1. Lietotāju apmācība informācijas drošības pamatos. Cīņa ar pikšķerēšanu

Mūsdienās tīkla administrators vai informācijas drošības inženieris velta daudz laika un pūļu, lai aizsargātu uzņēmuma tīkla perimetru no dažādiem draudiem, apgūstot jaunas sistēmas notikumu novēršanai un uzraudzībai, taču pat tas negarantē pilnīgu drošību. Uzbrucēji aktīvi izmanto sociālo inženieriju, un tai var būt nopietnas sekas.

Cik bieži esat pieķēris sevi pie domas: “Būtu jauki sarīkot personālam testu par informācijas drošības pratību”? Diemžēl domas ieskrienas pārpratumu sienā liela uzdevumu skaita vai ierobežota laika darba dienā veidā. Plānojam pastāstīt par mūsdienīgiem produktiem un tehnoloģijām personāla apmācības automatizācijas jomā, kuru pilotēšanai vai ieviešanai nebūs nepieciešamas ilgstošas ​​apmācības, bet gan par visu kārtībā.

Teorētiskais pamats

Mūsdienās vairāk nekā 80% ļaunprātīgo failu tiek izplatīti pa e-pastu (dati, kas iegūti no Check Point speciālistu ziņojumiem pēdējā gada laikā, izmantojot Intelligence Reports pakalpojumu).

Ziņojums par pēdējām 30 dienām par uzbrukuma vektoru ļaunprātīgu failu izplatīšanai (Krievija) — Check Point

Tas liek domāt, ka e-pasta ziņojumu saturs ir diezgan neaizsargāts pret uzbrucēju izmantošanu. Ja ņemam vērā vispopulārākos ļaunprātīgos failu formātus pielikumos (EXE, RTF, DOC), ir vērts atzīmēt, ka tie parasti satur automātiskus koda izpildes elementus (skriptus, makro).

Gada pārskats par failu formātiem saņemtajos ļaunprātīgajos ziņojumos - Check Point

Kā tikt galā ar šo uzbrukuma vektoru? Pasta pārbaude ietver drošības rīku izmantošanu: 

• antivīruss — draudu parakstu noteikšana.

• Sacensība - smilšu kaste, ar kuru izolētā vidē tiek atvērti pielikumi.

• Satura izpratne — aktīvo elementu iegūšana no dokumentiem. Lietotājs saņem iztīrītu dokumentu (parasti PDF formātā).

• AntiSpam — saņēmēja/sūtītāja domēna reputācijas pārbaude.

Un teorētiski ar to pietiek, taču uzņēmumam ir vēl viens tikpat vērtīgs resurss - darbinieku korporatīvie un personas dati. Pēdējos gados ir aktīvi pieaugusi šāda veida interneta krāpšanas popularitāte:

Pikšķerēšana (angļu pikšķerēšana, no makšķerēšanas - makšķerēšana, makšķerēšana) - interneta krāpšanas veids. Tās mērķis ir iegūt lietotāja identifikācijas datus. Tas ietver paroļu, kredītkaršu numuru, bankas kontu un citas sensitīvas informācijas zādzību.

Uzbrucēji uzlabo pikšķerēšanas uzbrukumu metodes, novirza DNS pieprasījumus no populārām vietnēm un uzsāk veselas kampaņas, izmantojot sociālo inženieriju, lai nosūtītu e-pastus. 

Tādējādi, lai aizsargātu savu korporatīvo e-pastu no pikšķerēšanas, ieteicams izmantot divas pieejas, un to kombinācija nodrošina vislabākos rezultātus:

1. Tehniskie aizsardzības instrumenti. Kā minēts iepriekš, tikai likumīgu pastu pārbaudei un pārsūtīšanai tiek izmantotas dažādas tehnoloģijas.

2. Personāla teorētiskā apmācība. Tas sastāv no visaptverošas personāla pārbaudes, lai identificētu potenciālos upurus. Tad viņi tiek pārkvalificēti un pastāvīgi tiek reģistrēta statistika.   

Neuzticieties un pārbaudiet

Šodien mēs runāsim par otro pieeju pikšķerēšanas uzbrukumu novēršanai, proti, automatizētu personāla apmācību, lai paaugstinātu kopējo korporatīvo un personas datu drošības līmeni. Kāpēc tas varētu būt tik bīstami?

sociālā inženierija — psiholoģiskas manipulācijas ar cilvēkiem, lai veiktu noteiktas darbības vai atklātu konfidenciālu informāciju (saistībā ar informācijas drošību).

Tipiska pikšķerēšanas uzbrukuma izvietošanas scenārija diagramma

Apskatīsim jautru blokshēmu, kas īsi raksturo pikšķerēšanas kampaņas gaitu. Tam ir dažādi posmi:

1. Primāro datu vākšana.

   21. gadsimtā ir grūti atrast cilvēku, kurš nav reģistrēts nevienā sociālajā tīklā vai dažādos tematiskos forumos. Protams, daudzi no mums atstāj detalizētu informāciju par sevi: pašreizējā darba vieta, kolēģu grupa, tālrunis, pasts utt. Pievienojiet šai personalizētajai informācijai par personas interesēm, un jums būs dati, lai izveidotu pikšķerēšanas veidni. Pat ja mēs nevaram atrast cilvēkus ar šādu informāciju, vienmēr ir uzņēmuma vietne, kurā mēs varam atrast visu mūs interesējošo informāciju (domēna e-pasts, kontakti, savienojumi).

2. Kampaņas uzsākšana.

   Kad esat izveidojis tramplīnu, varat izmantot bezmaksas vai maksas rīkus, lai uzsāktu savu mērķtiecīgu pikšķerēšanas kampaņu. Pasta nosūtīšanas laikā tiks uzkrāta statistika: pasts piegādāts, pasts atvērts, noklikšķinātas uz saitēm, ievadīti akreditācijas dati utt.

Produkti tirgū

Pikšķerēšanu var izmantot gan uzbrucēji, gan uzņēmuma informācijas drošības darbinieki, lai veiktu pastāvīgu darbinieku uzvedības auditu. Ko mums piedāvā uzņēmumu darbinieku automatizētās apmācības sistēmas bezmaksas un komerciālo risinājumu tirgus:

1. GoPhish ir atvērtā pirmkoda projekts, kas ļauj izvietot pikšķerēšanas kampaņu, lai pārbaudītu savu darbinieku IT pratību. Es uzskatu, ka priekšrocības ir vienkārša izvietošana un minimālās sistēmas prasības. Trūkumi ir gatavu pasta veidņu trūkums, testu un personāla apmācības materiālu trūkums.

2. KnowBe4 — vietne ar lielu skaitu pieejamo produktu testēšanas personālam.

3. Pikšķernieks — automatizēta darbinieku pārbaudes un apmācības sistēma. Ir dažādas produktu versijas, kas atbalsta no 10 līdz vairāk nekā 1000 darbiniekiem. Apmācību kursi ietver teoriju un praktiskus uzdevumus, vajadzības ir iespējams noteikt, pamatojoties uz statistiku, kas iegūta pēc pikšķerēšanas kampaņas. Risinājums ir komerciāls ar izmēģinājuma lietošanas iespēju.

4. Antipikšķerēšana — automatizēta apmācības un drošības uzraudzības sistēma. Komerciālais produkts piedāvā periodiskus apmācību uzbrukumus, darbinieku apmācību utt. Kampaņa tiek piedāvāta kā produkta demonstrācijas versija, kas ietver veidņu izvietošanu un trīs apmācību uzbrukumu veikšanu.

Iepriekš minētie risinājumi ir tikai daļa no automatizētās personāla apmācības tirgū pieejamajiem produktiem. Protams, katram ir savas priekšrocības un trūkumi. Šodien mēs iepazīsimies ar GoPhish, simulējiet pikšķerēšanas uzbrukumu un izpētiet pieejamās iespējas.

GoPhish

Tātad, ir pienācis laiks vingrināties. GoPhish netika izvēlēts nejauši: tas ir lietotājam draudzīgs rīks ar šādām funkcijām:

1. Vienkāršota uzstādīšana un palaišana.

2. REST API atbalsts. Ļauj izveidot vaicājumus no dokumentācija un lietot automatizētus skriptus. 

3. Ērts grafiskais vadības interfeiss.

4. Starpplatformu.

Izstrādes komanda ir sagatavojusi izcilu vadīt par GoPhish izvietošanu un konfigurēšanu. Patiesībā viss, kas jums jādara, ir doties uz krātuve, lejupielādējiet ZIP arhīvu attiecīgajai OS, palaidiet iekšējo bināro failu, pēc kura rīks tiks instalēts.

SVARĪGA PIEZĪME!

Rezultātā terminālī jāsaņem informācija par izvietoto portālu, kā arī autorizācijas dati (attiecas uz versijām, kas vecākas par versiju 0.10.1). Neaizmirstiet nodrošināt paroli sev!

msg="Please login with the username admin and the password <ПАРОЛЬ>"

Izpratne par GoPhish iestatīšanu

Pēc instalēšanas lietojumprogrammas direktorijā tiks izveidots konfigurācijas fails (config.json). Aprakstīsim parametrus tā maiņai:

Taustiņš

Vērtība (noklusējums)

Apraksts

admin_server.listen_url

127.0.0.1:3333

GoPhish servera IP adrese

admin_server.use_tls

nepatiess

Vai TLS tiek izmantots, lai izveidotu savienojumu ar GoPhish serveri

admin_server.cert_path

piemērs.crt

Ceļš uz SSL sertifikātu GoPhish administrēšanas portālam

admin_server.key_path

example.key

Ceļš uz privāto SSL atslēgu

phish_server.listen_url

0.0.0.0:80

IP adrese un ports, kurā tiek mitināta pikšķerēšanas lapa (pēc noklusējuma tā tiek mitināta pašā GoPhish serverī 80. portā)

—> Dodieties uz vadības portālu. Mūsu gadījumā: https://127.0.0.1:3333

—> Jums tiks lūgts nomainīt diezgan garu paroli uz vienkāršāku vai otrādi.

Sūtītāja profila izveide

Dodieties uz cilni "Sūtīšanas profili" un sniedziet informāciju par lietotāju, no kura tiks nosūtīts mūsu pasts:

Kur:

Vārds

Sūtītāja vārds

no

Sūtītāja e-pasts

Saimnieks

Tā pasta servera IP adrese, no kura tiks uzklausīts ienākošais pasts.

Lietotājvārds

Pasta servera lietotāja konta pieteikšanās.

Parole

Pasta servera lietotāja konta parole.

Varat arī nosūtīt testa ziņojumu, lai nodrošinātu veiksmīgu piegādi. Saglabājiet iestatījumus, izmantojot pogu “Saglabāt profilu”.

Adresātu grupas izveide

Pēc tam jums vajadzētu izveidot “ķēdes vēstuļu” adresātu grupu. Dodieties uz "Lietotājs un grupas" → "Jauna grupa". Ir divi pievienošanas veidi: manuāli vai importējot CSV failu.

Otrajai metodei ir nepieciešami šādi obligātie lauki:

• Vārds

• Uzvārds

• E-pasts

• amats

Kā piemērs:

First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]

Pikšķerēšanas e-pasta veidnes izveide

Kad esam identificējuši iedomāto uzbrucēju un potenciālos upurus, mums ir jāizveido veidne ar ziņojumu. Lai to izdarītu, dodieties uz sadaļu "E-pasta veidnes" → "Jaunas veidnes".

Veidojot veidni, tiek izmantota tehniska un radoša pieeja, jānorāda dienesta ziņojums, kas cietušajiem lietotājiem būs pazīstams vai izraisīs noteiktu reakciju. Iespējamie varianti:

Vārds

Veidnes nosaukums

Temats

Vēstules tēma

Teksts/HTML

Lauks teksta vai HTML koda ievadīšanai

Gophish atbalsta burtu importēšanu, bet mēs izveidosim paši. Lai to izdarītu, mēs simulējam scenāriju: uzņēmuma lietotājs no korporatīvā e-pasta saņem vēstuli ar lūgumu nomainīt paroli. Tālāk analizēsim viņa reakciju un apskatīsim mūsu “nozveju”.

Veidnē izmantosim iebūvētos mainīgos. Sīkāka informācija ir atrodama iepriekš vadīt daļa Veidnes atsauce.

Vispirms ielādēsim šādu tekstu:

{{.FirstName}},

The password for {{.Email}} has expired. Please reset your password here.

Thanks,
IT Team

Attiecīgi tiks automātiski ievadīts lietotāja vārds (saskaņā ar iepriekš norādīto vienumu “Jauna grupa”) un norādīta viņa pasta adrese.

Tālāk mums vajadzētu nodrošināt saiti uz mūsu pikšķerēšanas resursu. Lai to izdarītu, tekstā iezīmējiet vārdu “šeit” un vadības panelī atlasiet opciju “Saite”.

Vietrādi URL iestatīsim kā iebūvēto mainīgo {{.URL}}, ko aizpildīsim vēlāk. Tas tiks automātiski iegults pikšķerēšanas e-pasta tekstā.

Pirms veidnes saglabāšanas neaizmirstiet iespējot opciju “Pievienot izsekošanas attēlu”. Tādējādi tiks pievienots 1 x 1 pikseļa multivides elements, kas izsekos, vai lietotājs ir atvēris e-pastu.

Tātad, vairs nav daudz atlicis, taču vispirms apkoposim nepieciešamās darbības pēc pieteikšanās Gophish portālā: 

1. Izveidojiet sūtītāja profilu;

2. Izveidojiet izplatīšanas grupu, kurā norādāt lietotājus;

3. Izveidojiet pikšķerēšanas e-pasta veidni.

Piekrītu, iestatīšana neaizņēma daudz laika, un mēs esam gandrīz gatavi sākt savu kampaņu. Atliek tikai pievienot pikšķerēšanas lapu.

Pikšķerēšanas lapas izveide

Dodieties uz cilni “Galvenās lapas”.

Mums tiks piedāvāts norādīt objekta nosaukumu. Ir iespējams importēt avota vietni. Mūsu piemērā es mēģināju norādīt pasta servera darba tīmekļa portālu. Attiecīgi tas tika importēts kā HTML kods (lai gan ne pilnībā). Tālāk ir norādītas interesantas iespējas lietotāja ievades uztveršanai.

• Iesniegto datu tveršana. Ja norādītajā vietnes lapā ir dažādas ievades formas, visi dati tiks ierakstīti.

• Capture Passwords - tveriet ievadītās paroles. Dati tiek ierakstīti GoPhish datu bāzē bez šifrēšanas, kā tas ir.

Turklāt mēs varam izmantot opciju “Novirzīt uz”, kas novirzīs lietotāju uz noteiktu lapu pēc akreditācijas datu ievadīšanas. Atgādināšu, ka esam iestatījuši scenāriju, kurā lietotājam tiek piedāvāts nomainīt korporatīvā e-pasta paroli. Lai to izdarītu, viņam tiek piedāvāta viltus pasta autorizācijas portāla lapa, pēc kuras lietotājs var tikt nosūtīts uz jebkuru pieejamo uzņēmuma resursu.

Neaizmirstiet saglabāt aizpildīto lapu un doties uz sadaļu “Jauna kampaņa”.

GoPhish zvejas palaišana

Esam snieguši visu nepieciešamo informāciju. Cilnē “Jauna kampaņa” izveidojiet jaunu kampaņu.

Kampaņas uzsākšana

Kur:

Vārds

Kampaņas nosaukums

E-pasta veidne

Ziņojuma veidne

Landing Page

Pikšķerēšanas lapa

URL

Jūsu GoPhish servera IP (jābūt tīkla sasniedzamībai ar upura saimniekdatoru)

Starta datums

Kampaņas sākuma datums

Sūtīt e-pastus ar

Kampaņas beigu datums (pasta sūtīšana vienmērīgi sadalīta)

Profila nosūtīšana

Sūtītāja profils

grupas

Pasta adresātu grupa

Pēc starta vienmēr varam iepazīties ar statistiku, kurā norādīts: nosūtītie ziņojumi, atvērtie ziņojumi, klikšķi uz saitēm, atstātie dati pārnesti uz surogātpastu.

No statistikas redzam, ka nosūtīts 1 ziņojums, pārbaudīsim pastu no adresāta puses:

Patiešām, upuris veiksmīgi saņēma pikšķerēšanas e-pastu ar lūgumu sekot saitei, lai mainītu sava uzņēmuma konta paroli. Mēs veicam pieprasītās darbības, tiekam nosūtīti uz galvenajām lapām, kā ir ar statistiku?

Rezultātā mūsu lietotājs noklikšķināja uz pikšķerēšanas saites, kurā viņš, iespējams, varēja atstāt sava konta informāciju.

Autora piezīme: datu ievades process netika reģistrēts testa izkārtojuma izmantošanas dēļ, taču šāda iespēja pastāv. Tomēr saturs nav šifrēts un tiek glabāts GoPhish datu bāzē. Lūdzu, ņemiet to vērā.

Tā vietā, lai noslēgtu

Šodien mēs pieskārāmies aktuālajai tēmai par darbinieku automatizētu apmācību veikšanu, lai pasargātu viņus no pikšķerēšanas uzbrukumiem un attīstītu viņos IT pratību. Gophish tika izvietots kā pieņemams risinājums, kas uzrādīja labus rezultātus izvietošanas laika un rezultāta ziņā. Izmantojot šo pieejamo rīku, varat pārbaudīt savus darbiniekus un izveidot ziņojumus par viņu uzvedību. Ja jūs interesē šis produkts, mēs piedāvājam palīdzību tā ieviešanā un darbinieku auditēšanā ([e-pasts aizsargāts]).

Taču neapstāties pie viena risinājuma pārskatīšanas un plānojam turpināt ciklu, kur runāsim par Enterprise risinājumiem apmācību procesa automatizēšanai un darbinieku drošības uzraudzībai. Paliec ar mums un esi modrs!

Avots: www.habr.com