2. Навчання користувачів основ ІБ. Phishman

Ми продовжуємо знайомити вас зі світом, який бореться проти фішингу, вивчає основи соціальної інженерії та не забуває навчати свій персонал. Сьогодні у нас у гостях продукт Phishman. Це один із партнерів TS Solution, що надає автоматизовану систему тестування та навчання співробітників. Коротко про його концепцію:

• Виявлення потреб навчання конкретних працівників.

• Практичні та теоретичні курси для співробітників через портал навчання.

• Гнучка система автоматизації роботи системи.

Введення у продукт

Компанія Phishman з 2016 року займається розробкою програмного забезпечення, пов'язаного із системою тестування та навчання співробітників великих компаній у сфері кібербезпеки. Серед замовників є різні представники галузей: фінансові, страхові, торгові, сировинні та промислові гіганти – від М.Відео до Росатому.

Пропоновані рішення

Phishman співпрацює з різними компаніями (від малого бізнесу до великих корпорацій), спочатку достатньо мати 10 співробітників. Розглянемо політику ціноутворення та ліцензування:

1. Для малого бізнесу:

   А) Phishman Lite - Версія товару від 10 до 249 співробітників зі стартовою ціною за ліцензію від 875 рублів. Містить основні модулі: збір інформації (тестова розсилка фішингових листів), навчання (3 базові курси з ІБ), автоматизація (налаштування загального режиму тестування).

   Б) Phishman Standart - Версія товару від 10 до 999 співробітників зі стартовою ціною за ліцензію від 1120 рублів. На відміну від версії Lite має можливість синхронізації із вашим корпоративним AD-сервером, модуль навчання містить 5 курсів.

2. Для великого бізнесу:

   А) Phishman Enterprise — у цьому рішенні кількість співробітників не обмежена, забезпечується комплексний процес підвищення обізнаності персоналу в галузі ІБ для компаній будь-якого розміру з можливістю адаптації курсів до потреб замовника та бізнесу. Доступна синхронізація з AD, SIEM, DLP системами для збору інформації про співробітників та виявлення користувачів, яким потрібне навчання. Існує підтримка інтеграції з вже наявною системою дистанційного навчання (СДО), сама передплата містить 7 базових курсів ІБ, 4 розширених та 3 ігрових. Також підтримується цікава опція по навчальній атаці за допомогою USB-накопичувачів (флеш-карток).

   Б) Phishman Enterprise+ - Доповнена версія включає всі опції Enterpise, з'являється можливість розробки власних конекторів і звітів (за допомогою інженерів Phishman).

   Таким чином, продукт можна гнучко налаштовувати під завдання конкретного бізнесу та інтегрувати у вже існуючі системи навчання ІБ.

Знайомство із системою

Для написання статті ми розгорнули макет із наступними характеристиками:

1. Ubuntu Server від версії 16.04.

2. 4 ГБ ОЗП, 50 ГБ місця на жорсткому диску, процесор з тактовою частотою від 1 ГГц і вище.

3. Windows сервер з участю DNS, AD, MAIL.

В цілому, набір стандартний і не вимагає великої витрати на ресурси, тим більше, враховуючи, що AD-сервер, як правило, у вас вже є. При розгортанні буде встановлено Docker-контейнер, який автоматично налаштує доступ до порталу керування та навчання.

Під спойлером типова схема мережі з Fishman

Типова схема мережі

Далі познайомимося з інтерфейсом системи, можливостями для адміністрування та звичайно ж функціями.

Вхід до порталу управління

Портал адміністрування Phishman служить для управління списком відділів та співробітників компанії. У ньому запускаються атаки з розсилки фішингових листів (у рамках навчання), результати формуються до звітів. Перейти до нього можна за IP-адресою або доменним ім'ям, яке ви вказуєте при розгортанні системи.

Авторизація на порталі Phishman

На головній сторінці вам будуть доступні зручні віджети зі статистикою щодо ваших співробітників:

Головна сторінка порталу Phishman

Додавання співробітників для взаємодій

З головного меню можна перейти до розділу "Співробітники"де знаходиться список всього персоналу компанії з розбивкою по відділах (вручну або через AD). У ньому розташовані інструменти для керування їх даними, існує можливість вибудовувати структуру у відповідність до штату.

Панель керування користувачамиКартка створення співробітника

Опціонально: доступна інтеграція з AD, що дозволяє зручно автоматизувати процес навчання нових співробітників та вести загальну статистику.

Запуск навчання працівників

Після того, як у вас додана інформація про співробітників компанії, з'являється можливість відправити їх на навчальні курси. Коли це може бути корисним:

• новий співробітник;

• планове навчання;

• терміновий курс (є інфопривід, необхідно попередити).

Запис доступний як для окремого співробітника, так і для всього відділу.

Формування навчального курсу

Де опції:

• сформувати навчальну групу (об'єднати користувачів);

• вибір навчального курсу (кількість залежно від ліцензії);

• доступ (постійний або тимчасовий із зазначенням дат).

Важливо!

При першому записі на курси співробітник отримає листа з даними для входу на Портал навчання. Інтерфейс запрошення — шаблон , доступний зміни на розсуд Замовника.

Зразок листа для запрошення на навчання

Якщо перейти за посиланням, то співробітник потрапить на портал, де буде автоматично фіксуватися його прогрес і відображатися в статистиці у адміністратора Phishman.

Приклад запущеного користувачем курсу

Робота з шаблонами атаки

Шаблони дозволяють відправляти цільові навчальні розсилки фішингових листів з акцентом на соціальну інженерію.

Розділ «Шаблони»

Шаблони розташовані всередині категорій, наприклад:

Вкладка пошуку вбудованих шаблонів із різних категорій

Про кожен із готових шаблонів є інформація, в тому числі, і щодо ефективності.

Приклад шаблону «Розсилка Твіттер»

Також варто згадати про зручну можливість створювати власні шаблони: достатньо скопіювати текст із листа: і він автоматично буде перетворено на HTML-код.

Заметка:

якщо повернутися до змісту 1 статтінам доводилося вручну підбирати шаблон для підготовки фішингової атаки. У Enterprise-рішенні Phishman існує велика кількість інтегрованих шаблонів, і є підтримка зручних інструментів для створення своїх. Крім цього, вендор активно підтримує замовників і може допомогти у додаванні унікальних шаблонів, що вважаємо в рази ефективнішим.  

Загальне налаштування та допомога

У розділі «Налаштування» змінюються параметри системи Phishman залежно від рівня доступу поточного користувача (через обмеження макету у нас вони не були повністю доступними).

Інтерфейс розділу «Налаштування»

Перерахуємо коротко можливості для налаштування:

• мережні параметри (адреса поштового сервера, порт, шифрування, автентифікація);

• вибір системи навчання (підтримуються інтеграція коїться з іншими СДО);

• редагування шаблонів відправлення та навчання;

• чорний список адрес пошти (важлива можливість для виключення участі у розсилці фішингу, наприклад, для керівників компанії);

• керування користувачами (створення, редагування облікових записів доступу);

• оновлення (перегляд статусу та планування).

Адміністраторам буде корисний розділ "Допомога", в ньому є доступ до посібника користувача з детальним розбором роботи з Phishman, адреса служби підтримки та інформація про стан системи.

Інтерфейс розділу «Допомога»Відомості про стан системи

Атака та навчання

Після розгляду базових опцій та налаштувань системи проведемо навчальну атаку, для цього відкриємо розділ “Атаки”.

Інтерфейс панелі керування «Атаки»

У ньому ми можемо ознайомитись із результатами вже запущених атак, створити нові тощо. Опишемо кроки для запуску кампанії.

Запуск атаки

1) Назвемо нову атаку «витік даних».

Визначимо такі настройки:

Де:

Відправник → вказується домен розсилки (за замовчуванням від вендора).

Фішингові форми → використовуються в шаблонах для спроби отримання даних від користувачів, при цьому фіксується лише сам факт введення, дані не зберігаються.

Переадресація → вказується редирект на сторінку після переходу користувачем.

2) На стадії розсилки вказується режим розповсюдження атаки

Де:

Тип атаки → вказується, як і протягом якого часу відбуватиметься атака. (опція включає нерівномірний режим розсилки і т.д.)

Час початку розсилки → вказується час початку надсилання повідомлень.

3) На етапі "Цілі" вказуються співробітники по відділах або індивідуально

4) Після чого ми вказуємо шаблони для атаки, що вже зачіпаються нами:

Отже, щоб запустити атаку нам знадобилося:

а) створити шаблон атаки;

б) вказати режим розсилки;

в) вибрати мету;

г) визначити шаблон фішингового листа.

Перевірка результатів атаки

Спочатку маємо:

З боку користувача мабуть нове поштове повідомлення:

Якщо його розкрити:

Якщо перейти за посиланням, буде запропоновано ввести дані від пошти:

Паралельно дивимось у статистику з атаки:

Важливо!

Політика Phishman суворо дотримується нормативних і етичних норм, тому дані, що вводяться користувачем ніде не зберігаються, фіксується лише факт витоку.

Звіти

Все, що робилося вище, має бути підкріплене різною статистикою та загальною інформацією про рівень підготовленості працівників. Для моніторингу існує окремий розділ "Звіти".

Він включає в себе:

• Звіт навчання, що відображає інформацію про результати проходження курсу в рамках звітного періоду.

• Звіт з атак, що показує результат проведення фішингових атак (кількість інцидентів, розподіл за часом і т.д.).

• Звіт з динаміки навчання, що відображає успішність ваших співробітників.

• Звіт по динаміці фішингових уразливостей (зведена інформація щодо інцидентів).

• Аналітичний звіт (реакція співробітників на події до/після).

Робота зі звітом

1) Виконаємо "Сформувати звіт".

2) Вкажемо відділ/співробітників для формування звіту.

3) Виберемо період

4) Вкажемо цікаві курси

5) Формуємо підсумковий звіт

Таким чином, звіти допомагають у зручній формі відобразити статистику та стежити за результатами роботи навчального порталу та поведінки співробітників.

Автоматизація навчання

Окремо варто згадати можливість створювати автоматичні правила, які допоможуть адміністраторам налаштувати логіку роботи Phishman.

Написання автоматичного сценарію

Для налаштування необхідно перейти до розділу “Правила”. Нам пропонується:

1) Вказати ім'я та задати час перевірки умови.

2) Створюємо подію за одним із джерел (Фішинг, Навчання, Користувачі), якщо їх кілька, то можна використовувати логічний оператор (І/АБО). 

У нашому прикладі ми створили таке правило: “Якщо користувач перейшов за шкідливим посиланням однієї з наших фішингових атак, він буде автоматично записаний на навчальний курс, відповідно, йому на пошту надійде запрошення, і почне відстежуватися прогрес проходження.

Опціонально:

-> Існує підтримка створення різних правил за джерелами (DLP, SIEM, Антивіруси, Кадрові служби тощо). 

Cценарій: “Якщо користувач надсилає чутливу інформацію, то DLP фіксує подію та надсилає дані до Phishman, де спрацьовує правило: призначити курс працівникові по роботі з конфіденційною інформацією”.

Таким чином, адміністратор може скоротити частину рутинних процесів (надсилання співробітників на навчання, проведення планових атак і т.д.).

Замість висновку

Сьогодні ми з вами познайомилися із російським рішенням автоматизації процесу тестування та навчання співробітників. Воно допомагає у підготовці компанії до відповідності 187 ФЗ, PCI DSS, ISO 27001. До переваг навчання через Phishman віднесемо:

• Кастомізація курсів - можливість змінити зміст курсів;

• Брендування - створення цифрової платформи згідно з вашими корпоративними стандартами;

• Робота офлайн - встановлення на власний сервер;

• Автоматизація - створення правил (сценаріїв) для співробітників;

• Звітність — статистика з подій, що цікавлять;

• Гнучкість ліцензування – підтримка від 10 користувачів. 

Якщо вас зацікавило це рішення, ви завжди можете звернутися до намМи допоможемо в організації пілота і проконсультуємо спільно з представниками Phishman. На цьому сьогодні все, навчайтеся самі та навчайте співробітників, до нових зустрічей!

Джерело: habr.com