2. Обучение пользователей основам ИБ. Phishman

2. Обучение пользователей основам ИБ. Phishman

Мы продолжаем знакомить вас с миром, который борется против фишинга, изучает основы социальной инженерии и не забывает обучать свой персонал. Сегодня у нас в гостях продукт Phishman. Это один из партнеров TS Solution, предоставляющий автоматизированную систему тестирования и обучения сотрудников. Кратко о его концепции:

  • Выявление потребностей обучения конкретных сотрудников.

  • Практические и теоретические курсы для сотрудников через портал обучения.

  • Гибкая система автоматизации работы системы.

Введение в продукт

Компания Phishman c 2016 года занимается разработкой программного обеспечения, связанного с системой тестирования и обучения сотрудников крупных компаний в сфере кибербезопасности. Среди заказчиков есть различные представители отраслей: финансовые, страховые, торговые, сырьевые и промышленные гиганты - от М.Видео до Росатома.

Предлагаемые решения

Phishman сотрудничает с различными компаниями (от малого бизнеса до крупных корпораций), первично достаточно иметь 10 сотрудников. Рассмотрим политику ценообразования  и лицензирования:

  1. Для малого бизнеса:

    А) Phishman Lite - версия продукта от 10 до 249 сотрудников со стартовой ценой за лицензию от 875 рублей. Содержит основные модули: сбор информации ( тестовая рассылка фишинговых писем), обучение (3 базовых курса по ИБ), автоматизация (настройка общего режима тестирования).

    Б) Phishman Standart - версия продукта от 10 до 999 сотрудников со стартовой ценой за лицензию от 1120 рублей. В отличие от версии Lite имеет возможность синхронизации с вашим корпоративным AD-сервером, модуль обучения содержит 5 курсов.

  2. Для крупного бизнеса:

    А) Phishman Enterprise - в данном решении количество сотрудников не ограничено, обеспечивается комплексный процесс повышения осведомленности персонала в области ИБ для компаний любого размера с возможностью адаптации курсов под потребности заказчика и бизнеса. Доступна синхронизация с AD, SIEM, DLP системами для сбора информации о сотрудниках и выявления пользователей, которым необходимо обучение. Существует поддержка интеграции с уже имеющейся системой дистанционного обучения (СДО), сама подписка содержит 7 базовых курсов ИБ, 4 расширенных и 3 игровых. Также поддерживается интересная опция по обучающей атаке с помощью USB-накопителей (флеш-карт).

    Б) Phishman Enterprise+ - дополненная версия включает в себя все опции Enterpise, появляется возможность разработки собственных коннекторов и отчетов (при помощи инженеров Phishman).

    Таким образом, продукт можно гибко настраивать под задачи конкретного бизнеса и интегрировать в уже существующие системы обучения ИБ.

Знакомство с системой

Для написания статьи мы развернули макет со следующими характеристиками:

  1. Ubuntu Server от версии 16.04.

  2. 4 ГБ ОЗУ, 50 ГБ места на жестком диске, процессор с тактовой частотой от 1 ГГц и выше.

  3. Windows сервер с ролью DNS, AD, MAIL.

В целом, набор стандартный и не требующий большой затраты по ресурсам, тем более, учитывая, что AD-сервер, как правило, у вас уже есть. При развертывании будет установлен Docker-контейнер, который автоматически настроит доступ в портал управления и обучения.

Под спойлером типовая схема сети с Fishman

Типовая схема сети

Далее познакомимся с интерфейсом системы, возможностями для администрирования и конечно же функциями.

Вход в портал управления

Портал администрирования Phishman служит для управления списком отделов и сотрудников компании. В нем запускаются атаки по рассылке фишинговых писем (в рамках обучения), результаты формируются в отчеты. Перейти в него возможно по IP-адресу или доменному имени, которое вы указываете при развертывании системы.

Авторизация на портале Phishman

На главной странице вам будут доступны удобные виджеты со статистикой по вашим сотрудникам:

Главная страница портала Phishman

Добавление сотрудников для взаимодействий

Из главного меню можно перейти в раздел “Сотрудники”, где находится список всего персонала компании c разбивкой по отделам (вручную или через AD). В нем расположены инструменты для управления их данными, существует возможность выстраивать структуру в соответствие со штатом.

Панель управления пользователями
Карточка создания сотрудника

Опционально: доступна интеграция с AD, что позволяет удобно автоматизировать процесс обучения новых сотрудников и вести общую статистику.

Запуск обучения сотрудников

После того, как у вас добавлена информация о сотрудниках компании, появляется возможность отправить их на обучающие курсы. Когда это может быть полезно:

  • новый сотрудник;

  • плановое обучение;

  • срочный курс (есть инфоповод, необходимо предупредить).

Запись доступна как для отдельного сотрудника, так и для всего отдела.

Формирование обучающего курса

Где опции:

  • сформировать учебную группу (объединить пользователей);

  • выбор учебного курса (количество в зависимости от лицензии);

  • доступ (постоянный или временный с указанием дат).

Важно!

При первой записи на курсы сотрудник получит письмо с данными для входа на Портал обучения. Интерфейс приглашения - шаблон , доступен для изменения на усмотрение Заказчика.

Образец письма для приглашения на обучение

Если перейти по ссылке, то сотрудник попадет на обучающий портал, где будет автоматически фиксироваться его прогресс и отображаться в статистике у администратора Phishman.

Пример запущенного пользователем курса

Работа с шаблонами атаки

Шаблоны позволяют отправлять целевые обучающие рассылки фишинговых писем с упором на социальную инженерию.

Раздел "Шаблоны"

Шаблоны расположены внутри категорий, например:

Вкладка поиска встроенных шаблонов из различных категорий

О каждом из готовых шаблонов есть информация , в том числе, и по эффективности.

Пример шаблона "Рассылка Твиттер"

Также стоит упомянуть об удобной возможности создавать собственные шаблоны: достаточно скопировать текст из письма: и он автоматически будет преобразован в HTML-код.

Заметка:

если вернуться к содержанию 1 статьи , то нам приходилось вручную подбирать шаблон для подготовки фишинговой атаки. В Enterprise-решении Phishman существует большое количество интегрированных шаблонов, и присутствует поддержка удобных инструментов для создания своих. Кроме этого, вендор активно поддерживает заказчиков и может помочь в добавлении уникальных шаблонов, что считаем в разы эффективнее.  

Общая настройка и помощь

В разделе "Настройки" меняются параметры системы Phishman в зависимости от уровня доступа текущего пользователя (из-за ограничений макета у нас они в полной мере доступны не были).

Интерфейс раздела "Настройки"

Перечислим кратко возможности для настройки:

  • cетевые параметры (адрес почтового сервера, порт, шифрование, аутентификация);

  • выбор системы обучения (поддерживаются интеграция с другими СДО);

  • редактирование шаблонов отправки и обучения;

  • черный список адресов почты (важная возможность для исключения участия в фишинговой рассылки, например, для руководителей компании);

  • управление пользователями (создание, редактирование учетных записей доступа);

  • обновление (просмотр статуса и планирование).

Администраторам будет полезен раздел “Помощь”, в нем есть доступ к руководству пользователя с подробным разбором работы с Phishman, адрес службы поддержки и информация о состоянии системы.

Интерфейс раздела "Помощь"
Сведения о состояние системы

Атака и обучение

После рассмотрения базовых опций и настроек системы проведем обучающую атаку, для этого откроем раздел “Атаки”.

Интерфейс панели управления "Атаки"

В нем мы можем ознакомиться с результатами уже запущенных атак, создать новые и т.д. Опишем шаги для запуска кампании.

Запуск атаки

1) Назовем новую атаку "утечка данных".

Определим следующие настройки:

Где:

Отправитель → указывается домен рассылки (по умолчанию от вендора).

Фишинговые формы → используются в шаблонах с целью попытки получения данных от пользователей, при этом фиксируется лишь сам факт ввода, данные не сохраняются.

Переадресация → указывается редирект на страницу после перехода пользователем.

2) На стадии рассылки указывается режим распространения атаки

Где:

Тип атаки → указывается, как и в течение какого времени будет происходить атака. (опция включает в себя неравномерный режим рассылки и т.д.)

Время начала рассылки → указывается время старта отправки сообщений.

3) На этапе “Цели” указываются сотрудники по отделам или индивидуально

4) После чего мы указываем уже затрагиваемые нами шаблоны для атаки:

Итак , чтобы запустить атаку нам понадобилось:

а) создать шаблон атаки;

б) указать режим рассылки;

в) выбрать цели;

г) определить шаблон фишингового письма.

Проверка результатов атаки

Изначально имеем:

Со стороны пользователя видимо новое почтовое сообщение:

Если его раскрыть:

Если перейти по ссылке, то будет предложено ввести данные от почты:

Параллельно смотрим в статистику по атаке:

Важно!

Политика Phishman строго следует нормативным и этическим нормам, поэтому данные вводимые пользователем нигде не сохраняются, фиксируется лишь факт утечки.

Отчеты

Все, что делалось выше, должно быть подкреплено различной статистикой и общей информацией об уровне подготовленности сотрудников. Для мониторинга существует отдельный раздел “Отчеты”.

Он включает в себя:

  • Отчет по обучению, отражающий информацию о результатах прохождения курса в рамках отчетного периода.

  • Отчет по атакам, показывающий результат проведения фишинговых атак ( количество инцидентов, распределение по времени и т.д. ).

  • Отчет по динамике обучения, отображающий успеваемость ваших сотрудников.

  • Отчет по динамике фишинговых уязвимостей ( сводная информация по инцидентам ).

  • Аналитический отчет ( реакция сотрудников на события до/после ).

Работа с отчетом

1) Выполним “Сформировать отчет”.

2) Укажем отдел/сотрудников для формирования отчета.

3) Выберем период

4) Укажем интересующие курсы

5) Формируем итоговый отчет

Таким образом, отчеты помогают в удобной форме отразить статистику и следить за результатами работы обучающего портала, а также поведения сотрудников.

Автоматизация обучения

Отдельно стоит упомянуть о возможности создавать автоматические правила, которые помогут администраторам настроить логику работы Phishman.

Написание автоматического сценария

Для настройки необходимо перейти в раздел “Правила”. Нам предлагается:

1) Указать имя и задать время проверки условия.

2) Создаем событие по одному из источников (Фишинг, Обучение, Пользователи), если их несколько, то можно использовать логический оператор (И / ИЛИ). 

В нашем примере мы создали следующее правило: “Если пользователь перешел по вредоносной ссылке одной из наших фишинговых атак, то он будет автоматически записан на обучающий курс, соответственно, ему на почту поступит приглашение, и начнет отслеживаться прогресс прохождения.

Опционально:

--> Существует поддержка создания различных правил по источникам ( DLP, SIEM, Антивирусы, Кадровые службы и т.д). 

Cценарий: “Если пользователь отправляет чувствительную информацию, то DLP фиксирует событие и отправляет данные в Phishman, где срабатывает правило: назначить курс работнику по работе с конфиденциальной информацией”.

Таким образом, администратор может сократить часть рутинных процессов (отправка сотрудников на обучение, проведение плановых атак и т.д.).

Вместо заключения

Сегодня мы с вами познакомились с российским решением автоматизации процесса тестирования и обучения сотрудников. Оно помогает в подготовке компании к соответствию 187 ФЗ, PCI DSS, ISO 27001. К преимуществам обучения через Phishman отнесем:

  • Кастомизация курсов - возможность изменить содержание курсов;

  • Брендирование - создание цифровой платформы согласно вашим корпоративным стандартам;

  • Работа офлайн - установка на собственный сервер;

  • Автоматизация - создание правил (сценариев) для сотрудников;

  • Отчетность - статистика по интересующим событиям;

  • Гибкость лицензирования - поддержка от 10 пользователей. 

Если вас заинтересовало данное решение, вы всегда можете обратиться к нам , мы поможем в организации пилота и проконсультируем совместно с представителями Phishman. На этом сегодня все, учитесь сами и обучайте сотрудников, до новых встреч!

Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.