1. Vartotojų mokymas informacijos saugos pagrindų. Kova su sukčiavimu
Šiandien tinklo administratorius ar informacijos saugos inžinierius skiria daug laiko ir pastangų, kad apsaugotų įmonės tinklo perimetrą nuo įvairių grėsmių, įsisavindamas naujas įvykių prevencijos ir stebėjimo sistemas, tačiau net ir tai negarantuoja visiško saugumo. Užpuolikai aktyviai naudoja socialinę inžineriją ir gali turėti rimtų pasekmių.
Ar dažnai pagaudavote save galvojant: „Būtų malonu surengti personalo informacinio saugumo raštingumo testą“? Deja, mintys įsirėžia į nesusipratimų sieną dėl didelio užduočių skaičiaus arba riboto darbo dienos laiko. Planuojame papasakoti apie modernius produktus ir technologijas personalo mokymo automatizavimo srityje, kurių pilotavimui ar įgyvendinimui nereikės ilgų mokymų, o apie viską tvarkingai.
Teorinis pagrindas
Šiandien daugiau nei 80 % kenkėjiškų failų platinami el. paštu (duomenys paimti iš praėjusių metų „Check Point“ specialistų ataskaitų naudojant „Intelligence Reports“ paslaugą).
Ataskaita už pastarąsias 30 dienų apie kenkėjiškų failų platinimo atakos vektorių (Rusija) – Check Point
Tai rodo, kad el. pašto pranešimų turinys yra gana pažeidžiamas užpuolikams. Jei atsižvelgsime į populiariausius kenkėjiškų failų formatus prieduose (EXE, RTF, DOC), verta paminėti, kad juose, kaip taisyklė, yra automatiniai kodo vykdymo elementai (scenarijai, makrokomandos).
Metinė ataskaita apie gautų kenkėjiškų pranešimų failų formatus – Check Point
Kaip susidoroti su šiuo atakos vektoriumi? Pašto tikrinimas apima saugos įrankių naudojimą:
antivirusinė — parašo grėsmių aptikimas.
Emuliacija - smėlio dėžė, su kuria priedai atidaromi izoliuotoje aplinkoje.
Turinio žinomumas - aktyvių elementų ištraukimas iš dokumentų. Vartotojas gauna išvalytą dokumentą (dažniausiai PDF formatu).
Ir teoriškai to pakanka, tačiau yra dar vienas ne mažiau vertingas įmonei šaltinis - įmonės ir asmeniniai darbuotojų duomenys. Pastaraisiais metais šių sukčiavimo internete rūšių populiarumas aktyviai auga:
Sukčiavimas (angl. phishing, iš žvejybos – žvejyba, žvejyba) – sukčiavimo internete rūšis. Jo tikslas – gauti vartotojo identifikavimo duomenis. Tai apima slaptažodžių, kredito kortelių numerių, banko sąskaitų ir kitos neskelbtinos informacijos vagystę.
Užpuolikai tobulina sukčiavimo atakų metodus, nukreipia DNS užklausas iš populiarių svetainių ir pradeda ištisas kampanijas naudodami socialinę inžineriją el. laiškams siųsti.
Taigi, norint apsaugoti įmonės el. paštą nuo sukčiavimo, rekomenduojama naudoti du būdus, o jų derinys leidžia pasiekti geriausių rezultatų:
Techninės apsaugos priemonės. Kaip minėta anksčiau, tik teisėtiems laiškams tikrinti ir persiųsti naudojamos įvairios technologijos.
Teorinis personalo mokymas. Jį sudaro išsamus personalo patikrinimas siekiant nustatyti galimas aukas. Tada jie perkvalifikuojami ir nuolat fiksuojama statistika.
Nepasitikėk ir patikrink
Šiandien kalbėsime apie antrąjį būdą apsisaugoti nuo sukčiavimo atakų, ty automatizuotą personalo mokymą, siekiant padidinti bendrą įmonės ir asmens duomenų saugumo lygį. Kodėl tai gali būti taip pavojinga?
socialinė inžinerija — psichologinė manipuliacija žmonėmis, siekiant atlikti tam tikrus veiksmus ar atskleisti konfidencialią informaciją (susijusią su informacijos saugumu).
Pažvelkime į smagią schemą, kurioje trumpai aprašoma sukčiavimo kampanijos kelionė. Jis turi skirtingus etapus:
Pirminių duomenų rinkimas.
XXI amžiuje sunku rasti žmogų, kuris nėra užsiregistravęs jokiame socialiniame tinkle ar įvairiuose teminiuose forumuose. Natūralu, kad daugelis iš mūsų palieka išsamią informaciją apie save: esamą darbo vietą, grupę kolegoms, telefoną, paštą ir kt. Pridėkite prie šios suasmenintos informacijos apie asmens pomėgius ir turėsite duomenų, kad sudarytumėte sukčiavimo šabloną. Net jei mums nepavyktų rasti žmonių, turinčių tokią informaciją, visada yra įmonės svetainė, kurioje galime rasti visą mus dominančią informaciją (domeno el. paštą, kontaktus, ryšius).
Kampanijos pradžia.
Sukūrę trampliną, galite naudoti nemokamus arba mokamus įrankius ir pradėti tikslinę sukčiavimo kampaniją. Siuntimo metu kaupsite statistiką: paštas pristatytas, atidarytas paštas, paspaustos nuorodos, įvesti kredencialai ir kt.
Produktai rinkoje
Sukčiavimu gali naudotis tiek užpuolikai, tiek įmonės informacijos saugos darbuotojai, kad galėtų atlikti nuolatinį darbuotojų elgesio auditą. Ką mums siūlo nemokamų ir komercinių sprendimų, skirtų automatizuotai įmonės darbuotojų mokymo sistemai, rinka:
„GoPhish“. yra atvirojo kodo projektas, leidžiantis įdiegti sukčiavimo kampaniją, kad patikrintumėte savo darbuotojų IT raštingumą. Privalumais laikyčiau diegimo paprastumą ir minimalius sistemos reikalavimus. Trūkumai yra tai, kad trūksta paruoštų pašto šablonų, trūksta testų ir mokymo medžiagos darbuotojams.
„KnowBe4“ — svetainę, kurioje yra daug produktų, skirtų testuojantiems darbuotojams.
Žygis — automatizuota darbuotojų testavimo ir mokymo sistema. Turi įvairių produktų versijų, kuriose dirba nuo 10 iki daugiau nei 1000 darbuotojų. Mokymo kursai apima teoriją ir praktines užduotis, galima nustatyti poreikius pagal statistiką, gautą po sukčiavimo kampanijos. Sprendimas yra komercinis su galimybe bandomuoju naudojimu.
Apsauga nuo sukčiavimo — automatizuota mokymo ir saugumo stebėjimo sistema. Komercinis produktas siūlo periodines mokymo atakas, darbuotojų mokymus ir kt. Kampanija siūloma kaip demonstracinė produkto versija, kuri apima šablonų diegimą ir trijų mokymo atakų vykdymą.
Minėti sprendimai yra tik dalis automatizuoto personalo mokymo rinkoje siūlomų produktų. Žinoma, kiekvienas turi savų privalumų ir trūkumų. Šiandien mes susipažinsime su „GoPhish“., imituoti sukčiavimo ataką ir ištirti galimas parinktis.
„GoPhish“.
Taigi, laikas treniruotis. GoPhish pasirinktas neatsitiktinai: tai patogus įrankis, turintis šias funkcijas:
Supaprastintas montavimas ir paleidimas.
REST API palaikymas. Leidžia kurti užklausas iš dokumentacija ir taikyti automatizuotus scenarijus.
Patogi grafinė valdymo sąsaja.
Cross-platform.
Kūrimo komanda paruošė puikų гайд apie „GoPhish“ diegimą ir konfigūravimą. Tiesą sakant, viskas, ką jums reikia padaryti, tai eiti į saugykla, atsisiųskite atitinkamos OS ZIP archyvą, paleiskite vidinį dvejetainį failą, po kurio įrankis bus įdiegtas.
SVARBI PASTABA!
Dėl to terminale turėtumėte gauti informaciją apie įdiegtą portalą, taip pat autorizacijos duomenis (taikoma senesnėms nei 0.10.1 versijoms). Nepamirškite apsisaugoti slaptažodžio!
msg="Please login with the username admin and the password <ПАРОЛЬ>"
„GoPhish“ sąrankos supratimas
Po įdiegimo programos kataloge bus sukurtas konfigūracijos failas (config.json). Apibūdinkime jo keitimo parametrus:
Raktas
Vertė (numatytasis)
aprašymas
admin_server.listen_url
127.0.0.1:3333
„GoPhish“ serverio IP adresas
admin_server.use_tls
klaidingas
Ar TLS naudojamas prisijungti prie GoPhish serverio
admin_server.cert_path
pavyzdys.crt
Kelias į „GoPhish“ administravimo portalo SSL sertifikatą
admin_server.key_path
pavyzdys.raktas
Kelias į privatų SSL raktą
phish_server.listen_url
0.0.0.0:80
IP adresas ir prievadas, kuriame priglobtas sukčiavimo puslapis (pagal numatytuosius nustatymus jis priglobtas pačiame „GoPhish“ serveryje, naudojant 80 prievadą)
—> Eikite į valdymo portalą. Mūsų atveju: https://127.0.0.1:3333
—> Jūsų bus paprašyta gana ilgą slaptažodį pakeisti į paprastesnį arba atvirkščiai.
Siuntėjo profilio kūrimas
Eikite į skirtuką „Siuntimo profiliai“ ir pateikite informaciją apie vartotoją, iš kurio bus siunčiami mūsų laiškai:
Kur:
Vardas
Siuntėjo vardas
Kaina nuo
Siuntėjo el
Priimančioji
Pašto serverio, iš kurio bus klausomasi gaunamų laiškų, IP adresas.
Vartotojo vardas
Pašto serverio vartotojo abonemento prisijungimas.
Slaptažodis
Pašto serverio vartotojo abonemento slaptažodis.
Taip pat galite išsiųsti bandomąjį pranešimą, kad užtikrintumėte sėkmingą pristatymą. Išsaugokite nustatymus naudodami mygtuką „Išsaugoti profilį“.
Gavėjų grupės sukūrimas
Tada turėtumėte sudaryti „grandinių laiškų“ gavėjų grupę. Eikite į „Vartotojas ir grupės“ → „Nauja grupė“. Yra du būdai pridėti: rankiniu būdu arba importuoti CSV failą.
Kai nustatome įsivaizduojamą užpuoliką ir galimas aukas, turime sukurti šabloną su pranešimu. Norėdami tai padaryti, eikite į skyrių „El. pašto šablonai“ → „Nauji šablonai“.
Formuojant šabloną naudojamas techninis ir kūrybiškas požiūris, turi būti nurodytas pranešimas iš tarnybos, kuris bus žinomas nukentėjusiems vartotojams arba sukels tam tikrą reakciją. Galimi variantai:
Vardas
Šablono pavadinimas
Tema
Laiško tema
Tekstas/HTML
Laukas tekstui arba HTML kodui įvesti
„Gophish“ palaiko raidžių importavimą, bet mes sukursime savo. Norėdami tai padaryti, imituojame scenarijų: įmonės vartotojas gauna laišką, kuriame prašoma pakeisti slaptažodį iš savo įmonės el. Tada išanalizuokime jo reakciją ir pažvelkime į mūsų „laimikį“.
Šablone naudosime integruotus kintamuosius. Daugiau informacijos rasite aukščiau vadovas skyrius Šablono nuoroda.
Pirmiausia įkelkime šį tekstą:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT Team
Atitinkamai bus automatiškai įvestas vartotojo vardas (pagal anksčiau nurodytą elementą „Nauja grupė“) ir nurodomas jo pašto adresas.
Tada turėtume pateikti nuorodą į mūsų sukčiavimo išteklius. Norėdami tai padaryti, tekste pažymėkite žodį „čia“ ir valdymo skydelyje pasirinkite parinktį „Nuoroda“.
URL nustatysime į integruotą kintamąjį {{.URL}}, kurį užpildysime vėliau. Jis bus automatiškai įterptas į sukčiavimo el. laiško tekstą.
Prieš išsaugodami šabloną, nepamirškite įjungti parinkties „Pridėti stebėjimo vaizdą“. Taip bus pridėtas 1x1 pikselio medijos elementas, kuris stebės, ar vartotojas atidarė el. laišką.
Taigi, liko nedaug, bet pirmiausia apibendrinsime reikiamus veiksmus prisijungę prie Gophish portalo:
Sukurti siuntėjo profilį;
Sukurkite paskirstymo grupę, kurioje nurodysite vartotojus;
Sukurkite sukčiavimo el. pašto šabloną.
Sutikite, sąranka neužtruko daug laiko ir mes beveik pasiruošę pradėti kampaniją. Belieka pridėti sukčiavimo puslapį.
Sukurti sukčiavimo puslapį
Eikite į skirtuką „Nukreipimo puslapiai“.
Būsime paraginti nurodyti objekto pavadinimą. Galima importuoti šaltinio svetainę. Mūsų pavyzdyje bandžiau nurodyti veikiantį pašto serverio interneto portalą. Atitinkamai, jis buvo importuotas kaip HTML kodas (nors ir ne visiškai). Toliau pateikiamos įdomios vartotojo įvesties fiksavimo parinktys:
Užfiksuokite pateiktus duomenis. Jei nurodytame svetainės puslapyje yra įvairių įvesties formų, visi duomenys bus įrašomi.
Capture Passwords – užfiksuoti įvestus slaptažodžius. Duomenys įrašomi į „GoPhish“ duomenų bazę be šifravimo.
Be to, galime naudoti parinktį „Peradresuoti į“, kuri, įvedus kredencialus, nukreips vartotoją į nurodytą puslapį. Leiskite jums priminti, kad nustatėme scenarijų, kai vartotojas raginamas pakeisti įmonės el. pašto slaptažodį. Norėdami tai padaryti, jam siūlomas netikro pašto autorizavimo portalo puslapis, po kurio vartotojas gali būti išsiųstas į bet kurį turimą įmonės šaltinį.
Nepamirškite išsaugoti užpildyto puslapio ir eikite į skyrių „Nauja kampanija“.
„GoPhish“ žvejybos pradžia
Suteikėme visą reikiamą informaciją. Skirtuke „Nauja kampanija“ sukurkite naują kampaniją.
Kampanijos pradžia
Kur:
Vardas
Kampanijos pavadinimas
El. Pašto šablonas
Pranešimo šablonas
Nukreipimo puslapis
Sukčiavimo puslapis
URL adresas
„GoPhish“ serverio IP (turi būti pasiekiamas tinkle su aukos priegloba)
Paleidimo data
Kampanijos pradžios data
Siųsti el
Kampanijos pabaigos data (pašto siuntimas paskirstytas tolygiai)
Siuntimo profilis
Siuntėjo profilis
Grupės
Pašto gavėjų grupė
Po starto visada galime susipažinti su statistika, kurioje nurodoma: išsiųstos žinutės, atidarytos žinutės, nuorodų paspaudimai, palikti duomenys perkelti į nepageidaujamą el.
Iš statistikos matome, kad išsiųsta 1 žinutė, patikrinkime paštą iš gavėjo pusės:
Iš tiesų, auka sėkmingai gavo sukčiavimo el. laišką, kuriame buvo prašoma paspausti nuorodą ir pakeisti įmonės paskyros slaptažodį. Atliekame prašomus veiksmus, esame nukreipiami į nukreipimo puslapius, o kaip su statistika?
Dėl to mūsų vartotojas spustelėjo sukčiavimo nuorodą, kurioje galėjo palikti savo paskyros informaciją.
Autoriaus pastaba: duomenų įvedimo procesas nebuvo užfiksuotas, nes buvo naudojamas bandomasis išdėstymas, tačiau tokia galimybė yra. Tačiau turinys nėra užšifruotas ir yra saugomas „GoPhish“ duomenų bazėje, atminkite tai.
Vietoj išvados
Šiandien palietėme aktualią temą apie automatizuotų darbuotojų mokymų vedimą, siekiant apsaugoti juos nuo sukčiavimo atakų ir ugdyti IT raštingumą. „Gophish“ buvo įdiegtas kaip prieinamas sprendimas, kuris parodė gerus diegimo laiko ir rezultatų rezultatus. Naudodami šį prieinamą įrankį galite patikrinti savo darbuotojus ir generuoti ataskaitas apie jų elgesį. Jei jus domina šis produktas, siūlome pagalbą diegiant ir tikrinant jūsų darbuotojus ([apsaugotas el. paštu]).
Tačiau neketiname apžvelgti vieno sprendimo ir planuojame tęsti ciklą, kuriame kalbėsime apie Enterprise sprendimus, skirtus mokymo proceso automatizavimui ir darbuotojų saugumo stebėjimui. Likite su mumis ir būkite budrūs!