribución, se indica el modo de propagación del ataque
Donde:
tipo de ataque → especifica cómo y durante cuánto tiempo tendrá lugar el ataque. (la opción incluye el modo de transmisión no uniforme, etc.)
Hora de inicio de envío → especificar la hora de inicio para el envío de mensajes.
3) En la etapa de “Objetivos”, los empleados se indican por departamento o individualmente
4) Después de eso, indicamos las plantillas para el ataque ya afectado por nosotros:
Entonces, para lanzar el ataque, necesitábamos:
a) crear una plantilla de ataque;
b) especificar el modo de distribución;
c) elegir objetivos;
d) determinar la plantilla de correo electrónico de phishing.
Comprobación de los resultados de un ataque
Inicialmente tenemos:
Desde el lado del usuario, se ve un nuevo mensaje de correo:
Si está abierto:
Si hace clic en el enlace, se le pedirá que ingrese los datos del correo:
Paralelamente, miramos las estadísticas sobre el ataque:
¡Importante!
La política de Phishman es seguir estrictamente los estándares regulatorios y éticos, por lo que los datos ingresados por el usuario no se almacenan en ningún lugar, solo se registra el hecho de la fuga.
informes
Todo lo que se hizo anteriormente debe estar respaldado por varias estadísticas e información general sobre el nivel de preparación de los empleados. Hay una sección separada "Informes" para el seguimiento.
Incluye:
-
Un informe de capacitación que refleja información sobre los resultados de completar el curso dentro del período del informe.
-
Informe de ataque que muestra el resultado de los ataques de phishing (número de incidentes, tiempo, etc.).
-
Un informe de progreso de aprendizaje que muestra el desempeño de sus empleados.
-
Informe sobre la dinámica de las vulnerabilidades de phishing (información resumida sobre incidentes).
-
Informe analítico (reacción de los empleados ante eventos antes/después).
Trabajar con un informe
1) Ejecutemos "Crear un informe".
2) Especifique el departamento/empleados para generar el informe.
3) Elija un período
4) Especificar los cursos de interés
5) Formamos el informe final
Por lo tanto, los informes ayudan a reflejar las estadísticas de forma conveniente y monitorear los resultados del portal de capacitación, así como el comportamiento de los empleados.
Automatización del aprendizaje
Por separado, vale la pena mencionar la capacidad de crear reglas automáticas que ayudarán a los administradores a personalizar la lógica de Phishman.
Escribir un script automático
Para configurar, vaya a la sección "Reglas". Nos ofrecen:
1) Especifique un nombre y establezca el tiempo para verificar la condición.
2) Cree un evento basado en una de las fuentes (Phishing, Capacitación, Usuarios), si hay varios de ellos, entonces puede usar el operador lógico (Y / O).
En nuestro ejemplo, creamos la siguiente regla: “Si un usuario hace clic en un enlace malicioso de uno de nuestros ataques de phishing, se inscribirá automáticamente en un curso de capacitación y, en consecuencia, recibirá una invitación por correo electrónico y el progreso ser rastreado
Opcional:
—> Hay soporte para crear varias reglas por fuente (DLP, SIEM, Antivirus, Recursos Humanos, etc.).
Escenario: "Si el usuario envía información confidencial, DLP captura el evento y envía los datos a Phishman, donde se activa la regla: asignar un curso al trabajador de información confidencial".
De esta forma, el administrador puede reducir algunos de los procesos rutinarios (enviar empleados a capacitarse, realizar ataques planificados, etc.).
En lugar de una conclusión
Hoy nos familiarizamos con la solución rusa para automatizar el proceso de prueba y capacitación de los empleados. Ayuda a preparar a la empresa para cumplir con la Ley Federal 187, PCI DSS, ISO 27001. Los beneficios de la capacitación a través de Phishman incluyen:
-
Personalización de cursos: la capacidad de cambiar el contenido de los cursos;
-
Branding: creación de una plataforma digital de acuerdo con sus estándares corporativos;
-
Trabaje sin conexión: instalación en su propio servidor;
-
Automatización: creación de reglas (scripts) para empleados;
-
Informes - estadísticas sobre eventos de interés;
-
Flexibilidad de licenciamiento: soporte de 10 usuarios.
Si está interesado en esta solución, siempre puede contactar , ayudaremos a organizar el piloto y consultaremos junto con los representantes de Phishman. Eso es todo por hoy, aprenda usted mismo y capacite a sus empleados, ¡nos vemos pronto!
Fuente: habr.com