2. 情報セキュリティの基礎に関するユーザーのトレーニング。 フィッシュマン

私たちは引き続き、フィッシングと闘い、ソーシャル エンジニアリングの基礎を学び、スタッフのトレーニングを忘れない世界を紹介していきます。 今日のゲストは Phishman 製品です。 これは TS Solution のパートナーの XNUMX つで、従業員のテストとトレーニングのための自動システムを提供しています。 そのコンセプトについて簡単に説明すると、

• 特定の従業員のトレーニングのニーズを特定します。

• トレーニングポータルを通じて従業員向けに実践的および理論的なコースを提供します。

• システム運用のための柔軟な自動化システム。

製品導入

会社 フィッシュマン 2016 年からは、サイバーセキュリティ分野における大企業の従業員向けのテストおよびトレーニング システムに関連するソフトウェアの開発を行っています。 顧客の中には、金融、保険、商社、原材料、そして M.Video から Rosatom までの大手産業など、さまざまな業界の代表者がいます。

推奨される解決策

Phishman はさまざまな企業 (中小企業から大企業まで) と協力しており、当初は従業員が 10 名あれば十分です。 価格設定とライセンス ポリシーを考えてみましょう。

1. 中小企業の場合:

   A） フィッシュマンライト — 従業員数 10 人から 249 人までの製品バージョンで、ライセンスの開始価格は 875 ルーブルです。 情報収集 (フィッシングメールのテスト送信)、トレーニング (情報セキュリティに関する 3 つの基本コース)、自動化 (一般的なテスト モードのセットアップ) の主要モジュールが含まれています。

   B） フィッシュマンスタンダード — 従業員数 10 人から 999 人までのバージョンの製品で、ライセンスの開始価格は 1120 ルーブルです。 Lite バージョンとは異なり、企業の AD サーバーと同期する機能があり、トレーニング モジュールには 5 つのコースが含まれています。

2. 大企業の場合:

   A） フィッシュマンエンタープライズ — このソリューションでは従業員数に制限はなく、顧客やビジネスのニーズに合わせてコースを調整できる機能を備え、あらゆる規模の企業に情報セキュリティ分野における従業員の意識を高めるための包括的なプロセスを提供します。 AD、SIEM、DLP システムとの同期により、従業員に関する情報を収集し、トレーニングが必要なユーザーを特定できます。 既存の遠隔学習システム (DLS) との統合がサポートされており、サブスクリプション自体には 7 つの基本的な IS コース、4 つの上級コース、および 3 つのゲームコースが含まれています。 USB ドライブ (フラッシュ カード) を使用した攻撃をトレーニングするための興味深いオプションもサポートされています。

   B） フィッシュマンエンタープライズ+ — 更新バージョンにはすべての Enterprise オプションが含まれており、(Phishman エンジニアの協力を得て) 独自のコネクタとレポートを開発することが可能になります。

   したがって、この製品は特定のビジネスのタスクに合わせて柔軟にカスタマイズでき、既存の情報セキュリティ トレーニング システムに統合できます。

システムについて知る

この記事を書くために、次の特性を持つレイアウトをデプロイしました。

1. Ubuntu サーバー バージョン 16.04 以降。

2. 4 GB RAM、50 GB ハード ドライブ容量、1 GHz 以上のクロック速度のプロセッサ。

3. DNS、AD、MAIL の役割を持つ Windows サーバー。

一般に、このセットは標準であり、特に原則としてすでに AD サーバーがあることを考慮すると、多くのリソースは必要ありません。 デプロイ時に、Docker コンテナーがインストールされ、管理および学習ポータルへのアクセスが自動的に構成されます。

スポイラーの下には、Fishman を使用した典型的なネットワーク図があります。

典型的なネットワーク図

次に、システム インターフェイス、管理機能、そしてもちろん機能について説明します。

管理ポータルにログインする

Phishman 管理ポータルは、会社の部門と従業員のリストを管理するために使用されます。 （訓練の一環として）フィッシングメールを送信することで攻撃を開始し、結果はレポートにまとめられます。 システムの展開時に指定した IP アドレスまたはドメイン名を使用してアクセスできます。

Phishman ポータルでの認証

メイン ページでは、従業員に関する統計を含む便利なウィジェットにアクセスできます。

Phishman ポータルのホームページ

インタラクションのために従業員を追加する

メインメニューからセクションに移動できます "従業員", ここには、部門ごとに分類された全社員のリストがあります (手動または AD 経由)。 データを管理するためのツールが含まれており、担当者に合わせた仕組みを構築することが可能です。

ユーザーコントロールパネル従業員作成カード

オプション： AD との統合が利用できるため、新入社員のトレーニング プロセスを簡単に自動化し、一般的な統計を維持できます。

社員研修の開始

会社の従業員に関する情報を追加したら、従業員をトレーニング コースに参加させることができます。 役立つ場合:

• 新入社員。

• 計画されたトレーニング。

• 緊急コース（情報フィードがあるため、警告する必要があります）。

録画は、個々の従業員と部門全体の両方が利用できます。

研修コースの編成

オプションはどこにありますか:

• 研究グループを結成する（ユーザーを集める）。

• トレーニングコースの選択（ライセンスに応じた量）。

• アクセス (永続的または日付が示された一時的)。

重要！

初めてコースに登録すると、従業員はトレーニング ポータルへのログイン情報が記載された電子メールを受け取ります。 招待状インターフェイスはテンプレートであり、お客様の裁量で変更できます。

勉強への招待状のサンプル

リンクをたどると、従業員はトレーニング ポータルに移動し、そこで従業員の進捗状況が自動的に記録され、Phishman 管理者の統計に表示されます。

ユーザー立ち上げコースの例

攻撃パターンの操作

テンプレートを使用すると、ソーシャル エンジニアリングに重点を置いた、対象を絞った教育用フィッシング メールを送信できます。

セクション「テンプレート」

テンプレートはカテゴリ内にあります。例:

さまざまなカテゴリからの組み込みテンプレートの検索タブ

有効性に関する情報など、既製のテンプレートのそれぞれに関する情報があります。

Twitter ニュースレターのテンプレートの例

独自のテンプレートを作成する便利な機能についても言及する価値があります。レターのテキストをコピーするだけで、自動的に HTML コードに変換されます。

注意：

内容に戻ったら 1件の記事、その後、フィッシング攻撃を準備するためにテンプレートを手動で選択する必要がありました。 Phishman Enterprise ソリューションには多数の統合テンプレートがあり、独自のテンプレートを作成するための便利なツールがサポートされています。 さらに、ベンダーは顧客を積極的にサポートし、独自のテンプレートの追加を支援します。これははるかに効果的であると考えられます。  

一般的なセットアップとヘルプ

「設定」セクションでは、Phishman システム パラメータが現在のユーザーのアクセス レベルに応じて変化します (レイアウトの制限のため、完全には利用できませんでした)。

「設定」セクションのインターフェース

構成オプションを簡単にリストしてみましょう。

• ネットワークパラメータ (メールサーバーアドレス、ポート、暗号化、認証);

• トレーニング システムの選択 (他の LMS との統合がサポートされています)。

• 提出およびトレーニングのテンプレートを編集する。

• 電子メール アドレスのブラックリスト (会社の管理者などにとって、フィッシング メールへの参加を排除する重要な機会)。

• ユーザー管理 (アクセスアカウントの作成、編集);

• 更新（ステータスとスケジュールの表示）。

管理者にとって「ヘルプ」セクションは便利です。このセクションでは、Phishman の操作に関する詳細な分析を含むユーザー マニュアル、サポート サービスのアドレス、およびシステム ステータスに関する情報にアクセスできます。

「ヘルプ」セクションのインターフェースシステムステータス情報

攻撃とトレーニング

基本的なオプションとシステム設定を確認した後、トレーニング攻撃を実行します。このために「攻撃」セクションを開きます。

コントロールパネルインターフェースを攻撃する

その中で、すでに開始された攻撃の結果を把握したり、新しい攻撃を作成したりすることができます。 キャンペーンを開始する手順を説明します。

攻撃を開始する

1) 新しい攻撃を「データ漏洩」と呼びましょう。

次の設定を定義しましょう。

ここで：

送信者 → メール送信ドメインが表示されます (デフォルトではベンダーから提供されます)。

フィッシングフォーム → は、ユーザーからデータを取得しようとするテンプレート内で使用されますが、入力した事実のみが記録され、データは保存されません。

着信転送 → ユーザーが移動した後、ページへのリダイレクトが示されます。

2) 配布段階で攻撃伝播モードが示される

ここで：

攻撃タイプ → 攻撃がどのように、どの時間帯に発生するかを示します。 （オプションには偏在モード等が含まれます）

郵送開始時間 →メッセージ送信開始時刻が表示されます。

3）「目標」の段階で部門別または個人ごとに従業員を明示

4) その後、すでに触れた攻撃パターンを示します。

したがって、攻撃を開始するには次のことが必要でした。

a) 攻撃パターンを作成する。

b) 配布モードを示します。

c) 目標を選択する。

d) フィッシングメールのテンプレートを特定する。

攻撃結果の確認

当初は以下のものがありました:

ユーザー側からは、新しい電子メール メッセージが表示されます。

それを開いた場合:

リンクをクリックすると、電子メール情報の入力を求められます。

同時に、攻撃統計も見てみましょう。

重要！

Phishman のポリシーは規制および倫理基準に厳密に従っているため、ユーザーが入力したデータはどこにも保存されず、漏洩の事実のみが記録されます。

レポート

上記で行われたことはすべて、従業員の準備レベルに関するさまざまな統計と一般的な情報によって裏付けられる必要があります。 監視用に別の「レポート」セクションがあります。

以下が含まれます。

• レポート期間内にコースを完了した結果に関する情報を反映したトレーニング レポート。

• フィッシング攻撃の結果（インシデント数、時間分布など）を示す攻撃レポート。

• 従業員の進捗状況を示すトレーニング進捗レポート。

• フィッシング脆弱性のダイナミクスに関するレポート (インシデントに関する概要情報)。

• 分析レポート (イベントの前後の従業員の反応)。

レポートの操作

1) 「レポートの生成」を実行します。

2) レポートを生成する部門/従業員を指定します。

3) 期間を選択します

4) ご希望のコースをご案内いたします

5) 最終レポートの作成

したがって、レポートは統計を便利な形式で表示し、トレーニング ポータルの結果や従業員の行動を監視するのに役立ちます。

トレーニングの自動化

管理者が Phishman のロジックを構成するのに役立つ自動ルールを作成する機能についても言及する価値があります。

自動スクリプトの作成

設定するには、「ルール」セクションに移動する必要があります。 私たちは以下を提供します:

1) 名前を指定し、状態を確認する時間を設定します。

2) ソース (フィッシング、トレーニング、ユーザー) の XNUMX つに基づいてイベントを作成します。ソースが複数ある場合は、論理演算子 (AND / OR) を使用できます。 

この例では、次のルールを作成しました。「ユーザーがフィッシング攻撃のいずれかによる悪意のあるリンクをクリックすると、ユーザーは自動的にトレーニング コースに登録され、それに応じて電子メールで招待状が届き、進行が開始されます。」追跡されること。

オプション：

—> ソース別のさまざまなルールの作成がサポートされています (DLP、SIEM、ウイルス対策、HR サービスなど)。 

シナリオ: 「ユーザーが機密情報を送信すると、DLP はイベントを記録し、データを Phishman に送信します。そこでルールがトリガーされます。機密情報の取り扱いに関するコースを従業員に割り当てます。」

したがって、管理者は日常的なプロセスの一部 (従業員をトレーニングに派遣する、計画的な攻撃を実行するなど) を削減できます。

代わりに、結論の

今日、私たちは従業員のテストとトレーニングのプロセスを自動化するためのロシアのソリューションを知りました。 これは、企業が連邦法 187、PCI DSS、ISO 27001 に準拠する準備を整えるのに役立ちます。Phishman を通じたトレーニングの利点は次のとおりです。

• コースのカスタマイズ - コースの内容を変更する機能。

• ブランディング - 企業基準に従ってデジタル プラットフォームを作成します。

• オフラインで作業 - 自分のサーバーにインストールします。

• 自動化 - 従業員向けのルール (シナリオ) の作成。

• レポート - 関心のあるイベントに関する統計。

• ライセンスの柔軟性 - 10 ユーザーからのサポート。 

このソリューションに興味がある場合は、いつでもご連絡ください。 私たち、私たちはパイロットの組織化を支援し、Phishman の代表者とともにアドバイスを提供します。 今日はここまでです。自分で学び、従業員をトレーニングしてください。また次回お会いしましょう。

出所： habr.com