что такое антифишинг в антивирусе
Что такое антифишинг в антивирусе
На сегодняшний день фишинг-атаки — самый популярный у киберпреступников способ кражи личной информации и финансовых средств. Фишинг-атаки —это самое настоящее преступление XXI века.
Сотрудники в компании сталкиваются с вирусными атаками и кибермошенничеством в сети и могут стать жертвами преступников. Это могут быть пришедшие на почтовый ящик письма от якобы сотрудников компании, от некоего турагентства о горячих путевках в Турцию, комментарий к посту в соцсетях, содержащий ссылку, переводящую на фишинговую страницу, скидки в магазинах в предпраздничные дни, реклама фишингового сайта в интернете, письмо в электронной почте о недоставленных сообщениях, телефонные звонки и SMS-сообщения. Что общего между всеми этими способами фишинговых кибератак? Их общая цель: обманным путем заполучить конфиденциальные данные сотрудников компаний: их учетные данные, документацию, отчеты, программное обеспечение компаний, базы данных, и использовать их в преступных целях, нанося этим финансовый и репутационный ущерб компании.
На сегодняшний день отмечается тенденция к значительному росту количества фишинговых атак именно на предприятия малого и среднего бизнеса. Почему под прицелом хакеров оказываются именно эти сегменты бизнеса? Малый и средний бизнес в данном отношении наименее защищены потому что, в большинстве своем, не применяют какие-либо превентивные меры для защиты своей организации от кибератак и для повышения уровня киберграмотности работников. Из-за этого количество успешных фишинговых атак на предприятия малого и среднего сегмента бизнеса увеличивается. Учитывая это, вполне закономерно, что малые предприятия испытывают максимальную тяжесть таких атак и особую опасность для них представляют атаки при помощи вирусов-шифровальщиков.
Все помнят вирус Petya 2017, при помощи которого злоумышленники атаковали предприятия во многих странах мира? Это вирус-шифровальщик — зловредная программа, которая при попадании на ПК пользователя или смартфон, шифрует важные файлы: документы, таблицы, изображения, видеофайлы, pdf документы. Главная проблема столкновения с такими вирусами состоит в невозможности расшифровать файлы самостоятельно, так как распространители вирусов-шифровальщиков используют сложные схемы шифрования и полностью удаляют исходные файлы, а за «восстановление» доступа к файлам требуют деньги. Очень часто вирус, попав на один ПК компании, поражает и другие через локальную сеть предприятия. Его можно «подхватить» очень просто. Чаще всего это происходит через почтовые вложения в письмах, замаскированных под знакомого пользователю адресата, письмо от банка и т.д. В письме содержится пугающая или способная заинтересовать информация, где содержится просьба оплатить счет или произвести бухгалтерскую сверку, перейти по ссылке или установить некоторое ПО. Заполучив таким путем доступ к информации предприятий малого и среднего бизнеса, мошенники могут использовать его, к примеру, чтобы проникнуть в сеть к крупным компаниям, котрагентами, которого является атакованное предприятие малого и среднего бизнеса.
В случае успешной кибератаки, наихудшее последствие для малого и среднего бизнеса: потеря данных, средств со счетов и репутации, что в подавляющем большинстве случаев приводит к закрытию компании. Поэтому предприятиям малого и среднего бизнеса следует серьезнее относиться к защите своей личной информации и не только знать врага в лицо, но и уметь правильно защищаться, дабы не попасться в его лапы.
В случае адресного фишинга злоумышленник сначала собирает информацию о цели и в зависимости от цели атаки это может быть: адрес электронной почты, имена коллег, знакомых, партнеров, увлечения, цели, покупки в интернет—магазинах и т.д. После этого, на основе полученных данных, мошенник готовит фишинговое письмо или поддельный сайт. В тексте составленного сообщения может создаваться ощущение срочности и убеждения, чтобы заставить жертву выполнить необходимые действия. Сотрудник компании через корпоративную почту открывает полученное фишинговое письмо.В письме он может прочитать рекламный текст или сообщение от службы поддержки, банка, составленный таким образом, чтобы сотрудник перешел на фейковый сайт, открыл вложение или сделал ещё что-то, что необходимо злоумышленнику. В тексте такого письма может предлагаться что угодно. Атака считается успешной, если жертва выполнила то, что требовалось в письме. Идя на поводу у мошенника, сотрудник может нанести ущерб компании. Это выражается в краже конфиденциальных данных компании: документы, данные учетных записей, базы данных, кража интеллектуальной собственности.
В случае клонового и мобильного фишинга подготовительный этап несколько отличается как от адресного фишинга, так и между этими двумя вариантами. Клоновый фишинг не имеет направленности на определенную жертву. Он направлен на широкую аудиторию пользователей. Суть состоит в том, что злоумышленники берут за основу реальное письмо известной компании, банка и т.д., заменяют в нем оригинальные ссылки на ложные, которые переводят на ложный сайт или содержат вредоносное ПО.
Мобильный фишинг, в свою очередь, может быть направлен как на широкую аудиторию, так и на определенного сотрудника компании. Вам когда-нибудь звонили с неизвестного номера, представляясь сотрудниками банка или госслужб, сообщая что у вас не погашен кредит или вы нарушили правила ПДД, но у вас нет машины и кредит вы не брали? Если такой случай был ―это попытка фишинговой атаки. SMS-фишинг —это злобный брат-близнец телефонного фишинга, который осуществляет те же действия, что и телефонный фишинг, но с помощью смс-сообщений, добавляя к ним вредоносные ссылки.
При использовании фарминга злоумышленники готовят поддельный сайт, неотличимый от оригинала, на который через редирект перенаправляют пользователя.
Если вы когда-то сталкивались с тем, что после авторизации в онлайн-банке вам приходило уведомление о том, что ваш счет скомпрометирован, а его состояние равнялось нулю, то вы стали жертвой фарминга.
Поэтому, чтобы избежать вышеописанных случаев, необходимо улучшить антифишинговую защиту компаний, повысив уровень знаний в сфере информационной безопасности сотрудников предприятий разных сегментов бизнеса.
Антифишинг — это программы защиты от фишинга.
Различают следующие виды антифишинга:
Защита от фишинга и вредоносных программ проверяет сайты, которые вы посещаете, помогает определить поддельный сайт или нет и наличие на нем вирусного ПО. Так же при загрузке какого-либо файла с поддельного сайта, браузер ее отменяет. После этого он спрашивает пользователя хочет ли он загрузить подозрительный файл.
Также перед установкой любой программы, если она издана неизвестным лицом или источником, операционная система спрашивает у пользователя хочет ли он установить данную программу. Чтобы исключить риск вышеописанных ситуаций сотрудников компании необходимо рассказывать основы антифишинга,обучая их на специализированных платформах.
В мире существует множество платформ для обучения сотрудников информационной безопасности. На них можно обучить кибербезопасности персонал компании. Это позволит минимизировать риск незаконной кражи конфиденциальной информации и финансовых средств, нарушения работы IT-инфраструктуры и минимизировать ущерб репутации компании.
Общие возможности платформ:
Необходимый элемент программы — отработка приобретенных навыков. Она проходит в «боевых условиях» — на рабочем месте в почтовой системе, установленной на предприятии. Для реализации данной системы обучения в рамках компании нужно предварительно подготовить инфраструктуру.
Далее необходимо настроить получение отчета о небезопасных действиях сотрудников. Суть состоит в том, чтобы отслеживать, какие пользователи открыли письмо и перешли по вредоносной ссылке, а какие открыли вложение. Важно отслеживать действия пользователей, которые необходимы мошенникам при отправке вредоносных вложений.
После реализации технической части, необходимо организовать правильное наполнение контентом шаблонов писем. Администраторы системы отслеживают примеры цифровых атак и моделируют тренировочные атаки в соответствии с реальными примерами. В данном случае, учебная среда будет приближена к реальности.
Подводя итоги, для каждой компании необходимо иметь свою антифишинговую систему и повышать киберграмотность своих сотрудников. Это позволит в будущем исключить потерю информации, финансовый и репутационный ущерб компаний.
Почему работает фишинг и как с ним бороться
Без сомнения, наиболее развитой формой мошенничества в Интернет является фишинг. Попробуем разобраться, почему фишинг получил такое распространение и как от него уберечься
Фишинг-атаки можно назвать преступлением XXI века. Средства массовой информации ежедневно публикуют списки организаций, чьи клиенты подверглись фишинговым атакам. Средства phishing-мошенничества с каждым днем продолжают расти не только количественно, но и качественно. В то время как спам только отвлекает получателей от работы, фишинг зачастую ведет к реальным финансовым потерям. Угроза вполне серьезная, так почему же люди до сих пор не научились ее избегать?
Почему фишинг работает?
Есть масса способов сыграть на доверии пользователя
Причин, по которым онлайн-мошенничество работает, на самом деле достаточно много. Начать следует с того, что преступники достаточно умело играют на психологии своих жертв: есть масса способов обмануть пользователя, и все они идут в ход.
Например, можно заманить его обещанием какой-нибудь халявы — надо ли говорить, что это вполне эффективный вариант, ведь любители «бесплатного сыра» всегда найдутся. Также можно сыграть на ажиотаже, возникшем вокруг какой-то темы. Хорошим примером в этом отношении может служить целая эпидемия сетевого мошенничества, связанная с прошедшим недавно чемпионатом мира по футболу.
Например, летом 2014 года был обнаружен фишинговый сайт, имитировавший сайт FIFA, на котором пользователю предлагалось подписать петицию в защиту Луиса Альберто Суареса, нападающего национальной сборной Уругвая. Чтобы подписать петицию, пользователю необходимо было заполнить форму, введя в нее свое имя, страну проживания, номер мобильного телефона и адрес электронной почты.
Другой мошеннический сайт предлагал посетителям скачать электронный билет на чемпионат. На самом деле вместо билета пользователь получал банковского троянца — пробравшись в систему, зловред перехватывал личные данные, прежде всего финансового характера.
Из 600 миллионов зафиксированных «Касперским» попыток захода на фишинговые сайты 22% — поддельные страницы Facebook
Для тех, кому в детстве родители все-таки объяснили, что заманчивым обещаниям незнакомцев доверять не стоит, у фишеров есть другой инструмент — рассылки от лица друзей жертвы. Например, в социальных сетях. По данным «Лаборатории Касперского», в 2013 году у пользователей наших продуктов более 35% всех срабатываний компонента «Антифишинг» пришлось на фишинговые страницы, имитирующие страницы социальных сетей. Из 600 миллионов зафиксированных нами попыток захода пользователей на фишинговые сайты 22% случаев пришлись на страницы, имитирующие Facebook.
Еще один эффективный метод — застать жертву врасплох и запугать. Например, угрозой блокировки учетной записи или даже банковской карты. В связи с этим уместно будет упомянуть «вишинг» (голосовой фишинг, то есть фишинг по телефону). Не всем людям просто сориентироваться и отказать напористому «сотруднику отдела безопасности банка», требующему сообщить данные карточки для предотвращения ее блокировки.
Технически фишинг постоянно совершенствуется
Немалую роль в том, что многие люди становятся жертвами онлайн-мошенников, играет тот факт, что с технической точки зрения инструменты фишинга постоянно изменяются и становятся все более и более изощренными.
Поддельные сайты уже не так легко отличить от настоящих — некоторые из них имеют вполне убедительные адреса, иногда на них даже работает защищенное соединение (HTTPS), причем с подлинными сертификатами. Все большее распространение приобретает мобильный фишинг — в силу технических особенностей смартфонов и планшетов распознать поддельный сайт зачастую сложнее, чем на компьютере или ноутбуке.
При этом следует иметь в виду, что в случае фишинга киберпреступнику совсем не обязательно проникать в систему вашего устройства. Поэтому «врожденной» защиты от фишинга нет ни у одной платформы — это по-настоящему универсальная угроза.
Для преступников это по-настоящему прибыльно
Но в первую очередь популярность фишинга растет потому, что это действительно выгодный вид преступной деятельности. Инструменты существуют и сравнительно легко доступны, охват чрезвычайно широк, в том числе и в социальных сетях (помните — 600 миллионов переходов!), большинство действий фишеров полностью автоматизировано.
Поэтому даже при небольшом проценте попавшихся мошенники могут вполне прилично зарабатывать. Причем, поскольку в большинстве случаев охота идет за банковскими данными, для монетизации даже не надо придумывать какие-то сложные схемы.
Впрочем, фишинг хорошо совмещается и с другими видами интересной деятельности, прекрасно существуя с ними в симбиозе. Через спам вы получаете фишинговое сообщение, позволяющее преступнику получить доступ к вашим контактам и разослать «письмо счастья» дальше. По набранной базе в дальнейшем может быть осуществлена рассылка вредоносного ПО — дальнейшее использование собранного таким образом ботнета может быть совершенно любым.
Поэтому не следует думать, что единственная информация, которую необходимо защищать от мошенников, — это данные банковских карт и платежных систем. Многие фишеры будут вполне удовлетворены и доступом к вашей учетной записи в социальной сети или почтовом сервисе.
Как уберечься от фишинга?
Что предложить пользователям в качестве инструмента противодействия мошенникам? Прежде всего, естественно, здравый смысл.
В первую очередь следует сохранять спокойствие и не поддаваться на провокации — это одинаково полезно и в случае онлайн-мошенничества, и в случае «вишинга». Необходимо как следует проверять все ссылки и сайты, на которые эти ссылки ведут.
Если вы получили подозрительную ссылку от коллеги или друга, прежде чем по ней перейти, стоит убедиться, что на другом конце провода именно тот, кто должен там быть. В случае «вишинга» также полезно помнить о том, что данные, например, банковской карты ни один настоящий сотрудник банка просто не вправе у вас потребовать.
В идеале на сайты, требующие ввода личных данных, ходить по ссылкам вообще не стоит — лучше набрать адрес вручную. Разумеется, посещение подобных ресурсов должно осуществляться через надежные устройства и сети.
Не забудьте использовать и регулярно обновлять антивирусные продукты, особенно если они представляют вам и антифишинговые решения. Например, модуль «Антифишинг», встроенный в Kaspersky Internet Security, умеет не только сверяться со списком уже известных мошеннических сайтов, но и опознавать потенциально опасные по более чем 200 критериям.
Как защититься от фишинга: 10 советов
Иногда киберпреступники отправляются на рыбалку. Только их золотая рыбка — это ваши данные. Итак, что нужно сделать, чтобы защитить себя от фишинга?
Даже если слово «фишинг» ассоциируется у вас исключительно с рыбалкой, вы не так уж далеки от истины. Только в роли «рыбаков» в Интернете выступают мошенники, а в роли «рыбки» — чужие персональные данные, логины и пароли к финансовым аккаунтам добропорядочных пользователей и так далее.
От фишинга нет универсального лекарства, кроме бдительности на грани паранойи. Проблема в том, что эта зараза похожа на грипп — постоянно мутирует и меняет методы атаки. Мошенники, стоящие за фишинговыми операциями, могут запустить персональную кампанию, направленную, например, только на сотрудников определенной организации или лишь на кормящих матерей. Такой вредоносный маркетинг.
Способов попасться масса: подключиться к публичному Wi-Fi в кафе с авторизацией по учетной записи социальной сети, ввести свои данные на поддельном сайте, перейти по ссылке в очередном письме счастья на Новый год или черную пятницу… Всего не перечислишь.
В общем, заполучить эту проблему легко. А как себя защитить?
Почему фишинг получил такое распространение и как от него уберечься: http://t.co/sezy73TbSb
Фишинг хотят включить в УК РФ: http://t.co/PMirfBYTL3. Виновных можно будет сажать на срок до четырёх лет. pic.twitter.com/DFzs1ab2Ph
Антифишинг, как защита от фишинга, или что это такое в информационной безопасности
Что такое антифишинг
Так как в сфере информационной безопасности понятия фишинг и социальная инженерия трактуются по разному, давайте сразу утвердим термины и их определения, и будем отталкиваться от них в статье.
Социальная инженерия – (в информационной безопасности) обман человека с целью несанкционированного доступа к информации и инфраструктуре организации или частных лиц.
Для чего нужен и как работает антифишинг
Для того, чтобы защитить сотрудников организации (точнее саму организацию) от фишинга, необходимо, как было сказано ранее, использовать 2 аспекта. Разберем их чуть подробнее.
Организационные меры: сюда входят правила, регламенты, обучение и тренировки сотрудников. Сотрудник должен знать, как распознать фишинг, как на него реагировать (включая то, кому сообщать о нем при обнаружении).
Технические меры: антиспам системы, системы противодействия вторжениям, сетевые фильтры, симуляторы фишинга для проверки знаний сотрудников в реальных условиях и точечная настройка систем ИТ-инфраструктуры.
Каждая компания антифишинг меры и программное обеспечение выбирает под свои задачи и риски. Например, в вашей организации сетевым фильтром ограничено посещение сайтов, кроме официальных. Тогда и приоритет в обучении, и симулировании учебных кибератак на распознавании фишинговых ссылок не стоит. Лучше сначала сосредоточиться на, например, векторах с подбрасыванием usb-устройств.
3. От обучения пользователей к тренировке навыков по ИБ. Антифишинг
Возможности и функции Антифишинга
Проведение пилота в TS Solution
Общие выводы и впечатления
Об Антифишинге
В штате компании присутствуют различные специалисты: ИБ инженеры, разработчики, тестировщики, аналитики, психологи, редакторы и методологи.
Возможности и функции Антифишинга:
Автоматизация процессов обучения и контроля защищённости сотрудников.
Разработка целевых имитированных атак для каждого заказчика и их выполнение на базе системы через электронную почту, ссылки, вложения различных типов, фишинговые сайты и USB-устройства.
Возможность создавать и изменять шаблоны для имитированных атак.
Имитации атак по различным технологическим и психологическим векторам.
Контроль уровня осведомлённости и навыков сотрудников.
Контроль уязвимостей клиентских приложений.
Обучение сотрудников с помощью авторских курсов компании Антифишинг, которые бесплатно адаптируются под требования заказчика.
Ежемесячные обновления материалов для обучения и тренировки навыков: курсы, сценарии и шаблоны целевых атак.
Использование планировщика для полной автоматизации процессов.
API для интеграции с другими системами и процессами ИБ.
Для лицензирования доступны три версии системы: базовая, стандартная и корпоративная. Более старшая версия включает в себя возможности предыдущих.
Подробная таблица о различиях в лицензиях
BASE. Базовая версия
STD. Стандартная версия
ENT. Корпоративная версия
Обучение и тестирование
Базовый набор обучающих курсов и тестов
Базовый набор обучающих курсов и тестов
Базовый набор обучающих курсов и тестов
Ежеквартальные обновления обучающих курсов и тестов
Ежеквартальные обновления обучающих курсов и тестов
Ежемесячные информационные дайджесты по безопасности
Имитация атак через электронную почту со ссылками и вложенными файлами
Имитация атак через электронную почту со ссылками и вложенными файлами
Имитация атак через электронную почту со ссылками и вложенными файлами
Имитация атак через фишинговые сайты
Имитация атак через фишинговые сайты
Имитация атак через фишинговые сайты
Имитация атак через съёмные устройства (HID)
Имитация атак через съёмные устройства (HID)
Ежеквартальная разработка до 5 целевых шаблонов атак
Ежеквартальная разработка до 10 целевых шаблонов атак
Имитация атак через съёмные устройства (накопители)
Имитация атак через приём ответных исходящих писем от сотрудника
Имитация атак через загрузку и запуск вредоносных файлов
Имитация атак через загрузку и установку браузерных плагинов
Учёт обратной связи от сотрудников и отображение её в рейтинговой модели
Учёт обратной связи от сотрудников и отображение её в рейтинговой модели
Плагин к почтовым программам Microsoft Office для учёта обратной связи
Плагин к браузерам и почтовым веб-интерфейсам для учёта обратной связи
Сбор и хранение действий администраторов системы, а также всех событий в формате Syslog
Автоматизация и интеграция
Определение уязвимых приложений на стороне пользователей
Определение уязвимых приложений на стороне пользователей
Определение уязвимых приложений на стороне пользователей
Ежеквартальные обновления правил определения уязвимых приложений
Ежеквартальные обновления правил определения уязвимых приложений
Базовые правила автоматизации на базе методологии «Антифишинга»
Базовые правила автоматизации на базе методологии «Антифишинга»
Модуль интеграции с системой обучения «ВебТьютор» и Moodle
Модуль интеграции с системой обучения «ВебТьютор» и Moodle
REST API для интеграции, управления и получения данных из любых внешних систем
REST API для интеграции, управления и получения данных из любых внешних систем
Многопользовательский режим и парольная политика
Многопользовательский режим и парольная политика
Ежеквартальная актуализация базы уязвимых приложений
Ежеквартальное обновление правил автоматизации
Улучшенная ролевая модель и шаблоны для типовых ролей администраторов «Антифишинга»
Автоматизация импорта и синхронизации сотрудников из LDAP с учётом структуры компании
Архитектура Антифишинга
Платформа доступна для развертывания в следующих режимах работы:
*Здесь стоит отметить, что в любом режиме установки заказчику доступны все возможности любой версии “Антифишинга”.
Общая логическая схема (см. ниже) позволяет администратору управлять процессом обучения и проверки сотрудников через интерфейс основного приложения “Антифишинг”, которое, в свою очередь, взаимодействует с почтовым сервером (SMTP) и с Active Directory Server (LDAP) организации.
Минимальные системные требования для развёртывания в режиме «on-premise» (до 5000 пользователей): 2 ЦП, 8 ГБ ОЗУ, 60 ГБ на жёстком диске.
У вендора есть технические решения, опыт и документация для масштабирования системы на объёмы от 5 000 до 100 000 сотрудников и выше, где используется кластеризация, доступна работа в распределённых организациях со слабой сетевой связностью.
Что касается стоимости, то для организаций она начинается от 1700 рублей за сотрудника в год (базовая версия). Более подробно о ценообразовании предлагаем ознакомиться по ссылке.
Проведение пилота в TS Solution
В этом разделе будет передан личный опыт TS Solution в сотрудничестве и испытаниях работы системы “Антифишинг”. Мы, как рядовой заказчик, оставили заявку на подготовку пилота, где указали количество наших сотрудников, домен корпоративной почты и данные инженера, который будет отвечать за эксплуатацию системы.
Теория: здесь стоит начать с того, что вендор подошел фундаментально к проблеме предотвращения фишинга и других цифровых атак, в которых задействован человеческий фактор. “Антифишинг” ведет собственные исследования в части анализа поведения человека в тех или иных средах (электронная почта, сайты, съемные USB-устройства и т.д.) под воздействием различных психологических факторов.
Согласно классификации цифровых атак Антифишинга, наиболее популярными векторами атак на людей считаются:
Электронная почта (открытие, переход по ссылкам, работа с вложениями).
Сайты (работа с формами для ввода данных, сбор данных о ПК).
Офис (подключение недоверенных устройств в рабочий ПК).
При этом вендор выделяет и классифицирует следующие причины небезопасного поведения — так называемые психологические векторы атак:
Вектор
Пример
«Ваш компьютер заражен и заблокирован. Кликните здесь»
«Чтобы отписаться, перейдите по ссылке»
«Смотри, как ты отжигаешь на видео»
«Скидка 50% при оплате прямо сейчас»
«Кажется, ваш коллега потерял свои вещи. Дайте мне его номер»
Кроме этого в Антифишинге есть различные дополнительные атрибуты для атаки (психологические катализаторы, уровень персонификации, формат и т.д.)
На наш взгляд, имея структурированную классификацию небезопасных действий людей и собственную методологию, вендор способен подготовить шаблоны на все случаи жизни, где также учитывается их актуальность. Вот примеры того, как можно применять психологический анализ Антифишинга к разбору и анализу реальных цифровых атак:
Заказчик в лице администратора сети получает доступ к различным категориям атак: покрывает весь спектр человеческих уязвимостей, проверяя сотрудников на различные эмоции и сопутствующие факторы. Таким образом, Антифишинг выступает как психолог, но применительно к миру ИБ.
Шаблоны для TS Solution
Вендор перед проведением пилота, а впоследствии и после приобретения лицензий разрабатывает сценарии и помогает готовить целевые шаблоны имитированных атак. Благодаря такому подходу ваши сотрудники будут тренироваться в максимально сложных и реалистичных условиях, которые соответствуют условиям их работы, а не просто получать “спам” в качестве тестовых рассылок.
В нашем случае специалисты Антифишинга предложили следующие сценарии атак:
Каждый такой сценарий в реальности могли использовать мошенники, зная специфику деятельности и реальные бизнес-процессы нашей компании как интегратора. По своей сущности шаблон представляет собой готовое к отправке письмо с оформлением, ссылками, вложениями, фишинговыми страницами и моментальной обратной связью (финальными страницами).
Для примера показан шаблон с Яндекс-Паспортом:
В нем используется идентичная форма от оригинального сервиса Яндекса, которым действительно пользуются многие наши сотрудники. В качестве переменной
У нас уже был доступ к платформе в режиме SaaS и нам не терпелось протестировать систему, для удобства различные этапы убраны под спойлер.
Знакомство с интерфейсом системы
Для входа требуется ввести логин и пароль, они были предоставлены заранее, пароль можно сменить сразу после входа.
Главная страница структурно состоит из центральной панели мониторинга:
Перейдя по каждому из заголовков, отображается информация:
→ Знания. Раздел позволяет добавлять учетные записи сотрудников, группировать их в подразделения, доступна сортировка по различным представлениям (отдел, ФИО, руководство) и состояниям человека.
→ Навыки. Раздел отображает информацию о подготовленных ранее учебных атаках, в нем же их можно запускать и просматривать классификацию.
→ Рейтинг. Раздел отражает собственно сам рейтинг и отчетность по сотрудникам и отделам, он динамически изменяется в зависимости от действий человека в лучшую или худшую сторону.
→ Уязвимости. Раздел, в котором отражается информация по программным уязвимостям в клиентских приложениях, которые могут быть использованы в реальных атаках из-за небезопасных действий сотрудников. Это может быть устаревшая версия браузера, плагина, почтовой или офисной программы.
Если отключить ползунок ( в правом углу ), то верхняя панель мониторинга отобразится в текстовом виде:
Также имеется классическое меню, на одном экране оно представляет доступ ко всем основным функциям и разделам системы:
Перейдя в настройки, мы получаем возможность управлять учетной записью администратора портала “Антифишинга”: просмотреть текущую лицензию, настроить время для обучения, установить режим работы уведомлений, настроить автоматизацию, включить синхронизацию по LDAP и другие опции.
После первичного знакомства с интерфейсом системы нам не терпелось запустить нашу кампанию по захвату мира (хотя бы проверки навыков наших сотрудников). Опишем шаги, которые вам для этого понадобятся:
Первый шаг. Логично предположить, что для отправки писем нужна информация о получателях, для этого перейдем в раздел настроек → Cотрудники.
Система предлагает 3 варианта добавления данных из интерфейса:
по одному человеку;
импорт шаблона из файла (пример имеется на портале);
синхронизация с вашим AD через LDAP.
*еще один способ добавить сотрудников и выполнить любые другие действия — через программный интерфейс (API) Антифишинга.
Итак, на первом шаге мы импортировали шаблон с запрашиваемыми данными. В нем находилось: ФИО, почта, должность, отдел. В результате подготовили данные по “жертвам” рассылки.
Как можно было заметить, текущий рейтинг у сотрудников в значение “0”, ведь учебных атак или обучения еще не производилось.
В этом шаблоне имитируется реальный запрос от потенциально крупного клиента, с кем нам как интегратору, разумеется, захочется начать работу.
При создании атаки можно определить:
→ Цель для атаки. Выбор как отдельного сотрудника, так и целого отдела.
→ Отправитель. Имя отображается в заголовке письма.
→ Адрес. E-Mail с которого будет произведена отправка.
→ Редактор с шаблоном письма
→ Вложение. Поддержка всевозможных форматов данных для отправки, в том числе, архивов.
→ Фишинговая страница. Опция с переходом на учебную страницу злоумышленника.
→ Финальная страница. Контент, который увидит пользователь после перехода по фишинговой ссылке.
Третий шаг. После создания атаки у нас будет возможность задать для нее расписание.
Доступны следующие временные отрезки:
Отправка в интервале. Рассылка будет распределена в течение указанного времени.
Отправка в течение. Общая рассылка будет произведена после указанного времени.
Как выглядит учебная атака со стороны пользователя? Он получает соответствующее письмо.
Вложение сделано так, чтобы сотрудник захотел сделать небезопасное действие — отключить защищенный режим (или разрешить редактирование):
Если перейти по ссылке, система покажет сотруднику эмоциональную обратную связь:
Обратная связь по атаке и вовлеченность людей
Качество проработки сценариев и шаблонов атак напрямую влияет на результаты тренировки навыков и вовлеченность сотрудников в процессы обеспечения безопасности. Если рассылать людям “спам” — не адаптированные и случайные шаблоны, то ничего, кроме раздражения и негатива к службе ИБ это не вызовет.
Если же подходить к процессу внимательно, готовить сценарии на основе реальных ситуаций, закрывать через атаки все психологические векторы и давать людям корректную обратную связь, можно получить очень сильный эмоциональный эффект для сотрудников, которые сами будут заинтересованы в будущем узнавать такие ситуации и помогать выявлять их.
Мы решили выяснить, как имитированные атаки воспринимались пользователями. В нашем случае, наиболее популярным по количеству жертв оказался шаблон с внезапной сессий в Zoom, имитирующий ежедневный сценарий общения в современном мире.
Далее делимся таблицей, в которой записали отзывы сотрудников, которые так или иначе взаимодействовали с атакой.
Сотрудники против фишинга
Шаблон
Действия сотрудника
Комментарий
Я: Расскажи что произошло?
Сотрудник: Пришло письмо, я его прочла и была возмущена, что мне никто ничего не сказал!
Я: Ты все таки решила что оно настоящее?
Сотрудник: Да, я побежала по дому в поисках наушников, чтобы подключиться, параллельно вспоминая всех причастных коллег.
Я: Эффект неожиданности и срочности
повлиял на то, что ты не заметила подвоха?
Сотрудник: Конечно!
В данном кейсе сотрудник открыл фишинговое учебное письмо, перешел по ссылке и нажал на кнопку запуска сессии, тем самым выполнил максимальное количество нежелательных шагов.
Шаблон отмечен следующими психологическими тегами: страх, неожиданность, срочность. Как видим в целом оправдано.
Я: Расскажи что произошло?
Сотрудник: Получила письмо на почту следующего характера: » *Имя *, Почему тебя нет на звонке? Нужна твоя помощь. Срочно подключайся».
Я: Какая твоя первая реакция?
Я: Были ли сомнения?
Сотрудник: Да! возникают вопросы в стиле: «Что? Какой звонок? Не было же такого … или я не помню? Почему написано на почту, а не на удобный мессенджер, где я быстрее увижу сообщение”. Всматриваясь в письмо, замечаешь неверный адрес начальника и не совсем типичную стилистику общения. Параллельно с этим пишешь в общий чат и тут оказывается, что о нем не знает никто!
В данном кейсе сотрудник перешел по вредоносной ссылке в учебном фишинговом письме, но не подключался к конференции. Также он написал об этом в корпоративный чат, чтобы убедиться о недостоверности планируемой сессии.
Приглашение на собеседование
Я: Расскажи что было?
Сотрудник: Под конец рабочего дня, получил письмо от IT-компании с предложением о работе.
Я: Какое было твое первое впечатление?
Сотрудник: Я решил найти сайт компании, он действительно был. В письме была указана моя текущая должность с предложением о новой вакансии. В первые несколько минут не было подозрений!
Я: Но дальше твое мнение изменилось?
Сотрудник: Смутило то что предлагают повышение зарплаты в процентах и ссылка на вакансию отличается от оригинальных в HH, пусть и не значительно. Также почта отправителя в письме отличается от той, что используется в подписи. (различие в доменах).
Данный кейс может помочь вам определять уровень лояльности сотрудников. Во главе письма стоит жадность и интерес.
В нашем случае сотрудник был внимателен, не перешел по фишинговой учебной ссылке и сообщил в отдел IT об инциденте.
Обучение сотрудников
Чтобы сотрудники вели себя безопасно в информационной среде, им нужно не только тренироваться, но и что-то знать. В “Антифишинге” есть встроенная система обучения, которая уже наполнена следующими учебными курсами:
Базовый курс по безопасности
Безопасная работа в интернете и с почтой
Безопасная удалённая работа
Отправить сотруднику сообщение о прохождении курса, возможно с помощью:
*об автоматизации в следующем подразделе.
Каждый курс состоит из теории и обязательного тестирования. По большей части материал предлагается в виде практических кейсов (случаев), которые потенциально могут встретиться сотруднику, также даются рекомендации о том, как действовать в этих ситуациях.
После успешного прохождения теста существует награда и для вашего сотрудника — сертификат, который выдается автоматически.
Пример с сертификатом
Оформление сертификатов можно менять под корпоративный брендбук, а QR-код позволит всегда проверить актуальность действующего сертификата (если работник допустил нарушения, то его могут назначать на повторное обучение, а старые результаты в таком случае станут недействительными).
Автоматизация процессов
Конечно, все то, о чем мы рассказали ранее, позволит вам проверить и обучать ваших сотрудников, но как это все администрировать? Сложно себе представить современные корпоративные процессы без автоматизации. В “Антифишинге” существует планировщик.
На рисунке активировано одно правило, что все кто перешел по ссылке ИЛИ открыл вложение, автоматически получат письмо с прохождением курса по Безопасной работе в интернете и с почтой. Соответственно, администратор будет иметь отчетность и будет уведомлен о прогрессе обучающихся.
Разумеется, есть большое количество встроенных правил, их можно отредактировать с использованием логических операторов. Тем самым вы можете автоматизировать большинство рутинных задач и работать с отчетностью, о которой будет далее.
Работа с отчетностью
Ключевая статистика по сотрудникам всегда доступна на главной странице портала управления Антифишинга.
Кроме этого доступен экспорт статистики в формате XLSX.
Главный отчет содержит:
Общая статистика по кол-ву сотрудников, их успеваемости и текущем статусе;
График, отображающий рейтинг сотрудников по последним 10 атакам;
Диаграмма, отображающая изменения рейтинга сотрудников по отделам;
Диаграмма навыков сотрудников по отделам.
Перечень уязвимостей, найденных на ПК сотрудников.
Пример отчета об обучении сотрудников
В отчете по обучению содержится:
Статусы по курсу: “прошел” / “не прошел” / “отменено”;
Количество попыток для прохождения;
Подробная отчетность о каждом курсе.
Завершая обзор возможностей, при работе с отчетностью в Антифишинге, стоит отметить возможности импорта всех событий в SIEM по протоколу Syslog, вендор сообщает, что этим пользуются заказчики, которые проводят корреляцию событий из области ИБ с поведением людей и уровнем их навыков.
Также данные из Антифишинга и все функции доступны через API, это позволяет интегрироваться и управлять Антифишингом, например, через IDM, IRP (например, R-Vision) или в интеграции с SOAR. Поддержка различных сценариев по работе с данными позволяет интегрировать Антифишинг для различных компаний, подстраиваясь под специфику их инфраструктуры, процессов и действующих регламентов.
Общие выводы и впечатления
В этом разделе хотелось бы напомнить, что мы проверяли и обучали своих сотрудников с помощью системы Антифишинг, общались с вендором на закрытых вебинарах, знакомились с интерфейсом и администрировали систему.
1) Прозрачная процедура проведения пилота.
Вендор использует стандартизированный подход в ходе всего тестирования системы заказчиком, он заключается в пошаговом выполнении различных операций с системой Антифишинг, согласно Уставу Пилота (внутренний документ вендора). Отдельно благодарим всех специалистов Антифишинга за их продуктивное взаимодействие, помощь при работе с системой.
2) Шаблоны писем как отдельный вид искусства.
Антифишинг позиционирует себя как вендор, который ведет исследовательскую работу, разрабатывает свою методологию и использует классификацию при создании шаблонов, это позволяет тренировать сотрудников на наиболее актуальные и “живые” случаи, которые могут встретиться в реальности. Таким образом, вы получаете непрерывный целевой пентест вашего персонала, не тратя время на создание и разработку контента для атак.
3) Обучение простое и эффективное.
Курсы Антифишинга обеспечивают подачу учебного материала в доступной и понятной форме. Учебные материалы разработаны с акцентом на практическую значимость, т.е разобрано достаточно много случаев из реальных жизненных ситуаций.
4) Планирование и автоматизация.
Возможности планировщика позволят вам гибко настроить политику работы с Антифишингом, исходя из внутренней схемы организации процессов в вашей компании. Доступная интегрированность с SIEM-решениями и поддержка API, безусловно обеспечат более простой процесс внедрения Антифишинга в вашу инфраструктуру, обеспечивая ожидаемую эффективность.
5) Отчетность и результативность.
У каждого сотрудника есть свой собственный рейтинг, благодаря которому легко отслеживать его индивидуальный результат. Общая отчетность позволит видеть картину о состоянии уровня IT-грамотности.
Если вас заинтересовало решение Антифишинг, вы всегда можете обратиться к нам, TS Solution поможет в организации пилота и проконсультирует совместно с представителями вендора. Спасибо всем тем кто дочитал до конца, статья вышла объемная, но мы надеемся, что не менее полезная для Вас. Оставайтесь на связи, мы будем и дальше знакомить вас с интересными решениями!