1. Навчання користувачів основ ІБ. Боротьба з фішингом

На сьогоднішній день мережевий адміністратор або інженер ІБ витрачає багато часу і сил, щоб захистити периметр мережі підприємства від різних загроз, освоює все нові системи запобігання та моніторингу подій, але навіть це не гарантує йому повної захищеності. Соціальна інженерія активно використовується зловмисниками і може мати серйозні наслідки.

Як часто ви ловили себе на думці: "Добре б влаштувати перевірку для персоналу на предмет грамотності в ІБ"? На жаль, думки впираються у стіну нерозуміння у вигляді великої кількості завдань чи обмеженості часу робочого дня. Ми плануємо розповісти вам про сучасні продукти та технології в галузі автоматизації навчання персоналу, які не вимагатимуть тривалої підготовки для проведення пілотів чи впровадження, але про все по порядку.

Теоретичний фундамент

На сьогоднішній день більше 80% шкідливих файлів розповсюджується за допомогою пошти (дані взяті зі звітів спеціалістів Check Point за останній рік за допомогою сервісу Intelligence Reports).

Звіт за останні 30 днів про вектор атак по поширенню шкідливих файлів (Росія) — Сheck Point

Це говорить про те, що вміст у поштових повідомленнях є досить вразливим для використання зловмисниками. Якщо розглядати найпопулярніші шкідливі формати файлів у вкладеннях (EXE, RTF, DOC), варто зазначити, що у них, зазвичай, є автоматичні елементи виконання коду (скрипти, макроси).

Річний звіт про формати файлів в отриманих шкідливих повідомленнях - Сheck Point

Як боротися з цим вектором атак? Перевірка пошти полягає у використанні інструментів безпеки: 

• антивірус - Сигнатурне детектування загроз.

• Емуляція - Пісочниця, за допомогою якої вкладення відкриваються в ізольованому середовищі.

• Content Awareness - Вилучення активних елементів з документів. Користувач отримує очищений документ (зазвичай у форматі PDF).

• Антиспам — перевірка домену одержувача/відправника щодо репутації.

І, по ідеї, цього достатньо, але є ще один не менш цінний ресурс для компанії — корпоративні та особисті дані співробітників. В останні роки активно зростає популярність наступного виду інтернет-шахрайства:

фішинг (англ. phishing, від fishing - риболовля, вивужування) - вид інтернет-шахрайства. Його мета – отримати ідентифікаційні дані користувачів. Сюди належать крадіжка паролів, номерів кредитних карток, банківських рахунків та іншої конфіденційної інформації.

Зловмисники удосконалюють способи фішинг-атак, перенаправляють DNS-запити від популярних сайтів, розгортають цілі кампанії з використанням соціальної інженерії для розсилки листів. 

Таким чином, для захисту вашої корпоративної пошти від фішингу рекомендовано застосовувати два підходи, причому їхнє спільне використання призводить до найкращих результатів:

1. Технічні інструменти захисту. Як і говорилося раніше, застосовуються різні технології перевірки та пересилання тільки легітимної пошти.

2. Теоретична підготовка персоналу. Полягає у комплексному тестуванні персоналу виявлення потенційних жертв. Далі проводиться їхнє перенавчання, постійно фіксується статистика.   

Не довіряй та перевіряй

Сьогодні мова піде про другий підхід щодо запобігання фішинговим атакам, а саме про автоматизоване навчання персоналу з метою підвищення загального рівня захищеності корпоративних та особистих даних. Чому це може бути так небезпечно?

Соціальна інженерія — психологічне маніпулювання людьми з метою здійснення певних дій або розголошення конфіденційної інформації (стосовно ІБ).

Схема типового сценарію розгортання фішингової атаки

Давайте звернемося до цікавої блок-схеми, що коротко відображає шлях просування фішингової кампанії. У ній є різні етапи:

1. Збір первинних даних.

   У 21 столітті важко знайти людину, яка не зареєстрована в жодній соціальній мережі або на різних тематичних форумах. Звичайно, багато хто з нас залишає розгорнуту інформацію про себе: місце поточної роботи, група для колег, телефон, пошта і т.д. Додайте до цього персональну інформацію про інтереси людини і ви отримаєте дані для формування шаблону фішингу. Навіть якщо людей з такою інформацією знайти не вдалося, завжди є сайт компанії, звідки можна підібрати всю цікаву для нас інформацію (доменну пошту, контакти, зв'язки).

2. Запуск кампанії.

   Після того, як буде підготовлено "плацдарм", за допомогою безкоштовних або платних інструментів ви можете запустити свою власну фішинг-кампанію, що таргетує. Під час роботи розсилки у вас буде накопичуватись статистика: доставлена ​​пошта, відкрита пошта, перехід за посиланнями, введення облікових даних тощо.

Продукти на ринку

Фішинг можуть використовувати як зловмисники, так і співробітники ІБ компанії з метою проведення постійного аудиту поведінки співробітників. Що ж нам пропонує ринок безкоштовних та комерційних рішень щодо автоматизованої системи навчання співробітників компанії:

1. GoPhish - опенсорсний проект, що дозволяє розгорнути фішингову компанію з метою перевірки IT-грамотності ваших співробітників. До переваг я відніс би простоту розгортання та мінімальні системні вимоги. До недоліків - відсутність готових шаблонів розсилки, відсутність тестів та навчальних матеріалів для персоналу.

2. KnowBe4 - Майданчик з великою кількістю доступних продуктів для тестування персоналу.

3. Phishman - Автоматизована система тестування та навчання співробітників. Має різні версії продуктів, що підтримують від 10 до 1000 співробітників. Курси навчання включають теорію і практичні завдання, є можливість виявлення потреб на основі отриманої статистики після фішингової компанії. Рішення комерційне із можливістю тріального використання.

4. Антифішинг - автоматизована система навчання та контролю захищеності. Комерційний продукт пропонує проведення періодичних навчальних атак, навчання співробітників тощо. В якості демо-версії продукту пропонується кампанія, що включає розгортання шаблонів і проведення трьох навчальних атак.

Перераховані вище рішення лише частина доступних продуктів на ринку автоматизованого навчання персоналу. Звичайно ж, у кожного є свої переваги та недоліки. Сьогодні ми познайомимося з GoPhish, імітуємо фішингову атаку, вивчимо доступні опції.

GoPhish

Отже, настав час для практики. GoPhish був обраний невипадково: він є user-friendly інструмент, має такі особливості:

1. Спрощена установка та запуск.

2. Підтримка REST API. Дозволяє формувати запити з документації та застосовувати автоматизовані сценарії. 

3. Зручний графічний інтерфейс керування.

4. Кросплатформність.

Команда розробників підготувала чудовий гайд з розгортання та налаштування GoPhish. Насправді вам потрібно лише перейти в репозиторій, завантажити ZIP-архів для відповідної ОС, запустити внутрішній бінарний файл, після чого інструмент буде встановлений.

ВАЖЛИВА ЗАМІТКА!

У результаті ви повинні отримати в терміналі інформацію про розгорнутий портал, а також дані для авторизації (актуально для версії старшої версії 0.10.1). Не забудьте зафіксувати пароль!

msg="Please login with the username admin and the password <ПАРОЛЬ>"

Розбираємося з налаштуванням GoPhish

Після встановлення в директорії програми буде створено конфігураційний файл (config.json). Опишемо параметри для його зміни:

Ключ

Значення за замовчуванням)

Опис

admin_server.listen_url

127.0.0.1:3333

IP-адреса сервера GoPhish

admin_server.use_tls

false

Чи використовується TLS для підключення до сервера GoPhish

admin_server.cert_path

example.crt

Шлях до SSL-сертифіката для порталу адміністрування GoPhish

admin_server.key_path

example.key

Шлях до приватного SSL-ключу

phish_server.listen_url

0.0.0.0:80

IP-адреса та порт розміщення фішингової сторінки (за замовчуванням розміщується на самому сервері GoPhish по 80 порту)

-> Перейдіть до порталу управління. У нашому випадку: https://127.0.0.1:3333

-> Вам запропонують змінити досить довгий пароль на більш простий або навпаки.

Створення профілю відправника

Перейдіть у вкладку “Sending Profiles” та вкажіть дані про користувача, від якого буде відбуватися наше розсилання:

Де:

ІМ'Я

Ім'я відправника

Від

Пошта відправника

Господар

IP-адреса поштового сервера, з якого прослуховуватиметься вхідна пошта.

ім'я користувача

Логін облікового запису користувача поштового сервера.

Пароль

Пароль облікового запису користувача поштового сервера.

Також ви можете надіслати тестове повідомлення, щоб переконатися в успіху доставки. Збережіть налаштування за допомогою кнопки “Save profile”.

Створення групи адресатів

Далі слід сформувати групу адресатів "листів щастя". Перейдіть до “User & Groups” → “New Group”. Існує два способи додавання: вручну або імпорт CSV файлу.

Для другого способу потрібна наявність обов'язкових полів:

• Ім'я

• Прізвище

• Електронна адреса

• становище

Як приклад:

First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]

Створення шаблону фішингового листа

Після того, як ми вказали уявного зловмисника та потенційних жертв, необхідно створити шаблон із повідомленням. Для цього перейдіть до розділу “Email Templates” → “New Templates”.

При формуванні шаблону використовується технічний і творчий підхід, слід вказати повідомлення від сервісу, який буде знайомий користувачам-жертвам або викличе певну реакцію. Можливі опції:

ІМ'Я

Назва шаблону

Тема

Тема листа

Текст / HTML

Поле для введення тексту або HTML-коду

Gophish підтримує імпорт листа, ми створимо власне. Для цього імітуємо сценарій: користувач компанії отримує лист із пропозицією про зміну пароля від його корпоративної пошти. Далі проаналізуємо його реакцію та подивимося на наш “улов”.

У шаблоні використовуватимемо вбудовані змінні. Докладніше з ними можна ознайомитись у вищезгаданому гайде у розділі Довідник шаблону.

Для початку завантажимо наступний текст:

{{.FirstName}},

The password for {{.Email}} has expired. Please reset your password here.

Thanks,
IT Team

Відповідно, в автоматичному режимі буде підставлятися ім'я користувача (згідно з раніше заданим пунктом “New Group”) та вказуватися його поштова адреса.

Далі нам слід зазначити посилання на наш фішинговий ресурс. Для цього виділимо в тексті слово "here" і виберемо опцію "Link" на панелі керування.

Як URL вкажемо вбудовану змінну {{.URL}}, яку ми заповнимо пізніше. Вона буде автоматично вбудована в текст фішингового листа.

Перед збереженням шаблону не забудьте увімкнути опцію «Add Tracking Image». Це додасть медіа-елемент розміром 1×1 піксель, він відстежуватиме факт відкриття листа користувачем.

Отже, залишилося небагато, але насамперед резюмуємо обов'язкові кроки після авторизації на порталі Gophish: 

1. Створити профіль відправника;

2. Створити групу розсилки, де вказати користувачів;

3. Створити шаблон фішингового листа.

Погодьтеся, налаштування не зайняло багато часу, і ми вже майже готові до запуску нашої кампанії. Залишається додати сторінку фішинга.

Створення фішингової сторінки

Перейдіть на вкладку “Landing Pages”.

Нам запропонують зазначити ім'я об'єкта. Є можливість імпорту джерела сайту. У прикладі я спробував вказати робочий web-портал поштового сервера. Відповідно, він імпортувався у вигляді HTML-коду (нехай і не повністю). Далі йдуть цікаві опції із захоплення введених даних користувача:

• Capture Submitted Data. Якщо вказана сторінка сайту містить різні форми для введення, всі дані будуть записуватися.

• Capture Passwords – захоплення введених паролів. Дані записуються в базі даних GoPhish без шифрування, як є.

Додатково можемо використовувати опцію "Redirect to", яка перенаправить користувача на цю сторінку після введення облікових даних. Нагадаю, що ми задали сценарій, коли користувач пропонує змінити пароль від корпоративної пошти. Для цього йому пропонується фейкова сторінка порталу авторизації пошти, після чого можна відправити користувача на будь-який доступний ресурс компанії.

Не забуваємо зберегти заповнену сторінку та переходимо до розділу «New Campaign».

Запуск лову GoPhish

Ми зазначили всі необхідні дані. У вкладці New Campaign створимо нову кампанію.

Запуск кампанії

Де:

ІМ'Я

Ім'я кампанії

Шаблон електронної пошти

Шаблон повідомлення

Цільова сторінка

Фішингова сторінка

URL

IP вашого сервера GoPhish (має мережну доступність з хостом жертви)

Дата запуску

Дата старту кампанії

Send Emails By

Дата фінішу кампанії (розсилка розподіляється рівномірно)

Надсилання профілю

Профіль відправника

груп

Група одержувачів розсилки

Після старту ми завжди можемо ознайомитися зі статистикою, в якій зазначено: надіслані повідомлення, відкриті повідомлення, переходи за посиланнями, залишені дані перенесення спам.

Зі статистики бачимо, що 1 повідомлення було відправлено, перевіримо пошту з боку одержувача:

Справді, жертва успішно отримала лист фішингу з проханням перейти за посиланням для зміни пароля від корпоративного облікового запису. Виконуємо дії, що запитуються, нас відправляє на сторінку Landing Pages, що зі статистикою?

У результаті наш користувач перейшов за фішинговим посиланням, де потенційно міг залишити дані від свого облікового запису.

Примітка автора: процес введення даних не фіксувався через використання тестового макета, але така опція є. При цьому вміст не шифрується і зберігається в базі даних GoPhish, врахуйте це.

Замість висновку

Сьогодні ми з вами торкнулися актуальної теми щодо проведення автоматизованого навчання співробітників з метою захистити їх від фішингових атак та виховати в них IT-грамотність. Як доступне рішення було розгорнуто Gophish, який показав себе з хорошого боку при співвідношенні часу розгортання та результату. За допомогою цього доступного інструменту ви зможете перевірити своїх співробітників та скласти звіти щодо їхньої поведінки. Якщо вас зацікавив цей продукт, ми пропонуємо допомогу у його розгортанні та проведенні аудиту ваших співробітників ([захищено електронною поштою]).

Однак ми не збираємося зупинятися на огляді одного рішення і плануємо продовжувати цикл, де розповімо про Enterprise-рішення для автоматизації процесу навчання та контролю захищеності співробітників. Залишайтеся з нами і будьте пильні!

Джерело: habr.com