我们将继续向您介绍一个打击网络钓鱼、学习社会工程基础知识并且不忘记培训员工的世界。 今天我们的嘉宾是Phishman产品。 这是 TS Solution 的合作伙伴之一,提供用于测试和培训员工的自动化系统。 简单说一下它的概念:
-
确定特定员工的培训需求。
-
通过培训门户为员工提供实践和理论课程。
-
系统操作灵活的自动化系统。
产品介绍
公司
建议的解决方案
Phishman与各种公司合作(从小企业到大公司),最初拥有10名员工就足够了。 让我们考虑一下定价和许可政策:
-
对于小型企业:
A)
钓鱼人精简版 — 该产品的员工人数为 10 至 249 人,许可证起价为 875 卢布。 包含主要模块:信息采集(钓鱼邮件测试发送)、培训(3门信息安全基础课程)、自动化(设置通用测试模式)。B)
网络钓鱼者标准 — 该产品的员工人数为 10 至 999 人,许可证起价为 1120 卢布。 与 Lite 版本不同的是,它能够与您的企业 AD 服务器同步;培训模块包含 5 门课程。 -
对于大型企业:
A)
钓鱼人企业 — 在此解决方案中,员工数量不受限制;它为任何规模的公司提供了提高信息安全领域人员意识的综合流程,并且能够根据客户和业务的需求调整课程。 可与AD、SIEM、DLP系统同步,收集员工信息并识别需要培训的用户。 支持与现有远程学习系统 (DLS) 集成,订阅本身包含 7 门基础 IS 课程、4 门高级课程和 3 门游戏课程。 还支持使用 USB 驱动器(闪存卡)训练攻击的有趣选项。B)
钓鱼人企业+ — 更新版本包括所有企业选项,可以开发您自己的连接器和报告(在 Phishman 工程师的帮助下)。因此,该产品可以灵活定制以适应特定业务的任务,并集成到现有的信息安全培训系统中。
了解系统
为了撰写本文,我们部署了具有以下特征的布局:
-
Ubuntu 服务器版本 16.04 起。
-
4 GB RAM、50 GB 硬盘空间、时钟速度为 1 GHz 或更高的处理器。
-
具有 DNS、AD、MAIL 角色的 Windows 服务器。
一般来说,该集是标准的,不需要大量资源,特别是考虑到通常您已经拥有 AD 服务器。 部署后,将安装 Docker 容器,该容器将自动配置对管理和学习门户的访问。
剧透下方是Fishman的典型网络图
典型组网图
接下来,我们将熟悉系统界面、管理功能,当然还有功能。
登录管理门户
Phishman 管理门户用于管理公司部门和员工的列表。 它通过发送网络钓鱼电子邮件(作为培训的一部分)发起攻击,并将结果编译成报告。 您可以使用部署系统时指定的IP地址或域名来访问它。
Phishman 门户授权
在主页上,您将可以访问方便的小部件,其中包含员工的统计信息:
Phishman 门户的主页
添加员工进行交互
从主菜单中,您可以转到该部分 “雇员”,其中有按部门细分的所有公司人员的列表(手动或通过 AD)。 它包含管理数据的工具;可以根据员工的要求构建结构。
用户控制面板员工创作卡
可选: 可以与 AD 集成,使您可以方便地自动化新员工培训过程并维护一般统计数据。
启动员工培训
添加有关公司员工的信息后,您就有机会送他们参加培训课程。 什么时候可能有用:
-
新员工;
-
有计划的培训;
-
紧急课程(有信息提要,需要警告)。
该录音可供单个员工和整个部门使用。
培训课程的组建
选项在哪里:
-
组建一个研究小组(将用户聚集在一起);
-
选择培训课程(数量取决于许可证);
-
访问(永久或临时,并注明日期)。
重要的信息!
首次注册课程时,员工将收到一封电子邮件,其中包含培训门户的登录信息。 邀请界面是一个模板,可供客户自行修改。
学习邀请函样本
如果您点击该链接,该员工将被带到培训门户,他的进度将自动记录并显示在 Phishman 管理员的统计数据中。
用户启动的课程示例
使用攻击模式
这些模板允许您发送以社会工程为重点的有针对性的教育网络钓鱼电子邮件。
“模板”部分
模板位于类别内,例如:
各种类别的内置模板的搜索选项卡
有有关每个现成模板的信息,包括有关有效性的信息。
Twitter 新闻通讯模板示例
还值得一提的是,您可以方便地创建自己的模板:只需复制信件中的文本,它就会自动转换为 HTML 代码。
注意:
如果你回到内容
一般设置和帮助
在“设置”部分,Phishman 系统参数根据当前用户的访问级别而变化(由于布局限制,我们无法完全使用它们)。
“设置”部分的界面
我们简单列出一下配置选项:
-
网络参数(邮件服务器地址、端口、加密、身份验证);
-
选择培训系统(支持与其他学习管理系统集成);
-
编辑提交和培训模板;
-
电子邮件地址黑名单(这是排除参与网络钓鱼邮件的重要机会,例如对于公司经理而言);
-
用户管理(创建、编辑访问帐户);
-
更新(查看状态和时间表)。
管理员会发现“帮助”部分很有用;它可以访问用户手册,其中详细分析了如何使用 Phishman、支持服务的地址以及有关系统状态的信息。
“帮助”部分的界面系统状态信息
攻击与训练
在检查了基本选项和系统设置后,我们将进行训练攻击;为此,我们将打开“攻击”部分。
攻击控制面板界面
在其中我们可以熟悉已经发起的攻击的结果、创建新的攻击等。 让我们描述一下发起活动的步骤。
发起攻击
1)我们将这种新的攻击称为“数据泄露”。
让我们定义以下设置:
在哪里:
发件人 → 指示邮寄域(默认情况下来自供应商)。
网络钓鱼形式 → 用于模板中,试图从用户那里获取数据,但只记录输入的事实,不保存数据。
呼叫转移 → 用户导航后会指示重定向到该页面。
2)分发阶段,指明攻击传播方式
在哪里:
攻击类型 → 表示攻击发生的方式和时间。 (选项包括不均匀分配模式等)
邮寄开始时间 → 指示发送消息的开始时间。
3)“目标”阶段,按部门或个人指定员工
4) 之后我们指出我们已经触及的攻击模式:
因此,要发起攻击,我们需要:
a) 创建攻击模式;
b) 注明分配方式;
c) 选择目标;
d) 识别网络钓鱼电子邮件模板。
检查攻击结果
最初我们有:
从用户端,可以看到一封新电子邮件:
如果你打开它:
如果您点击链接,系统将提示您输入电子邮件信息:
同时我们看一下攻击统计:
重要的信息!
Phishman的政策严格遵循监管和道德标准,因此用户输入的数据不会存储在任何地方,只会记录泄露的事实。
报告
上述所做的一切都应该得到有关员工准备程度的各种统计数据和一般信息的支持。 有一个单独的“报告”部分用于监控。
这包括:
-
反映报告期内完成课程结果信息的培训报告。
-
攻击报告显示网络钓鱼攻击的结果(事件数量、时间分布等)。
-
显示员工进度的培训进度报告。
-
网络钓鱼漏洞动态报告(事件摘要信息)。
-
分析报告(员工对前后事件的反应)。
使用报告
1) 执行“生成报告”。
2) 指定生成报告的部门/员工。
3) 选择时间段
4)我们会注明您感兴趣的课程
5) 生成最终报告
因此,报告有助于以方便的形式显示统计数据并监控培训门户的结果以及员工的行为。
培训自动化
还值得一提的是创建自动规则的能力,这将帮助管理员配置 Phishman 的逻辑。
编写自动脚本
要配置,您需要转到“规则”部分。 我们提供:
1) 指定名称并设置检查条件的时间。
2) 根据来源之一(网络钓鱼、培训、用户)创建事件,如果有多个来源,则可以使用逻辑运算符(AND / OR)。
在我们的示例中,我们创建了以下规则:“如果用户单击来自我们的网络钓鱼攻击之一的恶意链接,他将自动注册参加培训课程,相应地,他将通过电子邮件收到邀请,并且进度将开始被追踪。
可选:
—> 支持按来源创建各种规则(DLP、SIEM、防病毒、HR 服务等)。
场景:“如果用户发送敏感信息,DLP 会记录该事件并将数据发送给 Phishman,从而触发规则:为员工分配有关处理机密信息的课程。”
因此,管理员可以减少一些常规流程(派员工参加培训、进行有计划的攻击等)。
取而代之的是结论
今天,我们熟悉了俄罗斯用于自动化测试和培训员工过程的解决方案。 它有助于公司做好遵守联邦法律 187、PCI DSS、ISO 27001 的准备。通过 Phishman 进行培训的好处包括:
-
课程定制——改变课程内容的能力;
-
品牌——根据您的企业标准创建数字平台;
-
离线工作——安装在您自己的服务器上;
-
自动化——为员工创建规则(场景);
-
报告——感兴趣事件的统计数据;
-
许可灵活性 - 支持 10 个用户。
如果您对此解决方案感兴趣,可以随时联系
来源: habr.com