ProHoster > Blog > Stjórnsýsla > 1. Þjálfa notendur í undirstöðuatriðum upplýsingaöryggis. Berjast gegn vefveiðum
1. Þjálfa notendur í undirstöðuatriðum upplýsingaöryggis. Berjast gegn vefveiðum
Í dag eyðir netkerfisstjóri eða upplýsingaöryggisverkfræðingur miklum tíma og fyrirhöfn í að vernda jaðar fyrirtækjanets fyrir ýmsum ógnum, ná tökum á nýjum kerfum til að koma í veg fyrir og fylgjast með atburðum, en jafnvel það tryggir honum ekki fullkomið öryggi. Félagsverkfræði er virkt af árásarmönnum og getur haft alvarlegar afleiðingar.
Hversu oft hefur þú lent í því að hugsa: „Það væri gaman að útvega ávísun fyrir starfsfólk fyrir læsi á upplýsingaöryggi“? Því miður rekast hugsanir á vegg misskilnings í formi fjölda verkefna eða takmarkaðan tíma vinnudagsins. Við ætlum að segja þér frá nútímavörum og tækni á sviði sjálfvirkni þjálfunar starfsfólks, sem mun ekki krefjast langan undirbúnings fyrir tilraunastarfsemi eða framkvæmd, en fyrst og fremst.
Fræðilegur grunnur
Í dag er meira en 80% illgjarnra skráa dreift með pósti (gögn tekin úr skýrslum Check Point sérfræðinga á síðasta ári með því að nota Intelligence Reports þjónustuna).
Vektorskýrsla um illgjarn skráaárás (Rússland) - Check Point
Þetta bendir til þess að efnið í tölvupósti sé nógu viðkvæmt til að árásarmenn geti nýtt sér það. Ef við lítum á vinsælustu illgjarna skráarsniðin í viðhengjum (EXE, RTF, DOC), þá er rétt að hafa í huga að þau innihalda venjulega sjálfvirka kóða keyrslu þætti (forskriftir, fjölvi).
Ársskýrsla um skráarsnið í mótteknum skaðlegum skilaboðum - Check Point
Hvernig á að takast á við þennan árásarvektor? Að athuga póst er að nota öryggisverkfæri:
Antivirus — Undirskriftargreining hótana.
Kappgirni - sandkassi sem festingar eru opnaðar með í einangruðu umhverfi.
Innihaldsvitund — útdráttur virkra þátta úr skjölum. Notandinn fær hreinsað skjal (venjulega á PDF formi).
Gegn ruslpósti - athuga lén viðtakanda / sendanda fyrir orðspor.
Og í orði, þetta er nóg, en það er önnur jafn verðmæt auðlind fyrir fyrirtækið - fyrirtækja og persónulegar upplýsingar starfsmanna. Undanfarin ár hafa vinsældir eftirfarandi tegundar netsvika farið vaxandi:
Vefveiðar (Ensk phishing, frá veiði - veiði, veiði) - tegund netsvika. Tilgangur þess er að afla auðkennisgagna notenda. Þetta felur í sér að stela lykilorðum, kreditkortanúmerum, bankareikningum og öðrum viðkvæmum upplýsingum.
Árásarmenn eru að fullkomna vefveiðarárásir, beina DNS-beiðnum frá vinsælum síðum og beita heilum herferðum með því að nota félagslega verkfræði til að senda tölvupóst.
Þannig að til að vernda fyrirtækjapóstinn þinn gegn vefveiðum er mælt með tveimur aðferðum og að nota þær saman leiðir til besta árangurs:
Tæknileg verndarverkfæri. Eins og fyrr segir er ýmis tækni notuð til að athuga og framsenda einungis lögmætan póst.
Fræðileg þjálfun starfsfólks. Það felst í alhliða prófunum á starfsfólki til að bera kennsl á hugsanleg fórnarlömb. Ennfremur eru þeir endurmenntaðir, tölfræði er stöðugt skráð.
Ekki treysta og sannreyna
Í dag munum við tala um aðra nálgunina til að koma í veg fyrir phishing árásir, nefnilega sjálfvirka þjálfun starfsmanna til að auka heildaröryggi fyrirtækja og persónulegra gagna. Af hverju getur það verið svona hættulegt?
félagsverkfræði - sálræn meðferð á fólki til að framkvæma ákveðnar aðgerðir eða birta trúnaðarupplýsingar (í tengslum við upplýsingaöryggi).
Skýringarmynd af dæmigerðri atburðarás fyrir dreifingu vefveiðaárása
Við skulum kíkja á skemmtilegt flæðirit sem sýnir stuttlega leiðina til að kynna vefveiðarherferð. Það hefur mismunandi stig:
Söfnun frumgagna.
Á 21. öldinni er erfitt að finna manneskju sem er ekki skráður á neinu samfélagsneti eða á ýmsum þemavettvangum. Mörg okkar skilja auðvitað eftir nákvæmar upplýsingar um okkur sjálf: vinnustað, hóp fyrir samstarfsmenn, síma, póst osfrv. Bættu við það persónulegum upplýsingum um áhugamál einstaklings og þú hefur gögnin til að mynda sniðmát fyrir vefveiðar. Jafnvel þótt ekki væri hægt að finna fólk með slíkar upplýsingar, þá er alltaf til heimasíða fyrirtækisins þar sem þú getur fundið allar upplýsingar sem við höfum áhuga á (lénspóstur, tengiliðir, tengingar).
Herferð hleypt af stokkunum.
Þegar fótfestan hefur verið sett upp geturðu sett af stað þína eigin markvissu vefveiðaherferð með ókeypis eða greiddum verkfærum. Á meðan á póstlistanum stendur munt þú safna tölfræði: póstsendingum, opnum pósti, smella á tengla, slá inn skilríki osfrv.
Vörur á markaðnum
Vefveiðar geta verið notaðar af bæði netglæpamönnum og starfsmönnum upplýsingaöryggis fyrirtækisins til að gera stöðuga úttekt á hegðun starfsmanna. Hvað býður markaðurinn okkur fyrir ókeypis og viðskiptalausnir fyrir sjálfvirkt þjálfunarkerfi fyrir starfsmenn fyrirtækisins:
GoPhish er opinn uppspretta verkefni sem gerir þér kleift að nota vefveiðafyrirtæki til að athuga upplýsingatæknilæsi starfsmanna þinna. Kostirnir sem ég myndi fela í sér eru auðveld uppsetning og lágmarkskerfiskröfur. Ókostirnir eru skortur á tilbúnum póstsniðmátum, skortur á prófum og þjálfunarefni fyrir starfsfólk.
KnowBe4 — vettvangur með miklum fjölda tiltækra vara til að prófa starfsfólk.
Phishman — sjálfvirkt kerfi til að prófa og þjálfa starfsmenn. Það hefur mismunandi útgáfur af vörum sem styðja frá 10 til meira en 1000 starfsmenn. Þjálfunarnámskeið innihalda fræði og verkleg verkefni, hægt er að greina þarfir út frá tölfræðinni sem fæst eftir vefveiðarátakið. Lausnin er viðskiptaleg með möguleika á reynslunotkun.
Antiphishing — sjálfvirkt þjálfunar- og öryggiseftirlitskerfi. Auglýsingavara býður upp á reglubundnar sýndarárásir, þjálfun starfsmanna osfrv. Sem kynningarútgáfa af vörunni er boðið upp á herferð sem felur í sér að dreifa sniðmátum og framkvæma þrjár þjálfunarárásir.
Ofangreindar lausnir eru aðeins hluti af þeim vörum sem fáanlegar eru á markaðnum fyrir sjálfvirka þjálfun starfsfólks. Auðvitað, hver hefur sína kosti og galla. Í dag munum við kynnast GoPhish, líktu eftir veiðiárás, skoðaðu valkostina sem eru í boði.
GoPhish
Svo það er kominn tími á æfingar. GoPhish var ekki valið af tilviljun: það er notendavænt tól með eftirfarandi eiginleikum:
Einfölduð uppsetning og ræsing.
REST API stuðningur. Gerir þér kleift að búa til beiðnir frá skjöl og beita sjálfvirkum forskriftum.
Þægilegt grafískt notendaviðmót.
Þverpallur.
Þróunarteymið hefur undirbúið frábært leiðarvísir um að dreifa og stilla GoPhish. Í raun þarftu aðeins að fara til geymsla, halaðu niður ZIP skjalasafninu fyrir samsvarandi stýrikerfi, keyrðu innri tvíundarskrána, eftir það verður tólið sett upp.
MIKILVÆGT ATHUGIÐ!
Fyrir vikið ættir þú að fá upplýsingar um uppbyggðu gáttina í flugstöðinni, svo og gögn fyrir heimild (viðeigandi fyrir útgáfur eldri en útgáfu 0.10.1). Ekki gleyma að vista lykilorðið þitt!
msg="Please login with the username admin and the password <ПАРОЛЬ>"
Að skilja GoPhish uppsetninguna
Eftir uppsetningu verður stillingarskrá (config.json) búin til í forritaskránni. Við skulum lýsa breytunum til að breyta því:
Lykill
Gildi (sjálfgefið)
Lýsing
admin_server.listen_url
127.0.0.1:3333
IP tölu GoPhish netþjóns
admin_server.use_tls
rangar
Er TLS notað til að tengjast GoPhish þjóninum
admin_server.cert_path
dæmi.crt
Slóð að SSL vottorðinu fyrir GoPhish Admin Portal
admin_server.key_path
dæmi.lykill
Slóð að einka SSL lykil
phish_server.listen_url
0.0.0.0:80
Vefveiðasíðu sem hýsir IP-tölu og gátt (hýst á GoPhish þjóninum sjálfum á gátt 80 sjálfgefið)
—> Farðu í stjórnunargáttina. Í okkar tilviki: https://127.0.0.1:3333
-> Þú verður beðinn um að breyta nægilega löngu lykilorði í einfaldara eða öfugt.
Að búa til sendandaprófíl
Farðu í flipann „Send snið“ og tilgreindu gögnin um notandann sem póstsendingin okkar verður send frá:
Hvar:
heiti
Nafn sendanda
Frá
Póstur sendanda
Host
IP tölu póstþjónsins sem hlustað verður á póstinn frá.
Notandanafn
Innskráning notandareiknings á póstþjóni.
Lykilorð
Lykilorðið fyrir notandareikning póstþjónsins.
Þú getur líka sent prufuskilaboð til að ganga úr skugga um að afhendingin hafi tekist. Vistaðu stillingarnar með því að nota "Vista prófíl" hnappinn.
Búðu til áfangastað
Næst ættir þú að mynda hóp viðtakenda „hamingjubréfa“. Farðu í „Notandi og hópar“ → „Nýr hópur“. Það eru tvær leiðir til að bæta við: handvirkt eða flytja inn CSV skrá.
Önnur aðferðin krefst þess að nauðsynlegir reitir séu til staðar:
Eftir að við höfum borið kennsl á ímyndaða árásarmanninn og hugsanleg fórnarlömb þurfum við að búa til skilaboðasniðmát. Til að gera þetta, farðu í hlutann „Tölvupóstsniðmát“ → „Ný sniðmát“.
Þegar sniðmát er mótað er tæknileg og skapandi nálgun notuð, þú ættir að tilgreina skilaboð frá þjónustunni sem verða kunnugleg notendum fórnarlambsins eða valda þeim ákveðnum viðbrögðum. Mögulegir valkostir:
heiti
Nafn sniðmáts
Efni
Efni bréfa
Texti/HTML
Reitur til að slá inn texta eða HTML kóða
Gophish styður innflutning á tölvupósti, en við munum búa til okkar eigin. Til að gera þetta líkjum við eftir atburðarás: fyrirtækisnotandi fær bréf með tillögu um að breyta lykilorðinu úr fyrirtækjapósti sínum. Næst greinum við viðbrögð hans og skoðum „aflann“ okkar.
Við munum nota innbyggðar breytur í sniðmátinu. Nánari upplýsingar er að finna hér að ofan leiðarvísir kafla Tilvísun sniðmáts.
Fyrst skulum við hlaða eftirfarandi texta:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT Team
Í samræmi við það verður notandanafninu sjálfkrafa skipt út (samkvæmt áður stilltum „Nýr hópur“ atriði) og póstfang hans verður gefið upp.
Næst ættum við að gefa upp tengil á vefveiðar okkar. Til að gera þetta skaltu velja orðið „hér“ í textanum og velja „Tengill“ valmöguleikann á stjórnborðinu.
Sem vefslóð munum við tilgreina innbyggðu breytuna {{.URL}} sem við munum fylla út síðar. Það verður sjálfkrafa fellt inn í meginmál vefveiðapóstsins.
Ekki gleyma að virkja valkostinn „Bæta við rakningarmynd“ áður en þú vistar sniðmátið. Þetta mun bæta við 1x1 pixla miðlunareiningu sem mun fylgjast með því þegar notandinn hefur opnað tölvupóstinn.
Svo það er ekki mikið eftir, en fyrst tökum við saman nauðsynleg skref eftir heimild á Gophish vefsíðunni:
Búðu til sendandaprófíl;
Búðu til dreifingarhóp þar sem á að tilgreina notendur;
Búðu til sniðmát fyrir phishing tölvupóst.
Sammála, uppsetningin tók ekki mikinn tíma og við erum næstum tilbúin að hefja herferðina okkar. Það á eftir að bæta við vefveiðasíðu.
Að búa til vefveiðisíðu
Farðu í flipann „Áfangasíður“.
Við verðum beðin um að tilgreina nafn hlutarins. Það er hægt að flytja inn upprunasíðuna. Í dæminu okkar reyndi ég að tilgreina virka vefgátt póstþjóns. Í samræmi við það var það flutt inn sem HTML kóða (að vísu ekki alveg). Eftirfarandi eru áhugaverðir valkostir til að fanga inntak notenda:
Handtaka innsend gögn. Ef tilgreind síða inniheldur ýmis inntaksform, þá verða öll gögn skráð.
Handtaka lykilorð - fanga innslögð lykilorð. Gögnin eru skrifuð í GoPhish gagnagrunninn án dulkóðunar eins og þau eru.
Að auki getum við notað „Beina til“ valkostinn, sem mun vísa notandanum á tilgreinda síðu eftir að hafa slegið inn skilríkin. Leyfðu mér að minna þig á að við höfum stillt atburðarás þegar notandinn er beðinn um að breyta lykilorðinu fyrir fyrirtækjapóst. Til að gera þetta er honum boðið upp á falsa síðu á póstheimildargáttinni, eftir það er hægt að senda notandann á hvaða tiltæku fyrirtæki sem er.
Ekki gleyma að vista útfyllta síðu og fara í hlutann „Ný herferð“.
Að hefja GoPhish-veiðar
Við höfum veitt allar nauðsynlegar upplýsingar. Búðu til nýja herferð á flipanum „Ný herferð“.
Herferð hleypt af stokkunum
Hvar:
heiti
Nafn herferðar
Sniðmát tölvupósts
Skilaboðasniðmát
Landing Page
Vefveiðar síða
URL
IP á GoPhish netþjóninum þínum (verður að hafa netaðgengi við gestgjafa fórnarlambsins)
Upphafsdagur
Upphafsdagur herferðar
Senda tölvupóst með
Lokadagsetning herferðar (póstsendingum er dreift jafnt)
Sendir prófíl
Sendandaprófíl
hópar
Hópur viðtakenda póstsendinga
Eftir byrjun getum við alltaf kynnt okkur tölfræðina sem gefur til kynna: send skilaboð, opin skilaboð, smellir á tengla, gögn eftir, flutningur í ruslpóst.
Af tölfræðinni sjáum við að 1 skilaboð voru send, við skulum athuga póstinn frá hlið viðtakandans:
Reyndar fékk fórnarlambið phishing tölvupóst þar sem hann var beðinn um að fylgja hlekknum til að breyta lykilorði fyrirtækjareikningsins. Við framkvæmum umbeðnar aðgerðir, við erum send á áfangasíðusíðuna, hvað með tölfræðina?
Þess vegna fylgdi notandi okkar vefveiðartengli þar sem hann gæti hugsanlega skilið eftir reikningsupplýsingarnar sínar.
Athugasemd höfundar: gagnafærsluferlið var ekki lagað vegna notkunar á prófunarútliti, en það er slíkur möguleiki. Á sama tíma er efnið ekki dulkóðað og er vistað í GoPhish gagnagrunninum, vinsamlega athugið þetta.
Í stað þess að niðurstöðu
Í dag komum við inn á það helsta mál að stunda sjálfvirka þjálfun fyrir starfsmenn til að vernda þá gegn vefveiðum og fræða þá um upplýsingatæknilæsi. Sem hagkvæm lausn var Gophish sett á vettvang, sem stóð sig vel hvað varðar dreifingartíma og árangur. Með þessu hagkvæma tóli geturðu athugað starfsmenn þína og búið til skýrslur um hegðun þeirra. Ef þú hefur áhuga á þessari vöru, bjóðum við aðstoð við að koma henni á framfæri og endurskoða starfsmenn þína ([netvarið]).
Við ætlum þó ekki að stoppa við endurskoðun á einni lausn og ætlum að halda áfram með hringrásina þar sem rætt verður um Enterprise lausnir til að gera sjálfvirkan námsferil og fylgjast með öryggi starfsmanna. Vertu hjá okkur og vertu vakandi!