2. Обучение пользователей основам ИБ. Phishman
Мы продолжаем знакомить вас с миром, который борется против фишинга, изучает основы социальной инженерии и не забывает обучать свой персонал. Сегодня у нас в гостях продукт Phishman. Это один из партнеров TS Solution, предоставляющий автоматизированную систему тестирования и обучения сотрудников. Кратко о его концепции:
Выявление потребностей обучения конкретных сотрудников.
Практические и теоретические курсы для сотрудников через портал обучения.
Гибкая система автоматизации работы системы.
Введение в продукт
Компания Phishman c 2016 года занимается разработкой программного обеспечения, связанного с системой тестирования и обучения сотрудников крупных компаний в сфере кибербезопасности. Среди заказчиков есть различные представители отраслей: финансовые, страховые, торговые, сырьевые и промышленные гиганты — от М.Видео до Росатома.
Предлагаемые решения
Phishman сотрудничает с различными компаниями (от малого бизнеса до крупных корпораций), первично достаточно иметь 10 сотрудников. Рассмотрим политику ценообразования и лицензирования:
Для малого бизнеса:
А) Phishman Lite — версия продукта от 10 до 249 сотрудников со стартовой ценой за лицензию от 875 рублей. Содержит основные модули: сбор информации (тестовая рассылка фишинговых писем), обучение (3 базовых курса по ИБ), автоматизация (настройка общего режима тестирования).
Б) Phishman Standart— версия продукта от 10 до 999 сотрудников со стартовой ценой за лицензию от 1120 рублей. В отличие от версии Lite имеет возможность синхронизации с вашим корпоративным AD-сервером, модуль обучения содержит 5 курсов.
Для крупного бизнеса:
А) Phishman Enterprise— в данном решении количество сотрудников не ограничено, обеспечивается комплексный процесс повышения осведомленности персонала в области ИБ для компаний любого размера с возможностью адаптации курсов под потребности заказчика и бизнеса. Доступна синхронизация с AD, SIEM, DLP системами для сбора информации о сотрудниках и выявления пользователей, которым необходимо обучение. Существует поддержка интеграции с уже имеющейся системой дистанционного обучения (СДО), сама подписка содержит 7 базовых курсов ИБ, 4 расширенных и 3 игровых. Также поддерживается интересная опция по обучающей атаке с помощью USB-накопителей (флеш-карт).
Б) Phishman Enterprise+ — дополненная версия включает в себя все опции Enterpise, появляется возможность разработки собственных коннекторов и отчетов (при помощи инженеров Phishman).
Таким образом, продукт можно гибко настраивать под задачи конкретного бизнеса и интегрировать в уже существующие системы обучения ИБ.
Знакомство с системой
Для написания статьи мы развернули макет со следующими характеристиками:
Ubuntu Server от версии 16.04.
4 ГБ ОЗУ, 50 ГБ места на жестком диске, процессор с тактовой частотой от 1 ГГц и выше.
Windows сервер с ролью DNS, AD, MAIL.
В целом, набор стандартный и не требующий большой затраты по ресурсам, тем более, учитывая, что AD-сервер, как правило, у вас уже есть. При развертывании будет установлен Docker-контейнер, который автоматически настроит доступ в портал управления и обучения.
Под спойлером типовая схема сети с Fishman
Далее познакомимся с интерфейсом системы, возможностями для администрирования и конечно же функциями.
Вход в портал управления
Портал администрирования Phishman служит для управления списком отделов и сотрудников компании. В нем запускаются атаки по рассылке фишинговых писем (в рамках обучения), результаты формируются в отчеты. Перейти в него возможно по IP-адресу или доменному имени, которое вы указываете при развертывании системы.
Авторизация на портале PhishmanНа главной странице вам будут доступны удобные виджеты со статистикой по вашим сотрудникам:
Главная страница портала PhishmanДобавление сотрудников для взаимодействий
Из главного меню можно перейти в раздел «Сотрудники», где находится список всего персонала компании c разбивкой по отделам (вручную или через AD). В нем расположены инструменты для управления их данными, существует возможность выстраивать структуру в соответствие со штатом.
Панель управления пользователямиКарточка создания сотрудникаОпционально: доступна интеграция с AD, что позволяет удобно автоматизировать процесс обучения новых сотрудников и вести общую статистику.
Запуск обучения сотрудников
После того, как у вас добавлена информация о сотрудниках компании, появляется возможность отправить их на обучающие курсы. Когда это может быть полезно:
новый сотрудник;
плановое обучение;
срочный курс (есть инфоповод, необходимо предупредить).
Запись доступна как для отдельного сотрудника, так и для всего отдела.
Формирование обучающего курсаГде опции:
сформировать учебную группу (объединить пользователей);
выбор учебного курса (количество в зависимости от лицензии);
доступ (постоянный или временный с указанием дат).
Важно!
При первой записи на курсы сотрудник получит письмо с данными для входа на Портал обучения. Интерфейс приглашения — шаблон , доступен для изменения на усмотрение Заказчика.
Образец письма для приглашения на обучениеЕсли перейти по ссылке, то сотрудник попадет на обучающий портал, где будет автоматически фиксироваться его прогресс и отображаться в статистике у администратора Phishman.
Пример запущенного пользователем курсаРабота с шаблонами атаки
Шаблоны позволяют отправлять целевые обучающие рассылки фишинговых писем с упором на социальную инженерию.
Раздел «Шаблоны»Шаблоны расположены внутри категорий, например:
Вкладка поиска встроенных шаблонов из различных категорийО каждом из готовых шаблонов есть информация , в том числе, и по эффективности.
Пример шаблона «Рассылка Твиттер»Также стоит упомянуть об удобной возможности создавать собственные шаблоны: достаточно скопировать текст из письма: и он автоматически будет преобразован в HTML-код.
Заметка:
если вернуться к содержанию 1 статьи, то нам приходилось вручную подбирать шаблон для подготовки фишинговой атаки. В Enterprise-решении Phishman существует большое количество интегрированных шаблонов, и присутствует поддержка удобных инструментов для создания своих. Кроме этого, вендор активно поддерживает заказчиков и может помочь в добавлении уникальных шаблонов, что считаем в разы эффективнее.
Общая настройка и помощь
В разделе «Настройки» меняются параметры системы Phishman в зависимости от уровня доступа текущего пользователя (из-за ограничений макета у нас они в полной мере доступны не были).
Интерфейс раздела «Настройки»Перечислим кратко возможности для настройки:
cетевые параметры (адрес почтового сервера, порт, шифрование, аутентификация);
выбор системы обучения (поддерживаются интеграция с другими СДО);
редактирование шаблонов отправки и обучения;
черный список адресов почты (важная возможность для исключения участия в фишинговой рассылки, например, для руководителей компании);
управление пользователями (создание, редактирование учетных записей доступа);
обновление (просмотр статуса и планирование).
Администраторам будет полезен раздел «Помощь», в нем есть доступ к руководству пользователя с подробным разбором работы с Phishman, адрес службы поддержки и информация о состоянии системы.
Интерфейс раздела «Помощь»Сведения о состояние системыАтака и обучение
После рассмотрения базовых опций и настроек системы проведем обучающую атаку, для этого откроем раздел «Атаки».
Интерфейс панели управления «Атаки»
В нем мы можем ознакомиться с результатами уже запущенных атак, создать новые и т.д. Опишем шаги для запуска кампании.
Запуск атаки
1) Назовем новую атаку «утечка данных».
Определим следующие настройки:
Где:
Отправитель → указывается домен рассылки (по умолчанию от вендора).
Фишинговые формы → используются в шаблонах с целью попытки получения данных от пользователей, при этом фиксируется лишь сам факт ввода, данные не сохраняются.
Переадресация → указывается редирект на страницу после перехода пользователем.
2) На стадии рассылки указывается режим распространения атаки
Где:
Тип атаки → указывается, как и в течение какого времени будет происходить атака. (опция включает в себя неравномерный режим рассылки и т.д.)
Время начала рассылки → указывается время старта отправки сообщений.
3) На этапе «Цели» указываются сотрудники по отделам или индивидуально
4) После чего мы указываем уже затрагиваемые нами шаблоны для атаки:
Итак, чтобы запустить атаку нам понадобилось:
а) создать шаблон атаки;
б) указать режим рассылки;
в) выбрать цели;
г) определить шаблон фишингового письма.
Проверка результатов атаки
Изначально имеем:
Со стороны пользователя видимо новое почтовое сообщение:
Если его раскрыть:
Если перейти по ссылке, то будет предложено ввести данные от почты:
Параллельно смотрим в статистику по атаке:
Важно!
Политика Phishman строго следует нормативным и этическим нормам, поэтому данные вводимые пользователем нигде не сохраняются, фиксируется лишь факт утечки.
Отчеты
Все, что делалось выше, должно быть подкреплено различной статистикой и общей информацией об уровне подготовленности сотрудников. Для мониторинга существует отдельный раздел «Отчеты».
Он включает в себя:
Отчет по обучению, отражающий информацию о результатах прохождения курса в рамках отчетного периода.
Отчет по атакам, показывающий результат проведения фишинговых атак (количество инцидентов, распределение по времени и т.д.).
Отчет по динамике обучения, отображающий успеваемость ваших сотрудников.
Отчет по динамике фишинговых уязвимостей (сводная информация по инцидентам).
Аналитический отчет (реакция сотрудников на события до/после).
Работа с отчетом
1) Выполним «Сформировать отчет».
2) Укажем отдел/сотрудников для формирования отчета.
3) Выберем период
4) Укажем интересующие курсы
5) Формируем итоговый отчет
Таким образом, отчеты помогают в удобной форме отразить статистику и следить за результатами работы обучающего портала, а также поведения сотрудников.
Автоматизация обучения
Отдельно стоит упомянуть о возможности создавать автоматические правила, которые помогут администраторам настроить логику работы Phishman.
Написание автоматического сценария
Для настройки необходимо перейти в раздел «Правила». Нам предлагается:
1) Указать имя и задать время проверки условия.
2) Создаем событие по одному из источников (Фишинг, Обучение, Пользователи), если их несколько, то можно использовать логический оператор (И / ИЛИ).
В нашем примере мы создали следующее правило: «Если пользователь перешел по вредоносной ссылке одной из наших фишинговых атак, то он будет автоматически записан на обучающий курс, соответственно, ему на почту поступит приглашение, и начнет отслеживаться прогресс прохождения.
Опционально:
--> Существует поддержка создания различных правил по источникам (DLP, SIEM, Антивирусы, Кадровые службы и т.д).
Cценарий: «Если пользователь отправляет чувствительную информацию, то DLP фиксирует событие и отправляет данные в Phishman, где срабатывает правило: назначить курс работнику по работе с конфиденциальной информацией».
Таким образом, администратор может сократить часть рутинных процессов (отправка сотрудников на обучение, проведение плановых атак и т.д.).
Вместо заключения
Сегодня мы с вами познакомились с российским решением автоматизации процесса тестирования и обучения сотрудников. Оно помогает в подготовке компании к соответствию 187 ФЗ, PCI DSS, ISO 27001. К преимуществам обучения через Phishman отнесем:
Кастомизация курсов — возможность изменить содержание курсов;
Брендирование — создание цифровой платформы согласно вашим корпоративным стандартам;
Работа офлайн — установка на собственный сервер;
Автоматизация — создание правил (сценариев) для сотрудников;
Отчетность — статистика по интересующим событиям;
Гибкость лицензирования — поддержка от 10 пользователей.
Если вас заинтересовало данное решение, вы всегда можете обратиться к нам, мы поможем в организации пилота и проконсультируем совместно с представителями Phishman. На этом сегодня все, учитесь сами и обучайте сотрудников, до новых встреч!