2. Opplæring av brukere i grunnleggende informasjonssikkerhet. Phishman

Vi fortsetter å introdusere deg til en verden som kjemper mot phishing, lærer det grunnleggende innen sosial ingeniørkunst og ikke glemmer å trene opp sine ansatte. I dag er gjesten vår Phishman-produktet. Dette er en av TS Solutions partnere, og leverer et automatisert system for testing og opplæring av ansatte. Kort om konseptet:

• Identifisere opplæringsbehovene til spesifikke ansatte.

• Praktiske og teoretiske kurs for ansatte gjennom opplæringsportalen.

• Fleksibelt automasjonssystem for systemdrift.

produkt introduksjon

selskap Phishman Siden 2016 har han utviklet programvare knyttet til test- og opplæringssystemet for ansatte i store selskaper innen cybersikkerhet. Blant kundene er det ulike representanter for bransjer: finans, forsikring, handel, råvarer og industrigiganter - fra M.Video til Rosatom.

Foreslåtte løsninger

Phishman samarbeider med ulike selskaper (fra små bedrifter til store selskaper), i utgangspunktet er det nok å ha 10 ansatte. La oss vurdere pris- og lisenspolitikken:

1. For små bedrifter:

   OG) Phishman Lite — versjon av produktet fra 10 til 249 ansatte med en startpris for en lisens fra 875 rubler. Inneholder hovedmodulene: informasjonsinnsamling (testsending av phishing-e-post), opplæring (3 grunnleggende kurs om informasjonssikkerhet), automatisering (oppsett av generell testmodus).

   B) Phishman Standard — versjon av produktet fra 10 til 999 ansatte med en startpris for en lisens fra 1120 rubler. I motsetning til Lite-versjonen har den muligheten til å synkronisere med bedriftens AD-server; opplæringsmodulen inneholder 5 kurs.

2. For store bedrifter:

   OG) Phishman Enterprise — i denne løsningen er antall ansatte ikke begrenset, den gir en omfattende prosess for bevisstgjøring av personell innen informasjonssikkerhet for bedrifter av alle størrelser med mulighet til å tilpasse kurs til kundens og virksomhetens behov. Synkronisering med AD, SIEM, DLP-systemer er tilgjengelig for å samle informasjon om ansatte og identifisere brukere som trenger opplæring. Det er støtte for integrasjon med et eksisterende fjernundervisningssystem (DLS), selve abonnementet inneholder 7 grunnleggende IS-kurs, 4 avanserte og 3 spill. Et interessant alternativ for å trene angrep ved hjelp av USB-stasjoner (flash-kort) støttes også.

   B) Phishman Enterprise+ — den oppdaterte versjonen inkluderer alle Enterpise-alternativer, det blir mulig å utvikle dine egne koblinger og rapporter (ved hjelp av Phishman-ingeniører).

   Dermed kan produktet fleksibelt tilpasses for å passe oppgavene til en spesifikk virksomhet og integreres i eksisterende opplæringssystemer for informasjonssikkerhet.

Bli kjent med systemet

For å skrive denne artikkelen har vi implementert en layout med følgende egenskaper:

1. Ubuntu Server fra versjon 16.04.

2. 4 GB RAM, 50 GB harddiskplass, prosessor med en klokkefrekvens på 1 GHz eller høyere.

3. Windows-server med DNS, AD, MAIL-roller.

Generelt er settet standard og krever ikke mye ressurser, spesielt med tanke på at du som regel allerede har en AD-server. Ved utrulling vil en Docker-beholder bli installert, som automatisk konfigurerer tilgang til administrasjons- og læringsportalen.

Under spoileren er et typisk nettverksdiagram med Fishman

Typisk nettverksdiagram

Deretter vil vi bli kjent med systemgrensesnittet, administrasjonsmuligheter og, selvfølgelig, funksjoner.

Logg inn på administrasjonsportalen

Phishman-administrasjonsportalen brukes til å administrere en liste over bedriftsavdelinger og ansatte. Den lanserer angrep ved å sende phishing-e-poster (som en del av opplæringen), og resultatene blir samlet inn i rapporter. Du kan få tilgang til den ved å bruke IP-adressen eller domenenavnet du angir når du distribuerer systemet.

Autorisasjon på Phishman-portalen

På hovedsiden vil du ha tilgang til praktiske widgets med statistikk over dine ansatte:

Hjemmesiden til Phishman-portalen

Legge til ansatte for interaksjoner

Fra hovedmenyen kan du gå til seksjonen "Ansatte", hvor det er en liste over alt selskapets personell fordelt på avdeling (manuelt eller via AD). Den inneholder verktøy for å administrere dataene deres; det er mulig å bygge strukturen i samsvar med personalet.

BrukerkontrollpanelAnsatt opprettelseskort

Valgfri: Integrasjon med AD er tilgjengelig, noe som lar deg enkelt automatisere prosessen med opplæring av nye ansatte og vedlikeholde generell statistikk.

Lansering av opplæring av ansatte

Når du har lagt inn informasjon om bedriftens ansatte, har du mulighet til å sende dem på kurs. Når det kan være nyttig:

• ny ansatt;

• planlagt trening;

• hastekurs (det er en informasjonsfeed, du må advare).

Opptaket er tilgjengelig for både en enkelt ansatt og hele avdelingen.

Dannelse av et opplæringskurs

Hvor er alternativene:

• danne en studiegruppe (samle brukere);

• valg av kurs (antall avhengig av lisens);

• tilgang (permanent eller midlertidig med datoer angitt).

Viktig!

Ved første gangs påmelding til kurs vil den ansatte motta en epost med påloggingsinformasjon til Opplæringsportalen. Invitasjonsgrensesnittet er en mal, tilgjengelig for endring etter kundens skjønn.

Eksempelbrev for invitasjon til å studere

Hvis du følger lenken, vil den ansatte bli ført til opplæringsportalen, hvor fremgangen hans automatisk registreres og vises i statistikken til Phishman-administratoren.

Eksempel på brukerlansert kurs

Arbeid med angrepsmønster

Malene lar deg sende målrettede pedagogiske phishing-e-poster med fokus på sosial teknikk.

Seksjon "maler"

Maler er plassert innenfor kategorier, for eksempel:

Søk-fanen for innebygde maler fra ulike kategorier

Det er informasjon om hver av de ferdige malene, inkludert informasjon om effektivitet.

Eksempel på en mal for Twitter-nyhetsbrev

Det er også verdt å nevne den praktiske muligheten til å lage dine egne maler: bare kopier teksten fra brevet, så blir den automatisk konvertert til HTML-kode.

Merk:

hvis du går tilbake til innholdet 1 artikler, så måtte vi manuelt velge en mal for å forberede et phishing-angrep. Phishman Enterprise-løsningen har et stort antall integrerte maler, og det er støtte for praktiske verktøy for å lage dine egne. I tillegg støtter leverandøren aktivt kundene og kan hjelpe med å legge til unike maler, noe vi mener er mye mer effektivt.  

Generell oppsett og hjelp

I "Innstillinger"-delen endres Phishman-systemparametrene avhengig av tilgangsnivået til gjeldende bruker (på grunn av layoutbegrensninger var de ikke fullt tilgjengelige for oss).

Grensesnitt for delen "Innstillinger".

La oss kort liste opp konfigurasjonsalternativene:

• nettverksparametere (e-postserveradresse, port, kryptering, autentisering);

• valg av opplæringssystem (integrasjon med andre LMS støttes);

• redigering av innleverings- og opplæringsmaler;

• svarteliste over e-postadresser (en viktig mulighet til å utelukke deltakelse i phishing-utsendelser, for eksempel for bedriftsledere);

• brukeradministrasjon (opprette, redigere tilgangskontoer);

• oppdatering (se status og tidsplan).

Administratorer vil finne "Hjelp"-delen nyttig; den har tilgang til brukermanualen med en detaljert analyse av arbeidet med Phishman, adressen til støttetjenesten og informasjon om systemstatus.

Grensesnitt for delen "Hjelp".Systemstatusinformasjon

Angrep og trening

Etter å ha gjennomgått de grunnleggende alternativene og systeminnstillingene, vil vi gjennomføre et treningsangrep; for dette vil vi åpne delen "Angrep".

Angriper kontrollpanelgrensesnittet

I den kan vi gjøre oss kjent med resultatene av allerede lanserte angrep, lage nye osv. La oss beskrive trinnene for å starte en kampanje.

Setter i gang et angrep

1) La oss kalle det nye angrepet "datalekkasje".

La oss definere følgende innstillinger:

Hvor:

Avsender → postdomenet er angitt (som standard fra leverandøren).

Phishing-skjemaer → brukes i maler for å prøve å innhente data fra brukere, mens bare inndata blir registrert, dataene lagres ikke.

Viderekobling → en omdirigering til siden indikeres etter at brukeren har navigeret.

2) På distribusjonsstadiet er angrepsforplantningsmodus indikert

Hvor:

Angrepstype → angir hvordan og i løpet av hvilken tid angrepet vil skje. (alternativet inkluderer ujevn distribusjonsmodus, etc.)

Starttidspunkt for utsendelse → starttiden for sending av meldinger vises.

3) På «Mål»-stadiet angis ansatte per avdeling eller individuelt

4) Deretter indikerer vi angrepsmønstrene vi allerede har berørt:

Så, for å starte angrepet vi trengte:

a) skape et angrepsmønster;

b) angi distribusjonsmodus;

c) velge mål;

d) identifisere en phishing-e-postmal.

Sjekker resultatene av angrepet

I utgangspunktet har vi:

Fra brukerens side er en ny e-postmelding synlig:

Hvis du åpner den:

Hvis du følger koblingen, vil du bli bedt om å angi e-postinformasjonen din:

La oss samtidig se på angrepsstatistikken:

Viktig!

Phishmans policy følger strengt regulatoriske og etiske standarder, så data som legges inn av brukeren blir ikke lagret noe sted, bare lekkasje blir registrert.

Reports

Alt som ble gjort ovenfor bør støttes av ulike statistikker og generell informasjon om beredskapsnivået til ansatte. Det er en egen "Rapporter"-seksjon for overvåking.

Det inkluderer:

• En opplæringsrapport som reflekterer informasjon om resultatene av å fullføre kurset innenfor rapporteringsperioden.

• Angrepsrapport som viser resultatene av phishing-angrep (antall hendelser, tidsfordeling osv.).

• En fremdriftsrapport for opplæring som viser fremgangen til dine ansatte.

• Rapport om dynamikken i phishing-sårbarheter (oppsummerende informasjon om hendelser).

• Analytisk rapport (ansattes reaksjon på hendelser før/etter).

Arbeider med en rapport

1) Utfør "Generer rapport".

2) Spesifiser avdelingen/medarbeiderne som skal generere rapporten.

3) Velg en periode

4) Vi vil angi hvilke kurs du er interessert i

5) Generer en sluttrapport

Dermed hjelper rapporter med å vise statistikk i en praktisk form og overvåke resultatene av opplæringsportalen, samt oppførselen til ansatte.

Automatisering av opplæring

Det er også verdt å nevne muligheten til å lage automatiske regler som vil hjelpe administratorer med å konfigurere logikken til Phishman.

Skrive et automatisk skript

For å konfigurere, må du gå til delen "Regler". Vi tilbys:

1) Angi et navn og angi tidspunktet for kontroll av tilstanden.

2) Lag en hendelse basert på en av kildene (phishing, opplæring, brukere), hvis det er flere av dem, kan du bruke den logiske operatoren (AND / OR). 

I vårt eksempel opprettet vi følgende regel: "Hvis en bruker klikker på en ondsinnet lenke fra et av våre phishing-angrep, vil han automatisk bli registrert på et kurs, følgelig vil han motta en invitasjon på e-post, og fremdriften vil begynne som skal spores.

Valgfri:

—> Det er støtte for å lage ulike regler etter kilde (DLP, SIEM, Antivirus, HR-tjenester osv.). 

Scenario: "Hvis en bruker sender sensitiv informasjon, registrerer DLP hendelsen og sender dataene til Phishman, der regelen utløses: tilordne et kurs til en ansatt om å jobbe med konfidensiell informasjon."

Dermed kan administratoren redusere noen av rutineprosessene (sende ansatte på opplæring, gjennomføre planlagte angrep osv.).

I stedet for en konklusjon

I dag ble vi kjent med den russiske løsningen for automatisering av prosessen med testing og opplæring av ansatte. Det hjelper med å forberede selskapet på overholdelse av føderal lov 187, PCI DSS, ISO 27001. Fordelene med opplæring gjennom Phishman inkluderer:

• Kurstilpasning - muligheten til å endre innholdet i kurs;

• Merkevarebygging – lage en digital plattform i henhold til bedriftens standarder;

• Arbeid offline - installasjon på din egen server;

• Automatisering - lage regler (scenarier) for ansatte;

• Rapportering - statistikk over hendelser av interesse;

• Lisensifleksibilitet - støtte fra 10 brukere. 

Hvis du er interessert i denne løsningen, kan du alltid ta kontakt нам, vil vi hjelpe til med å organisere piloten og gi råd sammen med Phishman-representanter. Det var alt for i dag, lær selv og tren de ansatte, ses neste gang!

Kilde: www.habr.com