2. Đào tạo người dùng kiến ​​thức cơ bản về bảo mật thông tin. kẻ lừa đảo

Chúng tôi tiếp tục giới thiệu với bạn về một thế giới đấu tranh chống lừa đảo, tìm hiểu những điều cơ bản về kỹ thuật xã hội và không quên đào tạo nhân viên của mình. Hôm nay chúng ta có sản phẩm Phishman làm khách. Đây là một trong những đối tác của TS Solution cung cấp hệ thống kiểm thử và đào tạo nhân viên tự động. Nói ngắn gọn về quan niệm của mình:

• Xác định nhu cầu đào tạo của nhân viên cụ thể.

• Các khóa học lý thuyết và thực hành dành cho nhân viên thông qua cổng học tập.

• Hệ thống tự động hóa vận hành hệ thống linh hoạt.

Giơi thiệu sản phẩm

công ty kẻ lừa đảo Từ năm 2016, anh phát triển phần mềm liên quan đến hệ thống kiểm tra và đào tạo cho nhân viên của các công ty lớn trong lĩnh vực an ninh mạng. Trong số các khách hàng có nhiều đại diện của các ngành: tài chính, bảo hiểm, thương mại, nguyên liệu thô và những người khổng lồ công nghiệp - từ M.Video đến Rosatom.

Đề xuất các giải pháp

Phishman hợp tác với nhiều công ty khác nhau (từ doanh nghiệp nhỏ đến tập đoàn lớn), ban đầu chỉ cần 10 nhân viên là đủ. Xem xét chính sách định giá và cấp phép:

1. Đối với doanh nghiệp nhỏ:

   A) Phishman Lite - phiên bản của sản phẩm từ 10 đến 249 nhân viên với giá khởi điểm cho giấy phép từ 875 rúp. Nó bao gồm các mô-đun chính: thu thập thông tin (kiểm tra gửi email lừa đảo), đào tạo (3 khóa cơ bản về bảo mật thông tin), tự động hóa (thiết lập chế độ kiểm tra chung).

   B) Tiêu chuẩn Phishman - phiên bản sản phẩm từ 10 đến 999 nhân viên với giá khởi điểm cho giấy phép từ 1120 rúp. Không giống như phiên bản Lite, nó có khả năng đồng bộ hóa với máy chủ AD của công ty bạn, mô-đun đào tạo bao gồm 5 khóa học.

2. Đối với doanh nghiệp lớn:

   A) doanh nghiệp lừa đảo — trong giải pháp này, số lượng nhân viên không bị giới hạn, nó cung cấp một quy trình toàn diện nhằm nâng cao nhận thức của nhân sự trong lĩnh vực bảo mật thông tin cho các công ty thuộc mọi quy mô với khả năng điều chỉnh các khóa học theo nhu cầu của khách hàng và doanh nghiệp. Đồng bộ hóa với các hệ thống AD, SIEM, DLP có sẵn để thu thập thông tin về nhân viên và xác định người dùng cần đào tạo. Có hỗ trợ tích hợp với hệ thống đào tạo từ xa (LMS) hiện có, bản thân đăng ký bao gồm 7 khóa học IB cơ bản, 4 khóa nâng cao và 3 khóa chơi trò chơi. Nó cũng hỗ trợ một tùy chọn thú vị để tấn công học tập bằng ổ USB (thẻ flash).

   B) Doanh nghiệp Phishman+ - phiên bản nâng cao bao gồm tất cả các tùy chọn Enterpise, bạn có thể phát triển các trình kết nối và báo cáo của riêng mình (với sự trợ giúp của các kỹ sư Phishman).

   Do đó, sản phẩm có thể được cấu hình linh hoạt cho các nhiệm vụ của một doanh nghiệp cụ thể và được tích hợp vào các hệ thống đào tạo bảo mật thông tin hiện có.

Giới thiệu về hệ thống

Để viết bài, chúng tôi triển khai một bố cục có các đặc điểm sau:

1. Máy chủ Ubuntu từ phiên bản 16.04.

2. RAM 4 GB, dung lượng ổ cứng 50 GB, bộ xử lý 1 GHz hoặc nhanh hơn.

3. Máy chủ Windows với vai trò DNS, AD, MAIL.

Nói chung, bộ này là tiêu chuẩn và không yêu cầu nhiều tài nguyên, đặc biệt là khi bạn thường đã có một máy chủ AD. Trong quá trình triển khai, một bộ chứa Docker sẽ được cài đặt, bộ chứa này sẽ tự động định cấu hình quyền truy cập vào cổng quản lý và đào tạo.

Dưới spoiler, một sơ đồ mạng điển hình với Fishman

Sơ đồ mạng điển hình

Tiếp theo, chúng ta sẽ làm quen với giao diện hệ thống, các tùy chọn quản trị và tất nhiên là các chức năng.

Đăng nhập vào cổng quản lý

Cổng quản trị Phishman được sử dụng để quản lý danh sách các phòng ban và nhân viên của công ty. Nó khởi động các cuộc tấn công để gửi email lừa đảo (như một phần của đào tạo), kết quả được tạo ra trong các báo cáo. Bạn có thể truy cập nó theo địa chỉ IP hoặc tên miền mà bạn chỉ định khi triển khai hệ thống.

Ủy quyền trên cổng Phishman

Các vật dụng tiện lợi với số liệu thống kê về nhân viên của bạn sẽ có sẵn cho bạn trên trang chính:

Trang chính của Phishman

Thêm nhân viên để tương tác

Từ menu chính, bạn có thể vào phần "Người lao động", nơi có danh sách tất cả nhân sự công ty được chia nhỏ theo bộ phận (thủ công hoặc qua AD). Nó chứa các công cụ để quản lý dữ liệu của họ, có thể xây dựng cấu trúc phù hợp với trạng thái.

Bảng điều khiển người dùngThẻ tạo nhân viên

Không bắt buộc: tích hợp với AD có sẵn, cho phép bạn tự động hóa thuận tiện quá trình đào tạo nhân viên mới và lưu giữ số liệu thống kê chung.

Khai trương đào tạo nhân viên

Sau khi bạn đã thêm thông tin về nhân viên của công ty, bạn có thể gửi họ đến các khóa đào tạo. Khi nó có thể hữu ích:

• nhân viên mới;

• đào tạo có kế hoạch;

• nhiên khẩn cấp (có dịp thông tin, cần cảnh báo).

Hồ sơ có sẵn cho cả một nhân viên và cho toàn bộ bộ phận.

Hình thành khóa đào tạo

Tùy chọn ở đâu:

• thành lập một nhóm nghiên cứu (kết hợp người dùng);

• lựa chọn khóa đào tạo (số lượng tùy thuộc vào giấy phép);

• quyền truy cập (vĩnh viễn hoặc tạm thời có ghi ngày tháng).

Quan trọng!

Lần đầu tiên một nhân viên đăng ký một khóa học, họ sẽ nhận được email có chi tiết đăng nhập cho Cổng thông tin học tập. Giao diện thư mời là mẫu, có sẵn để thay đổi theo ý muốn của Khách hàng.

Mẫu thư mời học

Nếu bạn nhấp vào liên kết, nhân viên sẽ được đưa đến cổng đào tạo, nơi tiến trình của anh ta sẽ được tự động ghi lại và hiển thị trong thống kê của quản trị viên Phishman.

Ví dụ về khóa học do người dùng khởi chạy

Làm việc với các mẫu tấn công

Các mẫu cho phép bạn gửi email lừa đảo đào tạo được nhắm mục tiêu tập trung vào kỹ thuật xã hội.

Phần "Mẫu"

Các mẫu được đặt bên trong các danh mục, ví dụ:

Tab tìm kiếm các mẫu tích hợp từ các danh mục khác nhau

Có thông tin về từng mẫu làm sẵn, bao gồm cả hiệu quả.

Một ví dụ về mẫu "Bản tin Twitter"

Cũng cần đề cập đến khả năng thuận tiện để tạo các mẫu của riêng bạn: chỉ cần sao chép văn bản từ bức thư và nó sẽ tự động được chuyển đổi thành mã HTML.

Lưu ý:

quay lại nội dung 1 bài báo, thì chúng tôi phải chọn thủ công một mẫu để chuẩn bị tấn công lừa đảo. Giải pháp Doanh nghiệp của Phishman có một số lượng lớn các mẫu tích hợp và có hỗ trợ các công cụ thuận tiện để tạo mẫu của riêng bạn. Ngoài ra, nhà cung cấp tích cực hỗ trợ khách hàng và có thể giúp thêm các mẫu độc đáo mà chúng tôi tin rằng hiệu quả hơn gấp nhiều lần.  

Thiết lập và trợ giúp chung

Trong phần “Cài đặt”, các tham số hệ thống Phishman thay đổi tùy thuộc vào cấp độ truy cập của người dùng hiện tại (do hạn chế về bố cục, chúng không có sẵn đầy đủ cho chúng tôi).

Giao diện phần "Cài đặt"

Hãy liệt kê ngắn gọn các tùy chọn để tùy chỉnh:

• tham số mạng (địa chỉ máy chủ thư, cổng, mã hóa, xác thực);

• lựa chọn hệ thống đào tạo (hỗ trợ tích hợp với LMS khác);

• chỉnh sửa các mẫu gửi và đào tạo;

• danh sách đen các địa chỉ thư (một cơ hội quan trọng để loại trừ việc tham gia gửi thư lừa đảo, chẳng hạn như đối với giám đốc điều hành công ty);

• quản lý người dùng (tạo, chỉnh sửa tài khoản truy cập);

• cập nhật (xem trạng thái và lập lịch trình).

Quản trị viên sẽ thấy phần “Trợ giúp” hữu ích, nó có quyền truy cập vào hướng dẫn sử dụng với phân tích chi tiết về cách làm việc với Phishman, địa chỉ của dịch vụ hỗ trợ và thông tin về trạng thái của hệ thống.

Giao diện phần trợ giúpThông tin về trạng thái của hệ thống

Tấn công và huấn luyện

Sau khi xem xét các tùy chọn cơ bản và cài đặt hệ thống, chúng tôi sẽ tiến hành một cuộc tấn công huấn luyện, vì điều này, chúng tôi sẽ mở phần “Tấn công”.

Giao diện bảng điều khiển "Tấn công"

Trong đó, chúng ta có thể thấy kết quả của các cuộc tấn công đã thực hiện, tạo các cuộc tấn công mới, v.v. Hãy mô tả các bước để khởi động một chiến dịch.

khởi động cuộc tấn công

1) Hãy gọi cuộc tấn công mới là "rò rỉ dữ liệu".

Xác định các cài đặt sau:

Trong đó:

Người gửi → miền gửi thư được chỉ định (theo mặc định, từ nhà cung cấp).

Các hình thức lừa đảo → được sử dụng trong các mẫu để cố gắng lấy dữ liệu từ người dùng, trong khi chỉ thực tế nhập được ghi lại, dữ liệu không được lưu.

Chuyển tiếp → chuyển hướng đến trang được chỉ định sau khi người dùng điều hướng.

2) Ở giai đoạn phân phối, chế độ lan truyền tấn công được chỉ định

Trong đó:

kiểu tấn công → chỉ định cuộc tấn công sẽ diễn ra như thế nào và trong bao lâu. (tùy chọn bao gồm chế độ phát sóng không đồng nhất, v.v.)

Thời gian bắt đầu gửi → chỉ định thời gian bắt đầu gửi tin nhắn.

3) Ở giai đoạn “Mục tiêu”, nhân viên được chỉ định theo bộ phận hoặc cá nhân

4) Sau đó, chúng tôi chỉ ra các mẫu tấn công đã bị ảnh hưởng bởi chúng tôi:

Vì vậy, để khởi động cuộc tấn công, chúng tôi cần:

a) tạo mẫu tấn công;

b) chỉ định chế độ phân phối;

c) chọn mục tiêu;

d) xác định mẫu email lừa đảo.

Kiểm tra kết quả tấn công

Ban đầu ta có:

Từ phía người dùng, một thông báo thư mới sẽ hiển thị:

Nếu bạn mở nó:

Nếu bạn nhấp vào liên kết, bạn sẽ được nhắc nhập dữ liệu từ thư:

Song song, chúng tôi xem xét số liệu thống kê về cuộc tấn công:

Quan trọng!

Chính sách của Phishman là tuân thủ nghiêm ngặt các tiêu chuẩn quy định và đạo đức, vì vậy dữ liệu do người dùng nhập vào không được lưu trữ ở bất kỳ đâu, chỉ có thông tin rò rỉ mới được ghi lại.

báo cáo

Mọi thứ đã được thực hiện ở trên nên được hỗ trợ bởi các số liệu thống kê khác nhau và thông tin chung về mức độ sẵn sàng của nhân viên. Có một phần riêng “Báo cáo” để theo dõi.

Nó bao gồm:

• Báo cáo đào tạo phản ánh thông tin về kết quả hoàn thành khóa học trong kỳ báo cáo.

• Báo cáo tấn công hiển thị kết quả của các cuộc tấn công lừa đảo (số lượng sự cố, thời gian, v.v.).

• Một báo cáo tiến độ học tập hiển thị hiệu suất của nhân viên của bạn.

• Báo cáo về động thái của lỗ hổng lừa đảo (thông tin tóm tắt về sự cố).

• Báo cáo phân tích (phản ứng của nhân viên đối với các sự kiện trước/sau).

Làm việc với một báo cáo

1) Hãy thực hiện "Tạo báo cáo".

2) Chỉ định bộ phận/nhân viên để tạo báo cáo.

3) Chọn một khoảng thời gian

4) Chỉ định các khóa học quan tâm

5) Chúng tôi lập báo cáo cuối cùng

Do đó, các báo cáo giúp phản ánh số liệu thống kê dưới dạng thuận tiện và theo dõi kết quả của cổng đào tạo, cũng như hành vi của nhân viên.

Tự động hóa học tập

Một cách riêng biệt, điều đáng nói là khả năng tạo các quy tắc tự động sẽ giúp quản trị viên tùy chỉnh logic của Phishman.

Viết kịch bản tự động

Để định cấu hình, hãy chuyển đến phần "Quy tắc". Chúng tôi được cung cấp:

1) Chỉ định tên và đặt thời gian để kiểm tra điều kiện.

2) Tạo sự kiện dựa trên một trong các nguồn (Lừa đảo, Đào tạo, Người dùng), nếu có một vài trong số đó, thì bạn có thể sử dụng toán tử logic (AND / OR). 

Trong ví dụ của chúng tôi, chúng tôi đã tạo quy tắc sau: “Nếu người dùng nhấp vào liên kết độc hại từ một trong các cuộc tấn công lừa đảo của chúng tôi, anh ta sẽ tự động được đăng ký vào một khóa đào tạo và theo đó, lời mời sẽ được gửi đến email của anh ta và tiến trình sẽ được theo dõi.

Không bắt buộc:

—> Có hỗ trợ tạo các quy tắc khác nhau theo nguồn (DLP, SIEM, Antivirus, Human Resources, v.v.). 

Tình huống: “Nếu người dùng gửi thông tin nhạy cảm, thì DLP sẽ nắm bắt sự kiện và gửi dữ liệu đến Phishman, nơi quy tắc được kích hoạt: chỉ định một khóa học cho nhân viên cung cấp thông tin bí mật.”

Do đó, quản trị viên có thể giảm bớt một số quy trình thông thường (gửi nhân viên đi đào tạo, tiến hành các cuộc tấn công theo kế hoạch, v.v.).

Thay vì một kết luận

Hôm nay chúng ta đã làm quen với giải pháp của Nga để tự động hóa quá trình thử nghiệm và đào tạo nhân viên. Nó giúp chuẩn bị cho công ty tuân thủ Luật Liên bang 187, PCI DSS, ISO 27001. Lợi ích của việc đào tạo thông qua Phishman bao gồm:

• Tùy chỉnh các khóa học - khả năng thay đổi nội dung của các khóa học;

• Xây dựng thương hiệu - tạo nền tảng kỹ thuật số theo tiêu chuẩn của công ty bạn;

• Làm việc ngoại tuyến - cài đặt trên máy chủ của riêng bạn;

• Tự động hóa - tạo quy tắc (script) cho nhân viên;

• Báo cáo - thống kê các sự kiện được quan tâm;

• Cấp phép linh hoạt - hỗ trợ từ 10 người dùng. 

Nếu bạn quan tâm đến giải pháp này, bạn luôn có thể liên hệ chúng tôi, chúng tôi sẽ giúp tổ chức thí điểm và cùng tham khảo ý kiến ​​với đại diện của Phishman. Đó là tất cả cho ngày hôm nay, hãy tự tìm hiểu và đào tạo nhân viên của mình, hẹn gặp lại!

Nguồn: www.habr.com