③ От обучения пользователей к тренировке навыков по ИБ. Антифишинг

Приветствую, друзья! Сегодня в рамках цикла статей по борьбе с фишингом мы познакомимся с российским решением “Антифишинг”.

Для того, чтобы более подробно изучить концепцию и архитектуру системы, мы пообщались с представителями вендора и проверили решение на себе, обучая и тренируя сотрудников нашей компании - TS Solution, но обо всем по порядку.

В статье рассмотрим:

1. Антифишинг
2. Возможности и функции Антифишинга
3. Архитектуру Антифишинга
4. Проведение пилота в TS Solution
5. Общие выводы и впечатления

Об Антифишинге

Антифишинг — российская исследовательская компания и разработчик ПО. На рынке с 2016 года. Специализируются на решении проблем человеческого фактора в ИБ. Основной продукт - одноименная система, которая помогает обучать сотрудников и контролировать их навыки.

В штате компании присутствуют различные специалисты: ИБ инженеры, разработчики, тестировщики, аналитики, психологи, редакторы и методологи.

Возможности и функции Антифишинга:

• Автоматизация процессов обучения и контроля защищённости сотрудников
• Разработка целевых имитированных атак для каждого заказчика и их выполнение на базе системы через электронную почту, ссылки, вложения различных типов, фишинговые сайты и USB-устройства
• Возможность создавать и изменять шаблоны для имитированных атак
• Имитации атак по различным технологическим и психологическим векторам
• Контроль уровня осведомлённости и навыков сотрудников
• Контроль уязвимостей клиентских приложений
• Обучение сотрудников с помощью авторских курсов компании Антифишинг, которые бесплатно адаптируются под требования заказчика
• Ежемесячные обновления материалов для обучения и тренировки навыков: курсы, сценарии и шаблоны целевых атак
• Использование планировщика для полной автоматизации процессов
• API для интеграции с другими системами и процессами ИБ
  

Для лицензирования доступны три версии системы: базовая, стандартная и корпоративная. Более старшая версия включает в себя возможности предыдущих.

Подробнее о различиях в лицензиях (функциональные возможности):

BASE. Базовая версия

Обучение и тестирование

• Базовый набор обучающих курсов и тестов

Тренировка навыков

• Имитация атак через электронную почту со ссылками и вложенными файлами
• Имитация атак через фишинговые сайты

Контроль результатов

• Базовая отчётность

Автоматизация и интеграция

• Определение уязвимых приложений на стороне пользователей

STD. Стандартная версия

Обучение и тестирование

• Базовый набор обучающих курсов и тестов
• Ежеквартальные обновления обучающих курсов и тестов

Тренировка навыков

• Имитация атак через электронную почту со ссылками и вложенными файлами
• Имитация атак через фишинговые сайты
• Имитация атак через съёмные устройства (HID)
• Ежеквартальная разработка до 5 целевых шаблонов атак

Контроль результатов

• Базовая отчётность
• Учёт обратной связи от сотрудников и отображение её в рейтинговой модели

Автоматизация и интеграция

• Определение уязвимых приложений на стороне пользователей
• Ежеквартальные обновления правил определения уязвимых приложений
• Базовые правила автоматизации на базе методологии «Антифишинга»
• Модуль интеграции с системой обучения «ВебТьютор» и Moodle
• REST API для интеграции, управления и получения данных из любых внешних систем
• Многопользовательский режим и парольная политика

ENT. Корпоративная версия

Обучение и тестирование

• Базовый набор обучающих курсов и тестов
• Ежеквартальные обновления обучающих курсов и тестов
• Ежемесячные информационные дайджесты по безопасности

Тренировка навыков

• Имитация атак через электронную почту со ссылками и вложенными файлами
• Имитация атак через фишинговые сайты
• Имитация атак через съёмные устройства (HID)
• Ежеквартальная разработка до 10 целевых шаблонов атак
• Имитация атак через съёмные устройства (накопители)
• Имитация атак через приём ответных исходящих писем от сотрудника
• Имитация атак через загрузку и запуск вредоносных файлов
• Имитация атак через загрузку и установку браузерных плагинов

Контроль результатов

• Базовая отчётность
• Учёт обратной связи от сотрудников и отображение её в рейтинговой модели
• Плагин к почтовым программам Microsoft Office для учёта обратной связи
• Плагин к браузерам и почтовым веб-интерфейсам для учёта обратной связи
• Сбор и хранение действий администраторов системы, а также всех событий в формате Syslog

Автоматизация и интеграция

• Определение уязвимых приложений на стороне пользователей
• Ежеквартальные обновления правил определения уязвимых приложений
• Базовые правила автоматизации на базе методологии «Антифишинга»
• Модуль интеграции с системой обучения «ВебТьютор» и Moodle
• REST API для интеграции, управления и получения данных из любых внешних систем
• Многопользовательский режим и парольная политика
• Ежеквартальная актуализация базы уязвимых приложений
• Ежеквартальное обновление правил автоматизации
• Улучшенная ролевая модель и шаблоны для типовых ролей администраторов «Антифишинга»
• Автоматизация импорта и синхронизации сотрудников из LDAP с учётом структуры компании

Архитектура Антифишинга

Платформа доступна для развертывания в следующих режимах работы:

1. SaaS (Software as a Service) - “Антифишинг” в облаке вендора на территории РФ
2. On-Premise - “Антифишинг” на платформе виртуализации в инфраструктуре заказчика, работает без доступа в Интернет (исходя из ограничений ИБ)
3. MSSP (Managed Security Service Provider) - Антифишинг как сервис в инфраструктуре внешнего поставщика, который оказывает собственные услуги или предоставляет сервис на базе вендора.

*Здесь стоит отметить, что в любом режиме установки заказчику доступны все возможности любой версии “Антифишинга”.

Общая логическая схема (см. ниже) позволяет администратору управлять процессом обучения и проверки сотрудников через интерфейс основного приложения “Антифишинг”, которое, в свою очередь, взаимодействует с почтовым сервером (SMTP) и с Active Directory Server (LDAP) организации.

Минимальные системные требования для развёртывания в режиме «on-premise» (до 5000 пользователей): 2 ЦП, 8 ГБ ОЗУ, 60 ГБ на жёстком диске.

У вендора есть технические решения, опыт и документация для масштабирования системы на объёмы от 5 000 до 100 000 сотрудников и выше, где используется кластеризация, доступна работа в распределённых организациях со слабой сетевой связностью.

Что касается стоимости, то для организаций она начинается от 1700 рублей за сотрудника в год (базовая версия). Более подробно о ценообразовании предлагаем ознакомиться по ссылке.

Проведение пилота в TS Solution

В этом разделе будет передан личный опыт TS Solution в сотрудничестве и испытаниях работы системы “Антифишинг”. Мы, как рядовой заказчик, оставили заявку на подготовку пилота, где указали количество наших сотрудников, домен корпоративной почты и данные инженера, который будет отвечать за эксплуатацию системы.

Вводная: в течение пяти рабочих дней был предоставлен доступ через аккаунт в SaaS, где уже были доступны курсы, разработанные для нашей компании, целевые шаблоны атак. На отдельном звонке нас познакомили с концепцией системы, ее особенностями и пошагово провели через десять базовых сценариев работы, которые рекомендуется проверять в первую очередь.

Теория: здесь стоит начать с того, что вендор подошел фундаментально к проблеме предотвращения фишинга и других цифровых атак, в которых задействован человеческий фактор. “Антифишинг” ведет собственные исследования в части анализа поведения человека в тех или иных средах (электронная почта, сайты, съемные USB-устройства и т.д.) под воздействием различных психологических факторов.

Согласно классификации цифровых атак Антифишинга, наиболее популярными векторами атак на людей считаются:

• Электронная почта (открытие, переход по ссылкам, работа с вложениями)
• Сайты (работа с формами для ввода данных, сбор данных о ПК)
• Офис (подключение недоверенных устройств в рабочий ПК)

При этом вендор выделяет и классифицирует следующие причины небезопасного поведения — так называемые психологические векторы атак:

Кроме этого в Антифишинге есть различные дополнительные атрибуты для атаки (психологические катализаторы, уровень персонификации, формат и т.д.)

--> Для чего вышеперечисленное необходимо ?

На наш взгляд, имея структурированную классификацию небезопасных действий людей и собственную методологию, вендор способен подготовить шаблоны на все случаи жизни, где также учитывается их актуальность.

Вот примеры того, как можно применять психологический анализ Антифишинга к разбору и анализу реальных цифровых атак:

· Психология цифровых атак на финансовые организации: эволюция;

· Многоликий фишинг. Когда технические средства защиты не помогают.

Заказчик в лице администратора сети получает доступ к различным категориям атак: покрывает весь спектр человеческих уязвимостей, проверяя сотрудников на различные эмоции и сопутствующие факторы.

Таким образом, Антифишинг выступает как психолог, но применительно к миру ИБ.

Шаблоны для TS Solution

Вендор перед проведением пилота, а впоследствии и после приобретения лицензий разрабатывает сценарии и помогает готовить целевые шаблоны имитированных атак. Благодаря такому подходу ваши сотрудники будут тренироваться в максимально сложных и реалистичных условиях, которые соответствуют условиям их работы, а не просто получать “спам” в качестве тестовых рассылок.

В нашем случае специалисты Антифишинга предложили следующие сценарии атак:

Каждый такой сценарий в реальности могли использовать мошенники, зная специфику деятельности и реальные бизнес-процессы нашей компании как интегратора. По своей сущности шаблон представляет собой готовое к отправке письмо с оформлением, ссылками, вложениями, фишинговыми страницами и моментальной обратной связью (финальными страницами).

Для примера показан шаблон с Яндекс-Паспортом:

В нем используется идентичная форма от оригинального сервиса Яндекса, которым действительно пользуются многие наши сотрудники. В качестве переменной {second-name} подставляются данные из ФИО в карточке сотрудника. Внутренности шаблона изменяются с помощью встроенного редактора, есть доступ к HTML-коду.

У нас уже был доступ к платформе в режиме SaaS и нам не терпелось протестировать систему

Знакомство с интерфейсом системы

Для входа требуется ввести логин и пароль. Они были предоставлены заранее. Пароль можно сменить сразу после входа.

Главная страница структурно состоит из центральной панели мониторинга:

Перейдя по каждому из заголовков, отображается информация:

→ Знания. Раздел позволяет добавлять учетные записи сотрудников, группировать их в подразделения, доступна сортировка по различным представлениям (отдел, ФИО, руководство) и состояниям человека.

→ Навыки. Раздел отображает информацию о подготовленных ранее учебных атаках, в нем же их можно запускать и просматривать классификацию.

→ Рейтинг. Раздел отражает собственно сам рейтинг и отчетность по сотрудникам и отделам, он динамически изменяется в зависимости от действий человека в лучшую или худшую сторону.

→ Уязвимости. Раздел, в котором отражается информация по программным уязвимостям в клиентских приложениях, которые могут быть использованы в реальных атаках из-за небезопасных действий сотрудников. Это может быть устаревшая версия браузера, плагина, почтовой или офисной программы.

Если отключить ползунок (в правом углу), то верхняя панель мониторинга отобразится в текстовом виде:

Также имеется классическое меню. На одном экране оно представляет доступ ко всем основным функциям и разделам системы:

Перейдя в настройки, мы получаем возможность управлять учетной записью администратора портала “Антифишинга”: просмотреть текущую лицензию, настроить время для обучения, установить режим работы уведомлений, настроить автоматизацию, включить синхронизацию по LDAP и другие опции.

Запуск атаки

После первичного знакомства с интерфейсом системы нам не терпелось запустить нашу кампанию по захвату мира (хотя бы проверки навыков наших сотрудников). Опишем шаги, которые вам для этого понадобятся:

Первый шаг. Логично предположить, что для отправки писем нужна информация о получателях, для этого перейдем в раздел настроек → Cотрудники.

Система предлагает 3 варианта добавления данных из интерфейса:

• по одному человеку
• импорт шаблона из файла (пример имеется на портале)
• синхронизация с вашим AD через LDAP

*еще один способ добавить сотрудников и выполнить любые другие действия — через программный интерфейс (API) Антифишинга.

Итак, на первом шаге мы импортировали шаблон с запрашиваемыми данными. В нем находилось: ФИО, почта, должность, отдел. В результате подготовили данные по “жертвам” рассылки.

Как можно было заметить, текущий рейтинг у сотрудников в значении “0”, ведь учебных атак или обучения еще не производилось.

Второй шаг. Собственно, чтобы запустить вашу учебную атаку - необходимо настроить шаблон.

В этом шаблоне имитируется реальный запрос от потенциально крупного клиента, с кем нам как интегратору, разумеется, захочется начать работу.

При создании атаки можно определить:

→ Название.

→ Цель для атаки. Выбор как отдельного сотрудника, так и целого отдела.

→ Шаблон.

→ Тема письма

→ Отправитель. Имя отображается в заголовке письма.

→ Адрес. E-Mail с которого будет произведена отправка.

→ Редактор с шаблоном письма

→ Вложение. Поддержка всевозможных форматов данных для отправки, в том числе архивов.

→ Фишинговая страница. Опция с переходом на учебную страницу злоумышленника.

→ Финальная страница. Контент, который увидит пользователь после перехода по фишинговой ссылке.

Третий шаг. После создания атаки у нас будет возможность задать для нее расписание.

Доступны следующие временные отрезки:

• Отправка моментально
• Отправка в интервале. Рассылка будет распределена в течение указанного времени
• Отправка в течение. Общая рассылка будет произведена после указанного времени

Как выглядит учебная атака со стороны пользователя? Он получает соответствующее письмо.

Вложение сделано так, чтобы сотрудник захотел сделать небезопасное действие — отключить защищенный режим (или разрешить редактирование):

Если перейти по ссылке, система покажет сотруднику эмоциональную обратную связь:

Итак, мы уже изучили концепцию Антифишинга, познакомились с их методологией и даже запустили первую учебную фишинговую атаку, в целом пока ничего сложного - процесс интуитивно понятен и не требует больших временных затрат.

Обратная связь по атаке и вовлеченность людей

Качество проработки сценариев и шаблонов атак напрямую влияет на результаты тренировки навыков и вовлеченность сотрудников в процессы обеспечения безопасности. Если рассылать людям “спам” — не адаптированные и случайные шаблоны, то ничего, кроме раздражения и негатива к службе ИБ это не вызовет.

Если же подходить к процессу внимательно, готовить сценарии на основе реальных ситуаций, закрывать через атаки все психологические векторы и давать людям корректную обратную связь, можно получить очень сильный эмоциональный эффект для сотрудников, которые сами будут заинтересованы в будущем узнавать такие ситуации и помогать выявлять их.

Мы решили выяснить, как имитированные атаки воспринимались пользователями. В нашем случае, наиболее популярным по количеству жертв оказался шаблон с внезапной сессий в Zoom, имитирующий ежедневный сценарий общения в современном мире.

Далее делимся таблицей, в которой записали отзывы сотрудников, которые так или иначе взаимодействовали с атакой.

Сотрудники против фишинга

Обучение сотрудников

Чтобы сотрудники вели себя безопасно в информационной среде, им нужно не только тренироваться, но и что-то знать. В “Антифишинге” есть встроенная система обучения, которая уже наполнена следующими учебными курсами:

• Базовый курс по безопасности
• Безопасная работа в интернете и с почтой
• Мобильная безопасность
• Физическая безопасность
• Безопасная удалённая работа

Отправить сотруднику сообщение о прохождении курса, возможно с помощью:

• вручную
• через планировщик
• API

*об автоматизации в следующем подразделе.

Каждый курс состоит из теории и обязательного тестирования. По большей части материал предлагается в виде практических кейсов (случаев), которые потенциально могут встретиться сотруднику, также даются рекомендации о том, как действовать в этих ситуациях.

После успешного прохождения теста существует награда и для вашего сотрудника — сертификат, который выдается автоматически.

Пример с сертификатом:

Оформление сертификатов можно менять под корпоративный брендбук, а QR-код позволит всегда проверить актуальность действующего сертификата (если работник допустил нарушения, то его могут назначать на повторное обучение, а старые результаты в таком случае станут недействительными).

В каждую лицензию «Антифишинга» входят бесплатная и обязательная адаптация курсов по требованиям политик безопасности заказчика, а также брендирование и замена контактной информации. Имея версию лицензии «STD. Стандартная» или выше, Антифишинг позволяет интегрироваться с внешними системами обучения, такими как «ВебТьютор» и Moodle.

Автоматизация процессов

Конечно, все то, о чем мы рассказали ранее, позволит вам проверить и обучать ваших сотрудников, но как это все администрировать? Сложно себе представить современные корпоративные процессы без автоматизации. В “Антифишинге” существует планировщик.

На рисунке активировано одно правило, что все, кто перешел по ссылке ИЛИ открыл вложение, автоматически получат письмо с прохождением курса по Безопасной работе в интернете и с почтой. Соответственно, администратор будет иметь отчетность и будет уведомлен о прогрессе обучающихся.

Разумеется, есть большое количество встроенных правил, их можно отредактировать с использованием логических операторов. Тем самым вы можете автоматизировать большинство рутинных задач и работать с отчетностью, о которой поговорим далее.

Работа с отчетностью

Ключевая статистика по сотрудникам всегда доступна на главной странице портала управления Антифишинга.

Кроме этого доступен экспорт статистики в формате XLSX.

Главный отчет содержит:

Общая статистика по кол-ву сотрудников, их успеваемости и текущем статусе;

• График, отображающий рейтинг сотрудников по последним 10 атакам
• Диаграмма, отображающая изменения рейтинга сотрудников по отделам
• Диаграмма навыков сотрудников по отделам
• Перечень уязвимостей, найденных на ПК сотрудников

В отчете по обучению содержится:

• Статусы по курсу: “прошел” / “не прошел” / “отменено”
• Количество попыток для прохождения
• Подробная отчетность о каждом курсе

Завершая обзор возможностей при работе с отчетностью в Антифишинге, стоит отметить возможности импорта всех событий в SIEM. По протоколу Syslog вендор сообщает, что этим пользуются заказчики, которые проводят корреляцию событий из области ИБ с поведением людей и уровнем их навыков.

Также данные из Антифишинга и все функции доступны через API. Это позволяет интегрироваться и управлять Антифишингом, например, через IDM, IRP (например, R-Vision) или в интеграции с SOAR. Поддержка различных сценариев по работе с данными позволяет интегрировать Антифишинг для различных компаний, подстраиваясь под специфику их инфраструктуры, процессов и действующих регламентов.

Общие выводы и впечатления

В этом разделе хотелось бы напомнить, что мы проверяли и обучали своих сотрудников с помощью системы Антифишинг, общались с вендором на закрытых вебинарах, знакомились с интерфейсом и администрировали систему.

1) Прозрачная процедура проведения пилота

Вендор использует стандартизированный подход в ходе всего тестирования системы заказчиком. Подход заключается в пошаговом выполнении различных операций с системой Антифишинг согласно Уставу Пилота (внутренний документ вендора). Отдельно благодарим всех специалистов Антифишинга за их продуктивное взаимодействие, помощь при работе с системой.

2) Шаблоны писем как отдельный вид искусства

Антифишинг позиционирует себя как вендор, который ведет исследовательскую работу, разрабатывает свою методологию и использует классификацию при создании шаблонов. Это позволяет тренировать сотрудников на наиболее актуальные и “живые” случаи, которые могут встретиться в реальности. Таким образом, вы получаете непрерывный целевой пентест вашего персонала, не тратя время на создание и разработку контента для атак.

3) Обучение простое и эффективное

Курсы Антифишинга обеспечивают подачу учебного материала в доступной и понятной форме. Учебные материалы разработаны с акцентом на практическую значимость, т.е разобрано достаточно много случаев из реальных жизненных ситуаций.

4) Планирование и автоматизация

Возможности планировщика позволят вам гибко настроить политику работы с Антифишингом, исходя из внутренней схемы организации процессов в вашей компании. Доступная интегрированность с SIEM-решениями и поддержка API, безусловно, обеспечат более простой процесс внедрения Антифишинга в вашу инфраструктуру, обеспечивая ожидаемую эффективность.

5) Отчетность и результативность

У каждого сотрудника есть свой собственный рейтинг, благодаря которому легко отслеживать его индивидуальный результат. Общая отчетность позволит видеть картину о состоянии уровня IT-грамотности.

Если вас заинтересовало решение Антифишинг, вы всегда можете обратиться к нам (✉️ sales@tssolution.ru) Мы поможем в организации пилота и проконсультируем совместно с представителями вендора.

Спасибо всем тем, кто дочитал до конца! Статья вышла объемная, но мы надеемся, что она была полезна для вас. Оставайтесь на связи, мы будем и дальше знакомить вас с интересными решениями!

#фишинг #информационная безопасность #системное администрирование #сетевые технологии #it