3. От обучения пользователей к тренировке навыков по ИБ. Антифишинг
Приветствую друзья! Сегодня мы в рамках цикла статей по борьбе с фишингом познакомимся с российским решением «Антифишинг». Для того, чтобы более подробно изучить концепцию и архитектуру системы, мы пообщались с представителями вендора и проверили решение на себе, обучая и тренируя сотрудников нашей компании — TS Solution, но обо всем по порядку. В статье рассмотрим:
Об Антифишинге
Возможности и функции Антифишинга
Архитектура Антифишинга
Проведение пилота в TS Solution
Общие выводы и впечатления
Об Антифишинге
Антифишинг — российская исследовательская компания и разработчик ПО. На рынке с 2016 года, специализируются на решении проблем человеческого фактора в ИБ. Основной продукт — одноименная система, которая помогает обучать сотрудников и контролировать их навыки.
В штате компании присутствуют различные специалисты: ИБ инженеры, разработчики, тестировщики, аналитики, психологи, редакторы и методологи.
Возможности и функции Антифишинга:
Автоматизация процессов обучения и контроля защищённости сотрудников.
Разработка целевых имитированных атак для каждого заказчика и их выполнение на базе системы через электронную почту, ссылки, вложения различных типов, фишинговые сайты и USB-устройства.
Возможность создавать и изменять шаблоны для имитированных атак.
Имитации атак по различным технологическим и психологическим векторам.
Контроль уровня осведомлённости и навыков сотрудников.
Контроль уязвимостей клиентских приложений.
Обучение сотрудников с помощью авторских курсов компании Антифишинг, которые бесплатно адаптируются под требования заказчика.
Ежемесячные обновления материалов для обучения и тренировки навыков: курсы, сценарии и шаблоны целевых атак.
Использование планировщика для полной автоматизации процессов.
API для интеграции с другими системами и процессами ИБ.
Для лицензирования доступны три версии системы: базовая, стандартная и корпоративная. Более старшая версия включает в себя возможности предыдущих.
Подробная таблица о различиях в лицензиях
Функциональные возможности
BASE. Базовая версия | STD. Стандартная версия | ENT. Корпоративная версия | |
Обучение и тестирование | Базовый набор обучающих курсов и тестов | Базовый набор обучающих курсов и тестов | Базовый набор обучающих курсов и тестов |
Ежеквартальные обновления обучающих курсов и тестов | Ежеквартальные обновления обучающих курсов и тестов | ||
Ежемесячные информационные дайджесты по безопасности | |||
Тренировка навыков | Имитация атак через электронную почту со ссылками и вложенными файлами | Имитация атак через электронную почту со ссылками и вложенными файлами | Имитация атак через электронную почту со ссылками и вложенными файлами |
Имитация атак через фишинговые сайты | Имитация атак через фишинговые сайты | Имитация атак через фишинговые сайты | |
Имитация атак через съёмные устройства (HID) | Имитация атак через съёмные устройства (HID) | ||
Ежеквартальная разработка до 5 целевых шаблонов атак | Ежеквартальная разработка до 10 целевых шаблонов атак | ||
Имитация атак через съёмные устройства (накопители) | |||
Имитация атак через приём ответных исходящих писем от сотрудника | |||
Имитация атак через загрузку и запуск вредоносных файлов | |||
Имитация атак через загрузку и установку браузерных плагинов | |||
Контроль результатов | Базовая отчётность | Базовая отчётность | Базовая отчётность |
Учёт обратной связи от сотрудников и отображение её в рейтинговой модели | Учёт обратной связи от сотрудников и отображение её в рейтинговой модели | ||
Плагин к почтовым программам Microsoft Office для учёта обратной связи | |||
Плагин к браузерам и почтовым веб-интерфейсам для учёта обратной связи | |||
Сбор и хранение действий администраторов системы, а также всех событий в формате Syslog | |||
Автоматизация и интеграция | Определение уязвимых приложений на стороне пользователей | Определение уязвимых приложений на стороне пользователей | Определение уязвимых приложений на стороне пользователей |
Ежеквартальные обновления правил определения уязвимых приложений | Ежеквартальные обновления правил определения уязвимых приложений | ||
Базовые правила автоматизации на базе методологии «Антифишинга» | Базовые правила автоматизации на базе методологии «Антифишинга» | ||
Модуль интеграции с системой обучения «ВебТьютор» и Moodle | Модуль интеграции с системой обучения «ВебТьютор» и Moodle | ||
REST API для интеграции, управления и получения данных из любых внешних систем | REST API для интеграции, управления и получения данных из любых внешних систем | ||
Многопользовательский режим и парольная политика | Многопользовательский режим и парольная политика | ||
Ежеквартальная актуализация базы уязвимых приложений | |||
Ежеквартальное обновление правил автоматизации | |||
Улучшенная ролевая модель и шаблоны для типовых ролей администраторов «Антифишинга» | |||
Автоматизация импорта и синхронизации сотрудников из LDAP с учётом структуры компании |
Архитектура Антифишинга
Платформа доступна для развертывания в следующих режимах работы:
SaaS (Software as a Service) — «Антифишинг» в облаке вендора на территории РФ.
On-Premise — «Антифишинг» на платформе виртуализации в инфраструктуре заказчика, работает без доступа в Интернет (исходя из ограничений ИБ).
MSSP (Managed Security Service Provider) — Антифишинг как сервис в инфраструктуре внешнего поставщика, который оказывает собственные услуги или предоставляет сервис на базе вендора.
*Здесь стоит отметить, что в любом режиме установки заказчику доступны все возможности любой версии «Антифишинга».
Общая логическая схема (см. ниже) позволяет администратору управлять процессом обучения и проверки сотрудников через интерфейс основного приложения «Антифишинг», которое, в свою очередь, взаимодействует с почтовым сервером (SMTP) и с Active Directory Server (LDAP) организации.
Минимальные системные требования для развёртывания в режиме «on-premise» (до 5000 пользователей): 2 ЦП, 8 ГБ ОЗУ, 60 ГБ на жёстком диске.
У вендора есть технические решения, опыт и документация для масштабирования системы на объёмы от 5 000 до 100 000 сотрудников и выше, где используется кластеризация, доступна работа в распределённых организациях со слабой сетевой связностью.
Что касается стоимости, то для организаций она начинается от 1700 рублей за сотрудника в год (базовая версия). Более подробно о ценообразовании предлагаем ознакомиться по ссылке.
Проведение пилота в TS Solution
В этом разделе будет передан личный опыт TS Solution в сотрудничестве и испытаниях работы системы «Антифишинг». Мы, как рядовой заказчик, оставили заявку на подготовку пилота, где указали количество наших сотрудников, домен корпоративной почты и данные инженера, который будет отвечать за эксплуатацию системы.
Вводная: в течение пяти рабочих дней был предоставлен доступ через аккаунт в SaaS, где уже были доступны курсы, разработанные для нашей компании, целевые шаблоны атак. На отдельном звонке нас познакомили с концепцией системы, ее особенностями и пошагово провели через десять базовых сценариев работы, которые рекомендуется проверять в первую очередь.
Теория: здесь стоит начать с того, что вендор подошел фундаментально к проблеме предотвращения фишинга и других цифровых атак, в которых задействован человеческий фактор. «Антифишинг» ведет собственные исследования в части анализа поведения человека в тех или иных средах (электронная почта, сайты, съемные USB-устройства и т.д.) под воздействием различных психологических факторов.
Согласно классификации цифровых атак Антифишинга, наиболее популярными векторами атак на людей считаются:
Электронная почта (открытие, переход по ссылкам, работа с вложениями).
Сайты (работа с формами для ввода данных, сбор данных о ПК).
Офис (подключение недоверенных устройств в рабочий ПК).
При этом вендор выделяет и классифицирует следующие причины небезопасного поведения — так называемые психологические векторы атак:
Вектор | Пример |
Страх | «Ваш компьютер заражен и заблокирован. Кликните здесь» |
Раздражение | «Чтобы отписаться, перейдите по ссылке» |
Невнимательность | «www.sbernbank.ru», «www.gmall.com» |
Любопытство | «Смотри, как ты отжигаешь на видео» |
Жадность | «Скидка 50% при оплате прямо сейчас» |
Желание помочь | «Кажется, ваш коллега потерял свои вещи. Дайте мне его номер» |
Кроме этого в Антифишинге есть различные дополнительные атрибуты для атаки (психологические катализаторы, уровень персонификации, формат и т.д.)
--> Для чего вышеперечисленное необходимо ?
На наш взгляд, имея структурированную классификацию небезопасных действий людей и собственную методологию, вендор способен подготовить шаблоны на все случаи жизни, где также учитывается их актуальность. Вот примеры того, как можно применять психологический анализ Антифишинга к разбору и анализу реальных цифровых атак:
Заказчик в лице администратора сети получает доступ к различным категориям атак: покрывает весь спектр человеческих уязвимостей, проверяя сотрудников на различные эмоции и сопутствующие факторы. Таким образом, Антифишинг выступает как психолог, но применительно к миру ИБ.
Шаблоны для TS Solution
Вендор перед проведением пилота, а впоследствии и после приобретения лицензий разрабатывает сценарии и помогает готовить целевые шаблоны имитированных атак. Благодаря такому подходу ваши сотрудники будут тренироваться в максимально сложных и реалистичных условиях, которые соответствуют условиям их работы, а не просто получать «спам» в качестве тестовых рассылок.
В нашем случае специалисты Антифишинга предложили следующие сценарии атак:
Каждый такой сценарий в реальности могли использовать мошенники, зная специфику деятельности и реальные бизнес-процессы нашей компании как интегратора. По своей сущности шаблон представляет собой готовое к отправке письмо с оформлением, ссылками, вложениями, фишинговыми страницами и моментальной обратной связью (финальными страницами).
Для примера показан шаблон с Яндекс-Паспортом:
В нем используется идентичная форма от оригинального сервиса Яндекса, которым действительно пользуются многие наши сотрудники. В качестве переменной {second-name} подставляются данные из ФИО в карточке сотрудника. Внутренности шаблона изменяются с помощью встроенного редактора, есть доступ к HTML коду.
У нас уже был доступ к платформе в режиме SaaS и нам не терпелось протестировать систему, для удобства различные этапы убраны под спойлер.
Знакомство с интерфейсом системы
Для входа требуется ввести логин и пароль, они были предоставлены заранее, пароль можно сменить сразу после входа.
Главная страница структурно состоит из центральной панели мониторинга:
Перейдя по каждому из заголовков, отображается информация:
→ Знания. Раздел позволяет добавлять учетные записи сотрудников, группировать их в подразделения, доступна сортировка по различным представлениям (отдел, ФИО, руководство) и состояниям человека.
→ Навыки. Раздел отображает информацию о подготовленных ранее учебных атаках, в нем же их можно запускать и просматривать классификацию.
→ Рейтинг. Раздел отражает собственно сам рейтинг и отчетность по сотрудникам и отделам, он динамически изменяется в зависимости от действий человека в лучшую или худшую сторону.
→ Уязвимости. Раздел, в котором отражается информация по программным уязвимостям в клиентских приложениях, которые могут быть использованы в реальных атаках из-за небезопасных действий сотрудников. Это может быть устаревшая версия браузера, плагина, почтовой или офисной программы.
Если отключить ползунок (в правом углу), то верхняя панель мониторинга отобразится в текстовом виде:
Также имеется классическое меню, на одном экране оно представляет доступ ко всем основным функциям и разделам системы:
Перейдя в настройки, мы получаем возможность управлять учетной записью администратора портала «Антифишинга»: просмотреть текущую лицензию, настроить время для обучения, установить режим работы уведомлений, настроить автоматизацию, включить синхронизацию по LDAP и другие опции.
Запуск атаки
После первичного знакомства с интерфейсом системы нам не терпелось запустить нашу кампанию по захвату мира (хотя бы проверки навыков наших сотрудников). Опишем шаги, которые вам для этого понадобятся:
Первый шаг. Логично предположить, что для отправки писем нужна информация о получателях, для этого перейдем в раздел настроек → Cотрудники.
Система предлагает 3 варианта добавления данных из интерфейса:
по одному человеку;
импорт шаблона из файла (пример имеется на портале);
синхронизация с вашим AD через LDAP.
*еще один способ добавить сотрудников и выполнить любые другие действия — через программный интерфейс (API) Антифишинга.
Итак, на первом шаге мы импортировали шаблон с запрашиваемыми данными. В нем находилось: ФИО, почта, должность, отдел. В результате подготовили данные по «жертвам» рассылки.
Как можно было заметить, текущий рейтинг у сотрудников в значение »0», ведь учебных атак или обучения еще не производилось.
Второй шаг. Собственно, чтобы запустить вашу учебную атаку — необходимо настроить шаблон.
В этом шаблоне имитируется реальный запрос от потенциально крупного клиента, с кем нам как интегратору, разумеется, захочется начать работу.
При создании атаки можно определить:
→ Название.
→ Цель для атаки. Выбор как отдельного сотрудника, так и целого отдела.
→ Шаблон.
→ Тема письма
→ Отправитель. Имя отображается в заголовке письма.
→ Адрес. E-Mail с которого будет произведена отправка.
→ Редактор с шаблоном письма
→ Вложение. Поддержка всевозможных форматов данных для отправки, в том числе, архивов.
→ Фишинговая страница. Опция с переходом на учебную страницу злоумышленника.
→ Финальная страница. Контент, который увидит пользователь после перехода по фишинговой ссылке.
Третий шаг. После создания атаки у нас будет возможность задать для нее расписание.
Доступны следующие временные отрезки:
Отправка моментально;
Отправка в интервале. Рассылка будет распределена в течение указанного времени.
Отправка в течение. Общая рассылка будет произведена после указанного времени.
Как выглядит учебная атака со стороны пользователя? Он получает соответствующее письмо.
Вложение сделано так, чтобы сотрудник захотел сделать небезопасное действие — отключить защищенный режим (или разрешить редактирование):
Если перейти по ссылке, система покажет сотруднику эмоциональную обратную связь:
Итак, мы уже изучили концепцию Антифишинга, познакомились с их методологией и даже запустили первую учебную фишинговую атаку, в целом пока ничего сложного — процесс интуитивно понятен и не требует больших временных затрат.
Обратная связь по атаке и вовлеченность людей
Качество проработки сценариев и шаблонов атак напрямую влияет на результаты тренировки навыков и вовлеченность сотрудников в процессы обеспечения безопасности. Если рассылать людям «спам» — не адаптированные и случайные шаблоны, то ничего, кроме раздражения и негатива к службе ИБ это не вызовет.
Если же подходить к процессу внимательно, готовить сценарии на основе реальных ситуаций, закрывать через атаки все психологические векторы и давать людям корректную обратную связь, можно получить очень сильный эмоциональный эффект для сотрудников, которые сами будут заинтересованы в будущем узнавать такие ситуации и помогать выявлять их.
Мы решили выяснить, как имитированные атаки воспринимались пользователями. В нашем случае, наиболее популярным по количеству жертв оказался шаблон с внезапной сессий в Zoom, имитирующий ежедневный сценарий общения в современном мире.
Далее делимся таблицей, в которой записали отзывы сотрудников, которые так или иначе взаимодействовали с атакой.
Сотрудники против фишинга
Шаблон | Действия сотрудника | Комментарий |
Сессия в Zoom | Я: Расскажи что произошло? Сотрудник: Пришло письмо, я его прочла и была возмущена, что мне никто ничего не сказал! Я: Ты все таки решила что оно настоящее? Сотрудник: Да, я побежала по дому в поисках наушников, чтобы подключиться, параллельно вспоминая всех причастных коллег. Я: Эффект неожиданности и срочности повлиял на то, что ты не заметила подвоха? Сотрудник: Конечно! | В данном кейсе сотрудник открыл фишинговое учебное письмо, перешел по ссылке и нажал на кнопку запуска сессии, тем самым выполнил максимальное количество нежелательных шагов. Шаблон отмечен следующими психологическими тегами: страх, неожиданность, срочность. Как видим в целом оправдано. |
Сессия в Zoom | Я: Расскажи что произошло? Сотрудник: Получила письмо на почту следующего характера:» *Имя *, Почему тебя нет на звонке? Нужна твоя помощь. Срочно подключайся». Я: Какая твоя первая реакция? Сотрудник: Первая реакция (а она самая ошибочная) — перейти по ссылке. У всех есть слабости и при виде сообщения «Срочно быть» и «Нужна твоя помощь» так и хочется впопыхах поддаться соблазну. Я: Были ли сомнения? Сотрудник: Да! возникают вопросы в стиле: «Что? Какой звонок? Не было же такого … или я не помню? Почему написано на почту, а не на удобный мессенджер, где я быстрее увижу сообщение». Всматриваясь в письмо, замечаешь неверный адрес начальника и не совсем типичную стилистику общения. Параллельно с этим пишешь в общий чат и тут оказывается, что о нем не знает никто! | В данном кейсе сотрудник перешел по вредоносной ссылке в учебном фишинговом письме, но не подключался к конференции. Также он написал об этом в корпоративный чат, чтобы убедиться о недостоверности планируемой сессии. |
Приглашение на собеседование | Я: Расскажи что было? Сотрудник: Под конец рабочего дня, получил письмо от IT-компании с предложением о работе. Я: Какое было твое первое впечатление? Сотрудник: Я решил найти сайт компании, он действительно был. В письме была указана моя текущая должность с предложением о новой вакансии. В первые несколько минут не было подозрений! Я: Но дальше твое мнение изменилось? Сотрудник: Смутило то что предлагают повышение зарплаты в процентах и ссылка на вакансию отличается от оригинальных в HH, пусть и не значительно. Также почта отправителя в письме отличается от той, что используется в подписи. (различие в доменах). | Данный кейс может помочь вам определять уровень лояльности сотрудников. Во главе письма стоит жадность и интерес. В нашем случае сотрудник был внимателен, не перешел по фишинговой учебной ссылке и сообщил в отдел IT об инциденте. |
Обучение сотрудников
Чтобы сотрудники вели себя безопасно в информационной среде, им нужно не только тренироваться, но и что-то знать. В «Антифишинге» есть встроенная система обучения, которая уже наполнена следующими учебными курсами:
Базовый курс по безопасности
Безопасная работа в интернете и с почтой
Мобильная безопасность
Физическая безопасность
Безопасная удалённая работа
Отправить сотруднику сообщение о прохождении курса, возможно с помощью:
*об автоматизации в следующем подразделе.
Каждый курс состоит из теории и обязательного тестирования. По большей части материал предлагается в виде практических кейсов (случаев), которые потенциально могут встретиться сотруднику, также даются рекомендации о том, как действовать в этих ситуациях.
После успешного прохождения теста существует награда и для вашего сотрудника — сертификат, который выдается автоматически.
Пример с сертификатом
Оформление сертификатов можно менять под корпоративный брендбук, а QR-код позволит всегда проверить актуальность действующего сертификата (если работник допустил нарушения, то его могут назначать на повторное обучение, а старые результаты в таком случае станут недействительными).
В каждую лицензию «Антифишинга» входят бесплатная и обязательная адаптация курсов по требованиям политик безопасности заказчика, а также брендирование и замена контактной информации. Имея версию лицензии «STD. Стандартная» или выше, Антифишинг позволяет интегрироваться с внешними системами обучения, такими, как «ВебТьютор» и Moodle.
Автоматизация процессов
Конечно, все то, о чем мы рассказали ранее, позволит вам проверить и обучать ваших сотрудников, но как это все администрировать? Сложно себе представить современные корпоративные процессы без автоматизации. В «Антифишинге» существует планировщик.
На рисунке активировано одно правило, что все кто перешел по ссылке ИЛИ открыл вложение, автоматически получат письмо с прохождением курса по Безопасной работе в интернете и с почтой. Соответственно, администратор будет иметь отчетность и будет уведомлен о прогрессе обучающихся.
Разумеется, есть большое количество встроенных правил, их можно отредактировать с использованием логических операторов. Тем самым вы можете автоматизировать большинство рутинных задач и работать с отчетностью, о которой будет далее.
Работа с отчетностью
Ключевая статистика по сотрудникам всегда доступна на главной странице портала управления Антифишинга.
Кроме этого доступен экспорт статистики в формате XLSX.
Главный отчет содержит:
Общая статистика по кол-ву сотрудников, их успеваемости и текущем статусе;
График, отображающий рейтинг сотрудников по последним 10 атакам;
Диаграмма, отображающая изменения рейтинга сотрудников по отделам;
Диаграмма навыков сотрудников по отделам.
Перечень уязвимостей, найденных на ПК сотрудников.
Пример отчета об обучении сотрудников
В отчете по обучению содержится:
Статусы по курсу: «прошел» / «не прошел» / «отменено»;
Количество попыток для прохождения;
Подробная отчетность о каждом курсе.
В отчете по обучению содержится:
Статусы по курсу: «прошел» / «не прошел» / «отменено»;
Количество попыток для прохождения;
Подробная отчетность о каждом курсе.
В отчете по обучению содержится:
Статусы по курсу: «прошел» / «не прошел» / «отменено»;
Количество попыток для прохождения;
Подробная отчетность о каждом курсе.
Завершая обзор возможностей, при работе с отчетностью в Антифишинге, стоит отметить возможности импорта всех событий в SIEM по протоколу Syslog, вендор сообщает, что этим пользуются заказчики, которые проводят корреляцию событий из области ИБ с поведением людей и уровнем их навыков.
Также данные из Антифишинга и все функции доступны через API, это позволяет интегрироваться и управлять Антифишингом, например, через IDM, IRP (например, R-Vision) или в интеграции с SOAR. Поддержка различных сценариев по работе с данными позволяет интегрировать Антифишинг для различных компаний, подстраиваясь под специфику их инфраструктуры, процессов и действующих регламентов.
Общие выводы и впечатления
В этом разделе хотелось бы напомнить, что мы проверяли и обучали своих сотрудников с помощью системы Антифишинг, общались с вендором на закрытых вебинарах, знакомились с интерфейсом и администрировали систему.
1) Прозрачная процедура проведения пилота.
Вендор использует стандартизированный подход в ходе всего тестирования системы заказчиком, он заключается в пошаговом выполнении различных операций с системой Антифишинг, согласно Уставу Пилота (внутренний документ вендора). Отдельно благодарим всех специалистов Антифишинга за их продуктивное взаимодействие, помощь при работе с системой.
2) Шаблоны писем как отдельный вид искусства.
Антифишинг позиционирует себя как вендор, который ведет исследовательскую работу, разрабатывает свою методологию и использует классификацию при создании шаблонов, это позволяет тренировать сотрудников на наиболее актуальные и «живые» случаи, которые могут встретиться в реальности. Таким образом, вы получаете непрерывный целевой пентест вашего персонала, не тратя время на создание и разработку контента для атак.
3) Обучение простое и эффективное.
Курсы Антифишинга обеспечивают подачу учебного материала в доступной и понятной форме. Учебные материалы разработаны с акцентом на практическую значимость, т.е разобрано достаточно много случаев из реальных жизненных ситуаций.
4) Планирование и автоматизация.
Возможности планировщика позволят вам гибко настроить политику работы с Антифишингом, исходя из внутренней схемы организации процессов в вашей компании. Доступная интегрированность с SIEM-решениями и поддержка API, безусловно обеспечат более простой процесс внедрения Антифишинга в вашу инфраструктуру, обеспечивая ожидаемую эффективность.
5) Отчетность и результативность.
У каждого сотрудника есть свой собственный рейтинг, благодаря которому легко отслеживать его индивидуальный результат. Общая отчетность позволит видеть картину о состоянии уровня IT-грамотности.
Если вас заинтересовало решение Антифишинг, вы всегда можете обратиться к нам, мы поможем в организации пилота и проконсультируем совместно с представителями вендора. Спасибо всем тем кто дочитал до конца, статья вышла объемная, но мы надеемся, что не менее полезная для Вас. Оставайтесь на связи, мы будем и дальше знакомить вас с интересными решениями!