Nous continuons de vous faire découvrir un monde qui lutte contre le phishing, apprend les bases de l'ingénierie sociale et n'oublie pas de former son personnel. Aujourd'hui, notre invité est le produit Phishman. C'est l'un des partenaires de TS Solution, fournissant un système automatisé de test et de formation des employés. En bref sur son concept :
-
Identifier les besoins de formation d'employés spécifiques.
-
Cours pratiques et théoriques pour les salariés via le portail de formation.
-
Système d'automatisation flexible pour le fonctionnement du système.
Présentation du produit
société Depuis 2016, il développe des logiciels liés au système de tests et de formation des salariés des grandes entreprises dans le domaine de la cybersécurité. Parmi les clients figurent divers représentants des secteurs : de la finance, des assurances, du commerce, des matières premières et des géants industriels - de M.Video à Rosatom.
Solutions suggérées
Phishman coopère avec diverses entreprises (des petites entreprises aux grandes entreprises), il suffit initialement d'avoir 10 employés. Considérons la politique de prix et de licence :
-
Pour les petites entreprises :
A) — version du produit pour 10 à 249 employés avec un prix de départ pour une licence à partir de 875 roubles. Contient les principaux modules : collecte d'informations (test d'envoi d'emails de phishing), formation (3 cours de base sur la sécurité de l'information), automatisation (mise en place d'un mode de test général).
B) — version du produit pour 10 à 999 employés avec un prix de départ pour une licence à partir de 1120 5 roubles. Contrairement à la version Lite, elle a la capacité de se synchroniser avec votre serveur AD d'entreprise ; le module de formation contient XNUMX cours.
-
Pour les grandes entreprises :
A) — dans cette solution, le nombre d'employés n'est pas limité ; elle offre un processus complet de sensibilisation du personnel dans le domaine de la sécurité de l'information pour les entreprises de toute taille avec la possibilité d'adapter les cours aux besoins du client et de l'entreprise. La synchronisation avec les systèmes AD, SIEM, DLP est disponible pour collecter des informations sur les employés et identifier les utilisateurs ayant besoin d'une formation. Il existe un support pour l'intégration avec un système d'enseignement à distance (DLS) existant, l'abonnement lui-même contient 7 cours IS de base, 4 cours avancés et 3 cours de jeu. Une option intéressante pour entraîner les attaques à l'aide de clés USB (cartes flash) est également prise en charge.
B) — la version mise à jour inclut toutes les options d'Enterpise, il devient possible de développer vos propres connecteurs et rapports (avec l'aide des ingénieurs Phishman).
Ainsi, le produit peut être personnalisé de manière flexible pour s'adapter aux tâches d'une entreprise spécifique et intégré aux systèmes de formation existants en matière de sécurité de l'information.
Connaître le système
Pour rédiger cet article, nous avons déployé une mise en page avec les caractéristiques suivantes :
-
Serveur Ubuntu à partir de la version 16.04.
-
4 Go de RAM, 50 Go d'espace disque dur, processeur avec une fréquence d'horloge de 1 GHz ou plus.
-
Serveur Windows avec rôles DNS, AD, MAIL.
En général, l'ensemble est standard et ne nécessite pas beaucoup de ressources, d'autant plus qu'en règle générale, vous disposez déjà d'un serveur AD. Lors du déploiement, un conteneur Docker sera installé, qui configurera automatiquement l'accès au portail de gestion et d'apprentissage.
Sous le spoiler se trouve un schéma de réseau typique avec Fishman
Schéma de réseau typique
Ensuite, nous nous familiariserons avec l'interface du système, les capacités d'administration et, bien sûr, les fonctions.
Connectez-vous au portail de gestion
Le portail d'administration Phishman permet de gérer une liste de services et d'employés de l'entreprise. Il lance des attaques en envoyant des emails de phishing (dans le cadre d'une formation), et les résultats sont compilés dans des rapports. Vous pouvez y accéder en utilisant l'adresse IP ou le nom de domaine que vous spécifiez lors du déploiement du système.
Autorisation sur le portail Phishman
Sur la page principale, vous aurez accès à des widgets pratiques avec des statistiques sur vos employés :
Page d'accueil du portail Phishman
Ajouter des employés pour les interactions
Depuis le menu principal, vous pouvez accéder à la section "Employés", où se trouve une liste de tout le personnel de l'entreprise ventilé par service (manuellement ou via AD). Il contient des outils de gestion de leurs données, il est possible de construire la structure en fonction du personnel.
Panneau de configuration utilisateurCarte de création d'employé
Facultatif: L'intégration avec AD est disponible, ce qui vous permet d'automatiser facilement le processus de formation des nouveaux employés et de maintenir des statistiques générales.
Lancement de la formation des salariés
Une fois que vous avez ajouté des informations sur les salariés de l’entreprise, vous avez la possibilité de les envoyer suivre des formations. Quand cela peut être utile :
-
nouvel employé;
-
formation planifiée;
-
cours urgent (il y a un fil d'information, il faut prévenir).
L'enregistrement est disponible à la fois pour un employé individuel et pour l'ensemble du service.
Constitution d'un parcours de formation
Où sont les options :
-
constituer un groupe d’étude (réunir les utilisateurs) ;
-
choix de la formation (quantité selon licence) ;
-
accès (permanent ou temporaire avec dates indiquées).
Important!
Lors de sa première inscription aux cours, le collaborateur recevra un e-mail contenant les informations de connexion au portail de formation. L'interface d'invitation est un modèle, disponible pour modification à la discrétion du Client.
Modèle de lettre d'invitation à étudier
Si vous suivez le lien, l'employé sera redirigé vers le portail de formation, où sa progression sera automatiquement enregistrée et affichée dans les statistiques de l'administrateur Phishman.
Exemple de cours lancé par l'utilisateur
Travailler avec des modèles d'attaque
Les modèles vous permettent d'envoyer des e-mails de phishing éducatifs ciblés en mettant l'accent sur l'ingénierie sociale.
Rubrique "Modèles"
Les modèles sont situés dans des catégories, par exemple :
Onglet de recherche de modèles intégrés de différentes catégories
Il existe des informations sur chacun des modèles prêts à l'emploi, y compris des informations sur leur efficacité.
Exemple de modèle de newsletter Twitter
Il convient également de mentionner la possibilité pratique de créer vos propres modèles : copiez simplement le texte de la lettre et il sera automatiquement converti en code HTML.
Note:
si tu reviens au contenu , nous avons ensuite dû sélectionner manuellement un modèle pour préparer une attaque de phishing. La solution Phishman Enterprise dispose d'un grand nombre de modèles intégrés et prend en charge des outils pratiques pour créer les vôtres. De plus, le fournisseur soutient activement les clients et peut les aider à ajouter des modèles uniques, ce qui, selon nous, est beaucoup plus efficace.
Configuration générale et aide
Dans la section « Paramètres », les paramètres du système Phishman changent en fonction du niveau d'accès de l'utilisateur actuel (en raison des limitations de mise en page, ils ne nous étaient pas entièrement disponibles).
Interface de la section « Paramètres »
Listons brièvement les options de configuration :
-
paramètres réseau (adresse du serveur de messagerie, port, cryptage, authentification) ;
-
choix du système de formation (l'intégration avec d'autres LMS est prise en charge) ;
-
éditer des modèles de soumission et de formation ;
-
liste noire des adresses e-mail (une opportunité importante d'exclure la participation à des mailings de phishing, par exemple pour les dirigeants d'entreprise) ;
-
gestion des utilisateurs (création, modification des comptes d'accès) ;
-
mise à jour (afficher l'état et le calendrier).
Les administrateurs trouveront utile la section « Aide » : elle donne accès au manuel d'utilisation avec une analyse détaillée de l'utilisation de Phishman, l'adresse du service d'assistance et des informations sur l'état du système.
Interface de la rubrique "Aide"Informations sur l'état du système
Attaque et entraînement
Après avoir examiné les options de base et les paramètres du système, nous procéderons à une attaque d'entraînement ; pour cela, nous ouvrirons la section « Attaques ».
Interface du panneau de contrôle des attaques
Nous pouvons y connaître les résultats des attaques déjà lancées, en créer de nouvelles, etc. Décrivons les étapes pour lancer une campagne.
Lancer une attaque
1) Appelons la nouvelle attaque « fuite de données ».
Définissons les paramètres suivants :
Où:
Expéditeur → le domaine de messagerie est indiqué (par défaut chez le vendeur).
Formulaires de phishing → sont utilisés dans des modèles pour tenter d'obtenir des données des utilisateurs, alors que seul le fait de saisie est enregistré, les données ne sont pas sauvegardées.
Redirections → une redirection vers la page est indiquée après la navigation de l'utilisateur.
2) Au stade de la distribution, le mode de propagation de l'attaque est indiqué
Où:
Type d'attaque → indique comment et à quelle heure l'attaque se produira. (l'option inclut un mode de distribution inégale, etc.)
Heure de début d'envoi → l'heure de début de l'envoi des messages est indiquée.
3) A l'étape « Objectifs », les collaborateurs sont indiqués par service ou individuellement
4) Après quoi nous indiquons les schémas d’attaque que nous avons déjà évoqués :
Donc, pour lancer l’attaque, il nous fallait :
a) créer un modèle d'attaque ;
b) indiquer le mode de distribution ;
c) choisir des objectifs ;
d) identifier un modèle d'e-mail de phishing.
Vérification des résultats de l'attaque
Au départ nous avons :
Du côté de l'utilisateur, un nouveau message email est visible :
Si vous l'ouvrez :
Si vous suivez le lien, vous serez invité à saisir vos informations e-mail :
En parallèle, regardons les statistiques d’attaques :
Important!
La politique de Phishman suit strictement les normes réglementaires et éthiques, de sorte que les données saisies par l'utilisateur ne sont stockées nulle part, seul le fait de fuite est enregistré.
Rapports
Tout ce qui a été fait ci-dessus doit être étayé par diverses statistiques et informations générales sur le niveau de préparation des employés. Il existe une section « Rapports » distincte pour le suivi.
Il comprend:
-
Un rapport de formation reflétant des informations sur les résultats de l'achèvement du cours au cours de la période de référence.
-
Rapport d'attaque montrant les résultats des attaques de phishing (nombre d'incidents, répartition temporelle, etc.).
-
Un rapport d'avancement de la formation montrant les progrès de vos employés.
-
Rapport sur la dynamique des vulnérabilités de phishing (informations récapitulatives sur les incidents).
-
Rapport analytique (réaction des employés aux événements avant/après).
Travailler avec un rapport
1) Exécutez « Générer un rapport ».
2) Spécifiez le service/les employés pour générer le rapport.
3) Sélectionnez une période
4) Nous vous indiquerons les cours qui vous intéressent
5) Générer un rapport final
Ainsi, les rapports permettent d'afficher des statistiques sous une forme pratique et de surveiller les résultats du portail de formation, ainsi que le comportement des employés.
Automatisation de la formation
Il convient également de mentionner la possibilité de créer des règles automatiques qui aideront les administrateurs à configurer la logique de Phishman.
Écrire un script automatique
Pour configurer, vous devez vous rendre dans la section « Règles ». On nous propose :
1) Spécifiez un nom et définissez l'heure de vérification de la condition.
2) Créez un événement basé sur une des sources (Phishing, Formation, Utilisateurs), s'il y en a plusieurs, alors vous pouvez utiliser l'opérateur logique (AND/OR).
Dans notre exemple, nous avons créé la règle suivante : « Si un utilisateur clique sur un lien malveillant issu d'une de nos attaques de phishing, il sera automatiquement inscrit à une formation, en conséquence, il recevra une invitation par email et la progression commencera. à suivre.
Facultatif:
—> Il existe un support pour créer diverses règles par source (DLP, SIEM, Antivirus, services RH, etc.).
Scénario : « Si un utilisateur envoie des informations sensibles, le DLP enregistre l'événement et envoie les données à Phishman, où la règle est déclenchée : attribuer un cours à un employé sur l'utilisation d'informations confidentielles. »
Ainsi, l'administrateur peut réduire certains processus de routine (envoyer des employés en formation, mener des attaques planifiées, etc.).
Au lieu d'une conclusion
Aujourd'hui, nous avons découvert la solution russe permettant d'automatiser le processus de test et de formation des employés. Il aide à préparer l'entreprise à la conformité à la loi fédérale 187, PCI DSS, ISO 27001. Les avantages de la formation via Phishman incluent :
-
Personnalisation des cours - la possibilité de modifier le contenu des cours ;
-
Branding - créer une plateforme numérique selon les normes de votre entreprise ;
-
Travaillez hors ligne - installation sur votre propre serveur ;
-
Automatisation - création de règles (scénarios) pour les employés ;
-
Reporting - statistiques sur les événements d'intérêt ;
-
Flexibilité des licences - prise en charge à partir de 10 utilisateurs.
Si cette solution vous intéresse, vous pouvez toujours contacter , nous vous aiderons à organiser le projet pilote et vous conseillerons en collaboration avec les représentants de Phishman. C'est tout pour aujourd'hui, apprenez par vous-même et formez vos collaborateurs, à la prochaine fois !
Source: habr.com