3. От обучения пользователей к тренировке навыков по ИБ. Антифишинг

3. От обучения пользователей к тренировке навыков по ИБ. Антифишинг

Приветствую друзья! Сегодня мы в рамках цикла статей по борьбе с фишингом познакомимся с российским решением “Антифишинг”. Для того, чтобы более подробно изучить концепцию и архитектуру системы, мы пообщались с представителями вендора и проверили решение на себе, обучая и тренируя сотрудников нашей компании - TS Solution, но обо всем по порядку. В статье рассмотрим:

  1. Об Антифишинге

  2. Возможности и функции Антифишинга

  3. Архитектура Антифишинга

  4. Проведение пилота в TS Solution

  5. Общие выводы и впечатления

Об Антифишинге

Психология цифровых атак на финансовые организации: эволюция;

  • Многоликий фишинг. Когда технические средства защиты не помогают.

  • Заказчик в лице администратора сети получает доступ к различным категориям атак: покрывает весь спектр человеческих уязвимостей, проверяя сотрудников на различные эмоции и сопутствующие факторы. Таким образом, Антифишинг выступает  как психолог, но применительно к миру ИБ.

    Шаблоны для TS Solution

    Вендор перед проведением пилота, а впоследствии и после приобретения лицензий разрабатывает сценарии и помогает готовить целевые шаблоны имитированных атак. Благодаря такому подходу ваши сотрудники будут тренироваться в максимально сложных и реалистичных условиях, которые соответствуют условиям их работы, а не просто получать “спам” в качестве тестовых рассылок.

    В нашем случае специалисты Антифишинга предложили следующие сценарии атак:

    Каждый такой сценарий в реальности могли использовать мошенники, зная специфику деятельности и реальные бизнес-процессы нашей компании как интегратора. По своей сущности шаблон представляет собой готовое к отправке письмо с оформлением, ссылками, вложениями, фишинговыми страницами и моментальной обратной связью (финальными страницами). 

    Для примера показан шаблон с Яндекс-Паспортом:

    В нем используется идентичная форма от оригинального сервиса Яндекса, которым действительно пользуются многие наши сотрудники. В качестве переменной {second-name} подставляются данные из ФИО в карточке сотрудника. Внутренности шаблона изменяются с помощью встроенного редактора, есть доступ к HTML коду.

    У нас уже был доступ к платформе в режиме SaaS и нам не терпелось протестировать систему, для удобства различные этапы убраны под спойлер.

    Знакомство с интерфейсом системы

    Для входа требуется ввести логин и пароль, они были предоставлены заранее, пароль можно сменить сразу после входа.

    Главная страница структурно состоит из центральной панели мониторинга:

    Перейдя по каждому из заголовков, отображается информация:

    → Знания. Раздел позволяет добавлять учетные записи сотрудников, группировать их в подразделения, доступна сортировка по различным представлениям (отдел, ФИО, руководство) и состояниям человека.

    → Навыки. Раздел отображает информацию о подготовленных ранее учебных атаках, в нем же их можно запускать и просматривать классификацию.

    → Рейтинг. Раздел отражает собственно сам рейтинг и отчетность по сотрудникам и отделам, он динамически изменяется в зависимости от действий человека в лучшую или худшую сторону.

    → Уязвимости. Раздел, в котором отражается информация по программным уязвимостям в клиентских приложениях, которые могут быть использованы в реальных атаках из-за небезопасных действий сотрудников. Это может быть устаревшая версия браузера, плагина, почтовой или офисной программы.

    Если отключить ползунок ( в правом углу ), то верхняя панель мониторинга отобразится в текстовом виде:

    Также имеется классическое меню, на одном экране оно представляет доступ ко всем основным функциям и разделам системы:

    Перейдя в настройки, мы получаем возможность управлять учетной записью администратора портала “Антифишинга”: просмотреть текущую лицензию, настроить время для обучения, установить режим работы уведомлений, настроить автоматизацию, включить синхронизацию по LDAP и другие опции.

    Запуск атаки

    После первичного знакомства с интерфейсом системы нам не терпелось запустить нашу кампанию по захвату мира (хотя бы проверки навыков наших сотрудников). Опишем шаги, которые вам для этого понадобятся:

    Первый шаг. Логично предположить, что для отправки писем нужна информация о получателях, для этого перейдем в раздел настроек → Cотрудники.

    Система предлагает 3 варианта добавления данных из интерфейса:

    • по одному человеку;

    • импорт шаблона из файла (пример имеется на портале);

    • синхронизация с вашим AD через LDAP.

    *еще один способ добавить сотрудников и выполнить любые другие действия — через программный интерфейс (API) Антифишинга.

    Итак, на первом шаге мы импортировали шаблон с запрашиваемыми данными. В нем находилось: ФИО, почта, должность, отдел. В результате подготовили данные по “жертвам” рассылки. 

    Как можно было заметить, текущий рейтинг у сотрудников в значение “0”, ведь учебных атак или обучения еще не производилось.

    Второй шаг. Собственно, чтобы запустить вашу учебную атаку - необходимо настроить шаблон.

    В этом шаблоне имитируется реальный запрос от потенциально крупного клиента, с кем нам как интегратору, разумеется, захочется начать работу.

    При создании атаки можно определить:

    → Название.

    → Цель для атаки. Выбор как отдельного сотрудника, так и целого отдела.

    → Шаблон.

    → Тема письма

    → Отправитель. Имя отображается в заголовке письма.

    → Адрес. E-Mail с которого будет произведена отправка.

    → Редактор с шаблоном письма

    → Вложение. Поддержка всевозможных форматов данных для отправки, в том числе, архивов.

    → Фишинговая страница. Опция с переходом на учебную страницу злоумышленника.

    → Финальная страница. Контент, который увидит пользователь после перехода по фишинговой ссылке. 

    Третий шаг. После создания атаки у нас будет возможность задать для нее расписание.

    Доступны следующие временные отрезки:

    • Отправка моментально;

    • Отправка в интервале. Рассылка будет распределена в течение указанного времени.

    • Отправка в течение. Общая рассылка будет произведена после указанного времени.

    Как выглядит учебная атака со стороны пользователя? Он получает соответствующее письмо.

    Вложение сделано так, чтобы сотрудник захотел сделать небезопасное действие — отключить защищенный режим (или разрешить редактирование):

    Если перейти по ссылке, система покажет сотруднику эмоциональную обратную связь:

    Итак, мы уже изучили концепцию Антифишинга, познакомились с их методологией и даже запустили первую учебную фишинговую атаку, в целом пока ничего сложного - процесс интуитивно понятен и не требует больших временных затрат.

    Обратная связь по атаке и вовлеченность людей

    Качество проработки сценариев и шаблонов атак напрямую влияет на результаты тренировки навыков и вовлеченность сотрудников в процессы обеспечения безопасности. Если рассылать людям “спам” — не адаптированные и случайные шаблоны, то ничего, кроме раздражения и негатива к службе ИБ это не вызовет.

    Если же подходить к процессу внимательно, готовить сценарии на основе реальных ситуаций, закрывать через атаки все психологические векторы и давать людям корректную обратную связь, можно получить очень сильный эмоциональный эффект для сотрудников, которые сами будут заинтересованы в будущем узнавать такие ситуации и помогать выявлять их. 

    Мы решили выяснить, как имитированные атаки воспринимались пользователями. В нашем случае, наиболее популярным по количеству жертв оказался шаблон с внезапной сессий в  Zoom, имитирующий ежедневный сценарий общения в современном мире.

    Далее делимся таблицей, в которой записали отзывы сотрудников, которые так или иначе взаимодействовали с атакой.

    Сотрудники против фишинга

    Шаблон 

    Действия сотрудника

    Комментарий

    Сессия в Zoom

    Я: Расскажи что произошло? 

    Сотрудник: Пришло письмо, я его прочла и была возмущена, что мне никто ничего не сказал!

    Я: Ты все таки решила что оно настоящее?

    Сотрудник: Да, я побежала по дому в поисках наушников, чтобы подключиться, параллельно вспоминая всех причастных коллег.

    Я: Эффект неожиданности и срочности

    повлиял на то, что ты не заметила      подвоха?

    Сотрудник: Конечно! 

    В данном кейсе сотрудник открыл фишинговое учебное письмо, перешел по ссылке и нажал на кнопку запуска сессии, тем самым выполнил максимальное количество нежелательных шагов. 

    Шаблон отмечен следующими психологическими тегами: страх, неожиданность, срочность. Как видим в целом оправдано. 

    Сессия в Zoom

    Я: Расскажи что произошло? 

    Сотрудник: Получила письмо на почту следующего характера: " *Имя *, Почему тебя нет на звонке?  Нужна твоя помощь. Срочно подключайся".

    Я: Какая твоя первая реакция? 

    Сотрудник: Первая реакция (а она самая ошибочная) -  перейти по ссылке. У всех есть слабости и при виде сообщения "Срочно быть" и "Нужна твоя помощь"  так и хочется впопыхах поддаться соблазну.

    Я: Были ли сомнения? 

    Сотрудник: Да! возникают вопросы в стиле: "Что? Какой звонок? Не было же такого … или я не помню? Почему написано на почту, а не на удобный мессенджер, где я быстрее увижу сообщение”. Всматриваясь в письмо, замечаешь неверный адрес начальника и не совсем типичную стилистику общения. Параллельно с этим пишешь в общий чат и тут оказывается, что о нем не знает никто!

    В данном кейсе сотрудник перешел по вредоносной ссылке в учебном фишинговом письме, но не подключался к конференции. Также он написал об этом в корпоративный чат, чтобы убедиться о недостоверности планируемой сессии. 

    Приглашение на собеседование

    Я: Расскажи что было?

    Сотрудник: Под конец рабочего дня, получил письмо от IT-компании с предложением о работе. 

    Я: Какое было твое первое впечатление?

    Сотрудник: Я решил найти сайт компании, он действительно был. В письме была указана моя текущая должность с предложением о новой вакансии. В первые несколько минут не было подозрений!

    Я: Но дальше твое мнение изменилось?

    Сотрудник: Смутило то что предлагают повышение зарплаты в процентах и ссылка на вакансию отличается от оригинальных в HH, пусть и не значительно. Также почта отправителя в письме отличается от той, что используется в подписи. (различие в доменах).

    Данный кейс может помочь вам определять уровень лояльности сотрудников. Во главе письма стоит жадность и интерес.

    В нашем случае сотрудник был внимателен, не перешел по фишинговой учебной ссылке и сообщил в отдел IT об инциденте. 

    Обучение сотрудников

    Чтобы сотрудники вели себя безопасно в информационной среде, им нужно не только тренироваться, но и что-то знать. В “Антифишинге” есть встроенная система обучения, которая уже наполнена следующими учебными курсами:

    • Базовый курс по безопасности

    • Безопасная работа в интернете и с почтой

    • Мобильная безопасность

    • Физическая безопасность

    • Безопасная удалённая работа

    Отправить сотруднику сообщение о прохождении курса, возможно с помощью:

    • вручную;

    • через планировщик;

    • API.

    *об автоматизации в следующем подразделе.

    Каждый курс состоит из теории и обязательного тестирования. По большей части материал предлагается в виде практических кейсов (случаев), которые потенциально могут встретиться сотруднику, также даются рекомендации о том, как действовать в этих ситуациях.

    После успешного прохождения теста существует награда и для вашего сотрудника — сертификат, который выдается автоматически.

    Пример с сертификатом

    Оформление сертификатов можно менять под корпоративный брендбук, а QR-код позволит всегда проверить актуальность действующего сертификата (если работник допустил нарушения, то его могут назначать на повторное обучение, а старые результаты в таком случае станут недействительными).

    В каждую лицензию «Антифишинга» входят бесплатная и обязательная адаптация курсов по требованиям политик безопасности заказчика, а также брендирование и замена контактной информации. Имея версию лицензии «STD. Стандартная» или выше , Антифишинг позволяет интегрироваться с внешними системами обучения, такими, как «ВебТьютор» и Moodle.

    Автоматизация процессов

    Конечно, все то, о чем мы рассказали ранее, позволит вам проверить и обучать ваших сотрудников, но как это все администрировать? Сложно себе представить современные корпоративные процессы без автоматизации. В “Антифишинге” существует планировщик.

    На рисунке активировано одно правило, что все кто перешел по ссылке ИЛИ открыл вложение, автоматически получат письмо с прохождением курса по Безопасной работе в интернете и с почтой. Соответственно, администратор будет иметь отчетность и будет уведомлен о прогрессе обучающихся.

    Разумеется, есть большое количество встроенных правил, их можно отредактировать с использованием логических операторов. Тем самым вы можете автоматизировать большинство рутинных задач и работать с отчетностью, о которой будет далее.

    Работа с отчетностью

    Ключевая статистика по сотрудникам всегда доступна на главной странице портала управления Антифишинга.

    Кроме этого доступен экспорт статистики в формате XLSX.

    Главный отчет содержит:

    • Общая статистика по кол-ву сотрудников, их успеваемости и текущем статусе;

    • График, отображающий рейтинг сотрудников по последним 10 атакам;

    • Диаграмма, отображающая изменения рейтинга сотрудников по отделам;

    • Диаграмма навыков сотрудников по отделам. 

    • Перечень уязвимостей, найденных на ПК сотрудников.

    Пример отчета об обучении сотрудников

    В отчете по обучению содержится:

    • Статусы по курсу: “прошел” / “не прошел” / “отменено”;

    • Количество попыток для прохождения;

    • Подробная отчетность о каждом курсе.

    В отчете по обучению содержится:

    • Статусы по курсу: “прошел” / “не прошел” / “отменено”;

    • Количество попыток для прохождения;

    • Подробная отчетность о каждом курсе.

    В отчете по обучению содержится:

    • Статусы по курсу: “прошел” / “не прошел” / “отменено”;

    • Количество попыток для прохождения;

    • Подробная отчетность о каждом курсе.

    Завершая обзор возможностей, при работе с отчетностью в Антифишинге, стоит отметить возможности импорта всех событий в SIEM по протоколу Syslog, вендор сообщает, что этим пользуются заказчики, которые проводят корреляцию событий из области ИБ с поведением людей и уровнем их навыков. 

    Также данные из Антифишинга и все функции доступны через API, это позволяет интегрироваться и управлять Антифишингом, например, через IDM, IRP (например, R-Vision) или в интеграции с SOAR. Поддержка различных сценариев по работе с данными позволяет интегрировать Антифишинг для различных компаний, подстраиваясь под специфику их инфраструктуры, процессов и действующих регламентов.

    Общие выводы и впечатления

    В этом разделе хотелось бы напомнить, что мы проверяли и обучали своих сотрудников с помощью системы Антифишинг, общались с вендором на закрытых вебинарах, знакомились с интерфейсом и администрировали систему. 

    1) Прозрачная процедура проведения пилота.

    Вендор использует стандартизированный подход в ходе всего тестирования системы заказчиком, он заключается в пошаговом выполнении различных операций с системой Антифишинг, согласно Уставу Пилота (внутренний документ вендора). Отдельно благодарим всех специалистов Антифишинга за их продуктивное взаимодействие, помощь при работе с системой.

    2) Шаблоны писем как отдельный вид искусства.

    Антифишинг позиционирует себя как вендор, который ведет исследовательскую работу, разрабатывает свою методологию и использует классификацию при создании шаблонов, это позволяет тренировать сотрудников на наиболее актуальные и “живые” случаи, которые могут встретиться в реальности. Таким образом, вы получаете непрерывный целевой пентест вашего персонала, не тратя время на создание и разработку контента для атак.

    3) Обучение простое и эффективное.

    Курсы Антифишинга обеспечивают подачу учебного материала в доступной и понятной форме. Учебные материалы разработаны с акцентом на практическую значимость, т.е разобрано достаточно много случаев из реальных жизненных ситуаций.

    4) Планирование и автоматизация.

    Возможности планировщика позволят вам гибко настроить политику работы с Антифишингом, исходя из внутренней схемы организации процессов в вашей компании. Доступная интегрированность с SIEM-решениями и поддержка API, безусловно обеспечат более простой процесс внедрения Антифишинга в вашу инфраструктуру, обеспечивая ожидаемую эффективность.

    5) Отчетность и результативность.

    У каждого сотрудника есть свой собственный рейтинг, благодаря которому легко отслеживать его индивидуальный результат. Общая отчетность позволит видеть картину о состоянии уровня IT-грамотности.

    Если вас заинтересовало решение Антифишинг , вы всегда можете обратиться к нам , мы поможем в организации пилота и проконсультируем совместно с представителями вендора. Спасибо всем тем кто дочитал до конца, статья вышла объемная, но мы надеемся, что не менее полезная для Вас. Оставайтесь на связи, мы будем и дальше знакомить вас с интересными решениями!

    Alt text

    Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.