Мы продолжаем знакомить вас с миром, который борется против фишинга, изучает основы социальной инженерии и не забывает обучать свой персонал. Сегодня у нас в гостях продукт Phishman. Это один из партнеров TS Solution, предоставляющий автоматизированную систему тестирования и обучения сотрудников. Кратко о его концепции:
Выявление потребностей обучения конкретных сотрудников.
Практические и теоретические курсы для сотрудников через портал обучения.
Гибкая система автоматизации работы системы.
Введение в продукт
Компания Phishman c 2016 года занимается разработкой программного обеспечения, связанного с системой тестирования и обучения сотрудников крупных компаний в сфере кибербезопасности. Среди заказчиков есть различные представители отраслей: финансовые, страховые, торговые, сырьевые и промышленные гиганты - от М.Видео до Росатома.
Предлагаемые решения
Phishman сотрудничает с различными компаниями (от малого бизнеса до крупных корпораций), первично достаточно иметь 10 сотрудников. Рассмотрим политику ценообразования и лицензирования:
Для малого бизнеса:
А) Phishman Lite - версия продукта от 10 до 249 сотрудников со стартовой ценой за лицензию от 875 рублей. Содержит основные модули: сбор информации ( тестовая рассылка фишинговых писем), обучение (3 базовых курса по ИБ), автоматизация (настройка общего режима тестирования).
Б) Phishman Standart - версия продукта от 10 до 999 сотрудников со стартовой ценой за лицензию от 1120 рублей. В отличие от версии Lite имеет возможность синхронизации с вашим корпоративным AD-сервером, модуль обучения содержит 5 курсов.
Для крупного бизнеса:
А) Phishman Enterprise - в данном решении количество сотрудников не ограничено, обеспечивается комплексный процесс повышения осведомленности персонала в области ИБ для компаний любого размера с возможностью адаптации курсов под потребности заказчика и бизнеса. Доступна синхронизация с AD, SIEM, DLP системами для сбора информации о сотрудниках и выявления пользователей, которым необходимо обучение. Существует поддержка интеграции с уже имеющейся системой дистанционного обучения (СДО), сама подписка содержит 7 базовых курсов ИБ, 4 расширенных и 3 игровых. Также поддерживается интересная опция по обучающей атаке с помощью USB-накопителей (флеш-карт).
Б) Phishman Enterprise+ - дополненная версия включает в себя все опции Enterpise, появляется возможность разработки собственных коннекторов и отчетов (при помощи инженеров Phishman).
Таким образом, продукт можно гибко настраивать под задачи конкретного бизнеса и интегрировать в уже существующие системы обучения ИБ.
Знакомство с системой
Для написания статьи мы развернули макет со следующими характеристиками:
Ubuntu Server от версии 16.04.
4 ГБ ОЗУ, 50 ГБ места на жестком диске, процессор с тактовой частотой от 1 ГГц и выше.
Windows сервер с ролью DNS, AD, MAIL.
В целом, набор стандартный и не требующий большой затраты по ресурсам, тем более, учитывая, что AD-сервер, как правило, у вас уже есть. При развертывании будет установлен Docker-контейнер, который автоматически настроит доступ в портал управления и обучения.
Под спойлером типовая схема сети с Fishman
Далее познакомимся с интерфейсом системы, возможностями для администрирования и конечно же функциями.
Вход в портал управления
Портал администрирования Phishman служит для управления списком отделов и сотрудников компании. В нем запускаются атаки по рассылке фишинговых писем (в рамках обучения), результаты формируются в отчеты. Перейти в него возможно по IP-адресу или доменному имени, которое вы указываете при развертывании системы.
На главной странице вам будут доступны удобные виджеты со статистикой по вашим сотрудникам:
Добавление сотрудников для взаимодействий
Из главного меню можно перейти в раздел “Сотрудники”, где находится список всего персонала компании c разбивкой по отделам (вручную или через AD). В нем расположены инструменты для управления их данными, существует возможность выстраивать структуру в соответствие со штатом.
Опционально: доступна интеграция с AD, что позволяет удобно автоматизировать процесс обучения новых сотрудников и вести общую статистику.
Запуск обучения сотрудников
После того, как у вас добавлена информация о сотрудниках компании, появляется возможность отправить их на обучающие курсы. Когда это может быть полезно:
новый сотрудник;
плановое обучение;
срочный курс (есть инфоповод, необходимо предупредить).
Запись доступна как для отдельного сотрудника, так и для всего отдела.
Где опции:
сформировать учебную группу (объединить пользователей);
выбор учебного курса (количество в зависимости от лицензии);
доступ (постоянный или временный с указанием дат).
Важно!
При первой записи на курсы сотрудник получит письмо с данными для входа на Портал обучения. Интерфейс приглашения - шаблон , доступен для изменения на усмотрение Заказчика.
Если перейти по ссылке, то сотрудник попадет на обучающий портал, где будет автоматически фиксироваться его прогресс и отображаться в статистике у администратора Phishman.
Работа с шаблонами атаки
Шаблоны позволяют отправлять целевые обучающие рассылки фишинговых писем с упором на социальную инженерию.
Шаблоны расположены внутри категорий, например:
О каждом из готовых шаблонов есть информация , в том числе, и по эффективности.
Также стоит упомянуть об удобной возможности создавать собственные шаблоны: достаточно скопировать текст из письма: и он автоматически будет преобразован в HTML-код.
Заметка:
если вернуться к содержанию 1 статьи , то нам приходилось вручную подбирать шаблон для подготовки фишинговой атаки. В Enterprise-решении Phishman существует большое количество интегрированных шаблонов, и присутствует поддержка удобных инструментов для создания своих. Кроме этого, вендор активно поддерживает заказчиков и может помочь в добавлении уникальных шаблонов, что считаем в разы эффективнее.
Общая настройка и помощь
В разделе "Настройки" меняются параметры системы Phishman в зависимости от уровня доступа текущего пользователя (из-за ограничений макета у нас они в полной мере доступны не были).
Перечислим кратко возможности для настройки:
cетевые параметры (адрес почтового сервера, порт, шифрование, аутентификация);
выбор системы обучения (поддерживаются интеграция с другими СДО);
редактирование шаблонов отправки и обучения;
черный список адресов почты (важная возможность для исключения участия в фишинговой рассылки, например, для руководителей компании);
управление пользователями (создание, редактирование учетных записей доступа);
обновление (просмотр статуса и планирование).
Администраторам будет полезен раздел “Помощь”, в нем есть доступ к руководству пользователя с подробным разбором работы с Phishman, адрес службы поддержки и информация о состоянии системы.
Атака и обучение
После рассмотрения базовых опций и настроек системы проведем обучающую атаку, для этого откроем раздел “Атаки”.
В нем мы можем ознакомиться с результатами уже запущенных атак, создать новые и т.д. Опишем шаги для запуска кампании.
Запуск атаки
1) Назовем новую атаку "утечка данных".
Определим следующие настройки:
Где:
Отправитель → указывается домен рассылки (по умолчанию от вендора).
Фишинговые формы → используются в шаблонах с целью попытки получения данных от пользователей, при этом фиксируется лишь сам факт ввода, данные не сохраняются.
Переадресация → указывается редирект на страницу после перехода пользователем.
2) На стадии рассылки указывается режим распространения атаки
Где:
Тип атаки → указывается, как и в течение какого времени будет происходить атака. (опция включает в себя неравномерный режим рассылки и т.д.)
Время начала рассылки → указывается время старта отправки сообщений.
3) На этапе “Цели” указываются сотрудники по отделам или индивидуально
4) После чего мы указываем уже затрагиваемые нами шаблоны для атаки:
Итак , чтобы запустить атаку нам понадобилось:
а) создать шаблон атаки;
б) указать режим рассылки;
в) выбрать цели;
г) определить шаблон фишингового письма.
Проверка результатов атаки
Изначально имеем:
Со стороны пользователя видимо новое почтовое сообщение:
Если его раскрыть:
Если перейти по ссылке, то будет предложено ввести данные от почты:
Параллельно смотрим в статистику по атаке:
Важно!
Политика Phishman строго следует нормативным и этическим нормам, поэтому данные вводимые пользователем нигде не сохраняются, фиксируется лишь факт утечки.
Отчеты
Все, что делалось выше, должно быть подкреплено различной статистикой и общей информацией об уровне подготовленности сотрудников. Для мониторинга существует отдельный раздел “Отчеты”.
Он включает в себя:
Отчет по обучению, отражающий информацию о результатах прохождения курса в рамках отчетного периода.
Отчет по атакам, показывающий результат проведения фишинговых атак ( количество инцидентов, распределение по времени и т.д. ).
Отчет по динамике обучения, отображающий успеваемость ваших сотрудников.
Отчет по динамике фишинговых уязвимостей ( сводная информация по инцидентам ).
Аналитический отчет ( реакция сотрудников на события до/после ).
Работа с отчетом
1) Выполним “Сформировать отчет”.
2) Укажем отдел/сотрудников для формирования отчета.
3) Выберем период
4) Укажем интересующие курсы
5) Формируем итоговый отчет
Таким образом, отчеты помогают в удобной форме отразить статистику и следить за результатами работы обучающего портала, а также поведения сотрудников.
Автоматизация обучения
Отдельно стоит упомянуть о возможности создавать автоматические правила, которые помогут администраторам настроить логику работы Phishman.
Написание автоматического сценария
Для настройки необходимо перейти в раздел “Правила”. Нам предлагается:
1) Указать имя и задать время проверки условия.
2) Создаем событие по одному из источников (Фишинг, Обучение, Пользователи), если их несколько, то можно использовать логический оператор (И / ИЛИ).
В нашем примере мы создали следующее правило: “Если пользователь перешел по вредоносной ссылке одной из наших фишинговых атак, то он будет автоматически записан на обучающий курс, соответственно, ему на почту поступит приглашение, и начнет отслеживаться прогресс прохождения.
Опционально:
--> Существует поддержка создания различных правил по источникам ( DLP, SIEM, Антивирусы, Кадровые службы и т.д).
Cценарий: “Если пользователь отправляет чувствительную информацию, то DLP фиксирует событие и отправляет данные в Phishman, где срабатывает правило: назначить курс работнику по работе с конфиденциальной информацией”.
Таким образом, администратор может сократить часть рутинных процессов (отправка сотрудников на обучение, проведение плановых атак и т.д.).
Вместо заключения
Сегодня мы с вами познакомились с российским решением автоматизации процесса тестирования и обучения сотрудников. Оно помогает в подготовке компании к соответствию 187 ФЗ, PCI DSS, ISO 27001. К преимуществам обучения через Phishman отнесем:
Кастомизация курсов - возможность изменить содержание курсов;
Брендирование - создание цифровой платформы согласно вашим корпоративным стандартам;
Работа офлайн - установка на собственный сервер;
Автоматизация - создание правил (сценариев) для сотрудников;
Отчетность - статистика по интересующим событиям;
Гибкость лицензирования - поддержка от 10 пользователей.
Если вас заинтересовало данное решение, вы всегда можете обратиться к нам , мы поможем в организации пилота и проконсультируем совместно с представителями Phishman. На этом сегодня все, учитесь сами и обучайте сотрудников, до новых встреч!
