We blijven u kennis laten maken met een wereld die strijdt tegen phishing, de basisbeginselen van social engineering leert en niet vergeet zijn personeel op te leiden. Vandaag hebben wij een Phishman product te gast. Dit is een van de partners van TS Solution, dat een geautomatiseerd systeem levert voor het testen en trainen van medewerkers. Kort over zijn concept:
-
Identificatie van opleidingsbehoeften van specifieke medewerkers.
-
Praktische en theoretische cursussen voor medewerkers via het leerportaal.
-
Flexibel systeem voor automatisering van systeembediening.
product Introductie
vennootschap Sinds 2016 ontwikkelt hij software gerelateerd aan het test- en trainingsysteem voor medewerkers van grote bedrijven op het gebied van cybersecurity. Onder de klanten bevinden zich verschillende vertegenwoordigers van industrieën: financiën, verzekeringen, handel, grondstoffen en industriële reuzen - van M.Video tot Rosatom.
Voorgestelde oplossingen
Phishman werkt samen met verschillende bedrijven (van kleine bedrijven tot grote bedrijven), in eerste instantie is het voldoende om 10 werknemers te hebben. Houd rekening met het prijs- en licentiebeleid:
-
Voor kleine bedrijven:
A) - versie van het product van 10 tot 249 werknemers met een startprijs voor een licentie vanaf 875 roebel. Het bevat de belangrijkste modules: informatieverzameling (testverzending van phishing-e-mails), training (3 basiscursussen over informatiebeveiliging), automatisering (het opzetten van een algemene testmodus).
B) - productversie van 10 tot 999 werknemers met een startprijs voor een licentie vanaf 1120 roebel. In tegenstelling tot de Lite-versie heeft deze de mogelijkheid om te synchroniseren met uw zakelijke AD-server, de trainingsmodule bevat 5 cursussen.
-
Voor grote bedrijven:
A) — bij deze oplossing is het aantal werknemers niet beperkt; het biedt een alomvattend proces voor het vergroten van het bewustzijn van personeel op het gebied van informatiebeveiliging voor bedrijven van elke omvang, met de mogelijkheid om cursussen aan te passen aan de behoeften van de klant en het bedrijf. Synchronisatie met AD-, SIEM- en DLP-systemen is beschikbaar om informatie over werknemers te verzamelen en gebruikers te identificeren die training nodig hebben. Er is ondersteuning voor integratie met een bestaand afstandsonderwijssysteem (LMS), het abonnement zelf bevat 7 basis IB-cursussen, 4 gevorderden en 3 game-cursussen. Het ondersteunt ook een interessante optie voor het trainen van aanvallen met behulp van USB-drives (flashkaarten).
B) - de verbeterde versie bevat alle Enterpise-opties, het wordt mogelijk om uw eigen connectoren en rapporten te ontwikkelen (met de hulp van Phishman-ingenieurs).
Zo kan het product flexibel worden geconfigureerd voor de taken van een bepaald bedrijf en worden geïntegreerd in bestaande informatiebeveiligingstrainingssystemen.
Inleiding tot het systeem
Voor het schrijven van het artikel hebben we een lay-out ingezet met de volgende kenmerken:
-
Ubuntu-server vanaf versie 16.04.
-
4 GB RAM, 50 GB ruimte op de harde schijf, 1 GHz of snellere processor.
-
Windows-server met de rol van DNS, AD, MAIL.
Over het algemeen is de set standaard en vereist deze niet veel bronnen, vooral gezien het feit dat je meestal al over een AD-server beschikt. Tijdens de implementatie wordt een Docker-container geïnstalleerd, die automatisch de toegang tot het beheer- en trainingsportaal configureert.
Onder de spoiler een typisch netwerkdiagram met Fishman
Typisch netwerkdiagram
Vervolgens maken we kennis met de systeeminterface, beheeropties en uiteraard functies.
Log in op het beheerportaal
Het Phishman Administration Portal wordt gebruikt om de lijst met afdelingen en medewerkers van het bedrijf te beheren. Het lanceert aanvallen om phishing-e-mails te verzenden (als onderdeel van training), de resultaten worden gegenereerd in rapporten. U kunt er naartoe gaan via het IP-adres of de domeinnaam die u opgeeft bij de implementatie van het systeem.
Autorisatie op het Phishman-portaal
Op de hoofdpagina zijn handige widgets met statistieken over uw medewerkers beschikbaar:
Phishman-hoofdpagina
Medewerkers toevoegen voor interacties
Vanuit het hoofdmenu kunt u naar de sectie gaan "Medewerkers", waar een lijst staat van al het bedrijfspersoneel, opgesplitst per afdeling (handmatig of via AD). Het bevat tools voor het beheren van hun gegevens, het is mogelijk om een structuur op te bouwen in overeenstemming met de staat.
GebruikerscontrolepaneelAanmaakkaart voor medewerkers
Optioneel: Er is integratie met AD beschikbaar, waarmee u het proces van het opleiden van nieuwe medewerkers gemakkelijk kunt automatiseren en algemene statistieken kunt bijhouden.
Lancering van de opleiding van medewerkers
Nadat u informatie over de werknemers van het bedrijf heeft toegevoegd, wordt het mogelijk om ze naar trainingen te sturen. Wanneer het nuttig kan zijn:
-
nieuwe medewerker;
-
geplande opleiding;
-
dringende cursus (er is een informatieve gelegenheid, het is noodzakelijk om te waarschuwen).
Het dossier is zowel voor een individuele medewerker als voor de gehele afdeling beschikbaar.
Vorming van de opleiding
Waar opties:
-
een studiegroep vormen (gebruikers combineren);
-
opleidingskeuze (aantal afhankelijk van de licentie);
-
toegang (permanent of tijdelijk met data).
Belangrijk!
De eerste keer dat een medewerker zich inschrijft voor een cursus, ontvangt hij een e-mail met inloggegevens voor het Leerportaal. De uitnodigingsinterface is een sjabloon die naar goeddunken van de Klant kan worden gewijzigd.
Voorbeeldbrief voor uitnodiging om te studeren
Als u op de link klikt, wordt de medewerker naar het opleidingsportaal geleid, waar zijn voortgang automatisch wordt geregistreerd en weergegeven in de statistieken van de Phishman-beheerder.
Door gebruiker gelanceerd cursusvoorbeeld
Werken met aanvalspatronen
Met de sjablonen kunt u gerichte trainingsphishing-e-mails verzenden met de nadruk op social engineering.
Sectie "Sjablonen"
Sjablonen bevinden zich in categorieën, bijvoorbeeld:
Zoektabblad voor ingebouwde sjablonen uit verschillende categorieën
Er is informatie over elk van de kant-en-klare sjablonen, inclusief efficiëntie.
Een voorbeeld van een sjabloon voor een 'Twitter-nieuwsbrief'
Vermeldenswaard is ook de handige mogelijkheid om uw eigen sjablonen te maken: kopieer gewoon de tekst uit de brief en deze wordt automatisch omgezet in HTML-code.
Let op:
terug naar de inhoud , vervolgens moesten we handmatig een sjabloon selecteren voor het voorbereiden van een phishing-aanval. De Enterprise-oplossing van Phishman heeft een groot aantal geïntegreerde sjablonen en er is ondersteuning voor handige tools waarmee u uw eigen sjablonen kunt maken. Daarnaast ondersteunt de leverancier klanten actief en kan hij helpen met het toevoegen van unieke templates, wat volgens ons vele malen efficiënter is.
Algemene installatie en hulp
In het gedeelte "Instellingen" veranderen de Phishman-systeemparameters afhankelijk van het toegangsniveau van de huidige gebruiker (vanwege lay-outbeperkingen waren ze niet volledig beschikbaar voor ons).
Interface van het gedeelte "Instellingen".
Laten we de mogelijkheden voor maatwerk kort opsommen:
-
netwerkparameters (mailserveradres, poort, encryptie, authenticatie);
-
keuze van opleidingssysteem (integratie met andere LMS wordt ondersteund);
-
het bewerken van verzend- en trainingssjablonen;
-
zwarte lijst met e-mailadressen (een belangrijke mogelijkheid om deelname aan phishing-mailings uit te sluiten, bijvoorbeeld voor bedrijfsleiders);
-
gebruikersbeheer (aanmaken, bewerken van toegangsaccounts);
-
update (statusweergave en planning).
Beheerders zullen de sectie “Help” nuttig vinden, deze biedt toegang tot de gebruikershandleiding met een gedetailleerde analyse van het werken met Phishman, het adres van de ondersteuningsdienst en informatie over de status van het systeem.
Interface voor de Help-sectieInformatie over de status van het systeem
Aanval en training
Nadat we de basisopties en systeeminstellingen hebben bekeken, zullen we een trainingsaanval uitvoeren, hiervoor openen we de sectie ‘Aanvallen’.
Bedieningspaneelinterface "Aanvallen"
Daarin kunnen we kennis maken met de resultaten van reeds gelanceerde aanvallen, nieuwe aanvallen maken, enz. Laten we de stappen beschrijven om een campagne te lanceren.
Aanval lancering
1) Laten we de nieuwe aanval "datalekken" noemen.
Definieer de volgende instellingen:
Waar:
Afzender → het mailingdomein wordt opgegeven (standaard afkomstig van de leverancier).
Phishing-formulieren → worden gebruikt in sjablonen om te proberen gegevens van gebruikers te verkrijgen, waarbij alleen het feit van binnenkomst wordt vastgelegd, de gegevens worden niet opgeslagen.
Doorschakeling → een omleiding naar de pagina wordt aangegeven nadat de gebruiker navigeert.
2) In de distributiefase wordt de aanvalsvoortplantingsmodus aangegeven
Waar:
Type aanval → specificeert hoe en hoe lang de aanval zal plaatsvinden. (optie omvat niet-uniforme uitzendmodus, enz.)
Begintijd verzenden → specificeer de starttijd voor het verzenden van berichten.
3) In de fase ‘Doelen’ worden medewerkers per afdeling of individueel aangegeven
4) Daarna geven we de sjablonen aan voor de aanval die al door ons is getroffen:
Om de aanval te lanceren hadden we dus het volgende nodig:
a) maak een aanvalssjabloon;
b) specificeer de distributiewijze;
c) doelen kiezen;
d) bepaal het phishing-e-mailsjabloon.
Het controleren van de resultaten van een aanval
In eerste instantie hebben we:
Van de gebruikerskant is een nieuw e-mailbericht zichtbaar:
Als het geopend is:
Als u op de link klikt, wordt u gevraagd gegevens uit de e-mail in te voeren:
Tegelijkertijd kijken we naar de statistieken over de aanval:
Belangrijk!
Het beleid van Phishman is om de wettelijke en ethische normen strikt te volgen, zodat de door de gebruiker ingevoerde gegevens nergens worden opgeslagen, maar alleen het feit van het lek wordt geregistreerd.
rapporten
Alles wat hierboven is gedaan, moet worden ondersteund door verschillende statistieken en algemene informatie over het niveau van paraatheid van werknemers. Voor monitoring is er een aparte rubriek “Rapporten”.
Het bevat:
-
Een trainingsrapport dat informatie weergeeft over de resultaten van het voltooien van de cursus binnen de rapportageperiode.
-
Aanvalsrapport met het resultaat van phishing-aanvallen (aantal incidenten, timing, etc.).
-
Een leervoortgangsrapport dat de prestaties van uw medewerkers weergeeft.
-
Rapporteer over de dynamiek van phishing-kwetsbaarheden (samenvattende informatie over incidenten).
-
Analytisch rapport (reactie van medewerkers op gebeurtenissen ervoor/na).
Werken met een rapport
1) Laten we "Een rapport maken" uitvoeren.
2) Geef de afdeling/medewerkers op die het rapport moeten genereren.
3) Kies een periode
4) Specificeer de cursussen waarin u geïnteresseerd bent
5) Wij vormen het eindrapport
Rapporten helpen dus om statistieken in een handige vorm weer te geven en de resultaten van het trainingsportaal te volgen, evenals het gedrag van werknemers.
Automatisering van leren
Afzonderlijk is het de moeite waard om de mogelijkheid te vermelden om automatische regels te maken waarmee beheerders de logica van Phishman kunnen aanpassen.
Een automatisch script schrijven
Om te configureren, ga naar het gedeelte “Regels”. Ons wordt aangeboden:
1) Geef een naam op en stel de tijd in voor het controleren van de voorwaarde.
2) Maak een gebeurtenis aan op basis van een van de bronnen (Phishing, Training, Gebruikers). Als er meerdere zijn, kunt u de logische operator (AND / OR) gebruiken.
In ons voorbeeld hebben we de volgende regel gemaakt: “Als een gebruiker op een kwaadaardige link van een van onze phishing-aanvallen klikt, wordt hij automatisch ingeschreven voor een training en wordt er dienovereenkomstig een uitnodiging naar zijn e-mail gestuurd. zal worden gevolgd.
Optioneel:
—> Er is ondersteuning voor het maken van verschillende regels per bron (DLP, SIEM, Antivirus, Human Resources, enz.).
Scenario: “Als de gebruiker gevoelige informatie verzendt, legt DLP de gebeurtenis vast en stuurt de gegevens naar Phishman, waar de regel wordt geactiveerd: wijs een cursus toe aan de vertrouwelijke informatiewerker.”
Zo kan de beheerder een aantal routinematige processen verminderen (werknemers sturen voor training, geplande aanvallen uitvoeren, enz.).
In plaats Output
Vandaag maakten we kennis met de Russische oplossing voor het automatiseren van het proces van testen en trainen van medewerkers. Het helpt bij het voorbereiden van het bedrijf op naleving van Federale Wet 187, PCI DSS, ISO 27001. De voordelen van training via Phishman zijn onder meer:
-
Maatwerk van cursussen - de mogelijkheid om de inhoud van cursussen te wijzigen;
-
Branding - het creëren van een digitaal platform volgens uw bedrijfsnormen;
-
Offline werken - installatie op uw eigen server;
-
Automatisering - regels (scripts) maken voor medewerkers;
-
Rapportage - statistieken over interessante gebeurtenissen;
-
Licentieflexibiliteit - ondersteuning vanaf 10 gebruikers.
Indien u geïnteresseerd bent in deze oplossing kunt u altijd contact opnemen helpen wij bij het organiseren van de pilot en overleggen wij samen met vertegenwoordigers van Phishman. Dat was alles voor vandaag, leer jezelf en train je medewerkers, tot snel!
Bron: www.habr.com