3. От обучения пользователей к тренировке навыков по ИБ. Антифишинг

Приветствую друзья! Сегодня мы в рамках цикла статей по борьбе с фишингом познакомимся с российским решением “Антифишинг”. Для того, чтобы более подробно изучить концепцию и архитектуру системы, мы пообщались с представителями вендора и проверили решение на себе, обучая и тренируя сотрудников нашей компании — TS Solution, но обо всем по порядку. В статье рассмотрим:

1. Об Антифишинге

2. Возможности и функции Антифишинга

3. Архитектура Антифишинга

4. Проведение пилота в TS Solution

5. Общие выводы и впечатления

Об Антифишинге

Антифишинг — российская исследовательская компания и разработчик ПО. На рынке  с 2016 года, специализируются на решении проблем человеческого фактора в ИБ. Основной продукт —  одноименная система, которая помогает обучать сотрудников и контролировать их навыки.

В штате компании присутствуют различные специалисты: ИБ инженеры, разработчики, тестировщики, аналитики, психологи, редакторы и методологи.

Возможности и функции Антифишинга:

• Автоматизация процессов обучения и контроля защищённости сотрудников.

• Разработка целевых имитированных атак для каждого заказчика и их выполнение на базе системы через электронную почту, ссылки, вложения различных типов, фишинговые сайты и USB-устройства.

• Возможность создавать и изменять шаблоны для имитированных атак.

• Имитации атак по различным технологическим и психологическим векторам.

• Контроль уровня осведомлённости и навыков сотрудников.

• Контроль уязвимостей клиентских приложений.

• Обучение сотрудников с помощью авторских курсов компании Антифишинг, которые бесплатно адаптируются под требования заказчика.

• Ежемесячные обновления материалов для обучения и тренировки навыков: курсы, сценарии и шаблоны целевых атак.

• Использование планировщика для полной автоматизации процессов.

• API для интеграции с другими системами и процессами ИБ.

Для лицензирования доступны три версии системы: базовая, стандартная и корпоративная. Более старшая версия включает в себя возможности предыдущих.

Подробная таблица о различиях в лицензиях

Функциональные возможности

	BASE. Базовая версия	STD. Стандартная версия	ENT. Корпоративная версия
Обучение и тестирование	Базовый набор обучающих курсов и тестов	Базовый набор обучающих курсов и тестов	Базовый набор обучающих курсов и тестов
		Ежеквартальные обновления обучающих курсов и тестов	Ежеквартальные обновления обучающих курсов и тестов
			Ежемесячные информационные дайджесты по безопасности
Тренировка навыков	Имитация атак через электронную почту со ссылками и вложенными файлами	Имитация атак через электронную почту со ссылками и вложенными файлами	Имитация атак через электронную почту со ссылками и вложенными файлами
	Имитация атак через фишинговые сайты	Имитация атак через фишинговые сайты	Имитация атак через фишинговые сайты
		Имитация атак через съёмные устройства (HID)	Имитация атак через съёмные устройства (HID)
		Ежеквартальная разработка до 5 целевых шаблонов атак	Ежеквартальная разработка до 10 целевых шаблонов атак
			Имитация атак через съёмные устройства (накопители)
			Имитация атак через приём ответных исходящих писем от сотрудника
			Имитация атак через загрузку и запуск вредоносных файлов
			Имитация атак через загрузку и установку браузерных плагинов
Контроль результатов	Базовая отчётность	Базовая отчётность	Базовая отчётность
		Учёт обратной связи от сотрудников и отображение её в рейтинговой модели	Учёт обратной связи от сотрудников и отображение её в рейтинговой модели
			Плагин к почтовым программам Microsoft Office для учёта обратной связи
			Плагин к браузерам и почтовым веб-интерфейсам для учёта обратной связи
			Сбор и хранение действий администраторов системы, а также всех событий в формате Syslog
Автоматизация и интеграция	Определение уязвимых приложений на стороне пользователей	Определение уязвимых приложений на стороне пользователей	Определение уязвимых приложений на стороне пользователей
		Ежеквартальные обновления правил определения уязвимых приложений	Ежеквартальные обновления правил определения уязвимых приложений
		Базовые правила автоматизации на базе методологии «Антифишинга»	Базовые правила автоматизации на базе методологии «Антифишинга»
		Модуль интеграции с системой обучения «ВебТьютор» и Moodle	Модуль интеграции с системой обучения «ВебТьютор» и Moodle
		REST API для интеграции, управления и получения данных из любых внешних систем	REST API для интеграции, управления и получения данных из любых внешних систем
		Многопользовательский режим и парольная политика	Многопользовательский режим и парольная политика
			Ежеквартальная актуализация базы уязвимых приложений
			Ежеквартальное обновление правил автоматизации
			Улучшенная ролевая модель и шаблоны для типовых ролей администраторов «Антифишинга»
			Автоматизация импорта и синхронизации сотрудников из LDAP с учётом структуры компании

Архитектура Антифишинга

Платформа доступна для развертывания в следующих режимах работы:

1. SaaS (Software as a Service)  — “Антифишинг” в облаке вендора на территории РФ.

2. On-Premise — “Антифишинг” на платформе виртуализации в инфраструктуре заказчика, работает без доступа в Интернет (исходя из ограничений ИБ).

3. MSSP (Managed Security Service Provider) — Антифишинг как сервис в инфраструктуре внешнего поставщика, который оказывает собственные услуги или предоставляет сервис на базе вендора.

*Здесь стоит отметить, что в любом режиме установки заказчику доступны все возможности любой версии “Антифишинга”. 

Общая логическая схема (см. ниже) позволяет администратору управлять процессом обучения и проверки сотрудников через интерфейс основного приложения “Антифишинг”, которое, в свою очередь, взаимодействует с почтовым сервером (SMTP) и с Active Directory Server (LDAP) организации.

Минимальные системные требования для развёртывания в режиме «on-premise» (до 5000 пользователей): 2 ЦП, 8 ГБ ОЗУ, 60 ГБ на жёстком диске. 

У вендора есть технические решения, опыт и документация для масштабирования системы на объёмы от 5 000 до 100 000 сотрудников и выше, где используется кластеризация, доступна работа в распределённых организациях со слабой сетевой связностью. 

Что касается стоимости, то для организаций она начинается от 1700 рублей за сотрудника в год (базовая версия). Более подробно о ценообразовании предлагаем ознакомиться по ссылке. 

Проведение пилота в TS Solution

В этом разделе будет передан личный опыт TS Solution в сотрудничестве и испытаниях работы системы “Антифишинг”. Мы, как рядовой заказчик, оставили заявку на подготовку пилота, где указали количество наших сотрудников, домен корпоративной почты и данные инженера, который будет отвечать за эксплуатацию системы. 

Вводная: в течение пяти рабочих дней был предоставлен доступ через аккаунт в SaaS, где уже были доступны курсы, разработанные для нашей компании, целевые шаблоны атак. На отдельном звонке нас познакомили с концепцией системы, ее особенностями и пошагово провели через десять базовых сценариев работы, которые рекомендуется проверять в первую очередь . 

Теория: здесь стоит начать с того, что вендор подошел фундаментально к проблеме предотвращения фишинга и других цифровых атак, в которых задействован человеческий фактор. “Антифишинг” ведет собственные исследования в части анализа поведения человека в тех или иных средах (электронная почта, сайты, съемные USB-устройства и т.д.) под воздействием различных психологических факторов. 

Согласно классификации цифровых атак Антифишинга, наиболее популярными векторами атак на людей считаются:

• Электронная почта (открытие, переход по ссылкам, работа с вложениями).

• Сайты (работа с формами для ввода данных, сбор данных о ПК).

• Офис (подключение недоверенных устройств в рабочий ПК).

При этом вендор выделяет и классифицирует следующие причины небезопасного поведения — так называемые психологические векторы атак:

Кроме этого в  Антифишинге есть различные дополнительные атрибуты для атаки (психологические катализаторы, уровень персонификации, формат и т.д.) 

—> Для чего вышеперечисленное необходимо ?

На наш взгляд, имея структурированную классификацию небезопасных действий людей и собственную методологию, вендор способен подготовить шаблоны на все случаи жизни, где также учитывается их актуальность. Вот примеры того, как можно применять психологический анализ Антифишинга к разбору и анализу реальных цифровых атак:

• Психология цифровых атак на финансовые организации: эволюция;

• Многоликий фишинг. Когда технические средства защиты не помогают.

Заказчик в лице администратора сети получает доступ к различным категориям атак: покрывает весь спектр человеческих уязвимостей, проверяя сотрудников на различные эмоции и сопутствующие факторы. Таким образом, Антифишинг выступает  как психолог, но применительно к миру ИБ.

Шаблоны для TS Solution

Вендор перед проведением пилота, а впоследствии и после приобретения лицензий разрабатывает сценарии и помогает готовить целевые шаблоны имитированных атак. Благодаря такому подходу ваши сотрудники будут тренироваться в максимально сложных и реалистичных условиях, которые соответствуют условиям их работы, а не просто получать “спам” в качестве тестовых рассылок.

В нашем случае специалисты Антифишинга предложили следующие сценарии атак:

Каждый такой сценарий в реальности могли использовать мошенники, зная специфику деятельности и реальные бизнес-процессы нашей компании как интегратора. По своей сущности шаблон представляет собой готовое к отправке письмо с оформлением, ссылками, вложениями, фишинговыми страницами и моментальной обратной связью (финальными страницами). 

Для примера показан шаблон с Яндекс-Паспортом:

В нем используется идентичная форма от оригинального сервиса Яндекса, которым действительно пользуются многие наши сотрудники. В качестве переменной {second-name} подставляются данные из ФИО в карточке сотрудника. Внутренности шаблона изменяются с помощью встроенного редактора, есть доступ к HTML коду.

У нас уже был доступ к платформе в режиме SaaS и нам не терпелось протестировать систему, для удобства различные этапы убраны под спойлер.

Знакомство с интерфейсом системы

Для входа требуется ввести логин и пароль, они были предоставлены заранее, пароль можно сменить сразу после входа.

Главная страница структурно состоит из центральной панели мониторинга:

Перейдя по каждому из заголовков, отображается информация:

→ Знания. Раздел позволяет добавлять учетные записи сотрудников, группировать их в подразделения, доступна сортировка по различным представлениям (отдел, ФИО, руководство) и состояниям человека.

→ Навыки. Раздел отображает информацию о подготовленных ранее учебных атаках, в нем же их можно запускать и просматривать классификацию.

→ Рейтинг. Раздел отражает собственно сам рейтинг и отчетность по сотрудникам и отделам, он динамически изменяется в зависимости от действий человека в лучшую или худшую сторону.

→ Уязвимости. Раздел, в котором отражается информация по программным уязвимостям в клиентских приложениях, которые могут быть использованы в реальных атаках из-за небезопасных действий сотрудников. Это может быть устаревшая версия браузера, плагина, почтовой или офисной программы.

Если отключить ползунок ( в правом углу ), то верхняя панель мониторинга отобразится в текстовом виде:

Также имеется классическое меню, на одном экране оно представляет доступ ко всем основным функциям и разделам системы:

Перейдя в настройки, мы получаем возможность управлять учетной записью администратора портала “Антифишинга”: просмотреть текущую лицензию, настроить время для обучения, установить режим работы уведомлений, настроить автоматизацию, включить синхронизацию по LDAP и другие опции.

Запуск атаки

После первичного знакомства с интерфейсом системы нам не терпелось запустить нашу кампанию по захвату мира (хотя бы проверки навыков наших сотрудников). Опишем шаги, которые вам для этого понадобятся:

Первый шаг. Логично предположить, что для отправки писем нужна информация о получателях, для этого перейдем в раздел настроек → Cотрудники.

Система предлагает 3 варианта добавления данных из интерфейса:

• по одному человеку;

• импорт шаблона из файла (пример имеется на портале);

• синхронизация с вашим AD через LDAP.

*еще один способ добавить сотрудников и выполнить любые другие действия — через программный интерфейс (API) Антифишинга.

Итак, на первом шаге мы импортировали шаблон с запрашиваемыми данными. В нем находилось: ФИО, почта, должность, отдел. В результате подготовили данные по “жертвам” рассылки. 

Как можно было заметить, текущий рейтинг у сотрудников в значение “0”, ведь учебных атак или обучения еще не производилось.

Второй шаг. Собственно, чтобы запустить вашу учебную атаку — необходимо настроить шаблон.

В этом шаблоне имитируется реальный запрос от потенциально крупного клиента, с кем нам как интегратору, разумеется, захочется начать работу.

При создании атаки можно определить:

→ Название.

→ Цель для атаки. Выбор как отдельного сотрудника, так и целого отдела.

→ Шаблон.

→ Тема письма

→ Отправитель. Имя отображается в заголовке письма.

→ Адрес. E-Mail с которого будет произведена отправка.

→ Редактор с шаблоном письма

→ Вложение. Поддержка всевозможных форматов данных для отправки, в том числе, архивов.

→ Фишинговая страница. Опция с переходом на учебную страницу злоумышленника.

→ Финальная страница. Контент, который увидит пользователь после перехода по фишинговой ссылке. 

Третий шаг. После создания атаки у нас будет возможность задать для нее расписание.

Доступны следующие временные отрезки:

• Отправка моментально;

• Отправка в интервале. Рассылка будет распределена в течение указанного времени.

• Отправка в течение. Общая рассылка будет произведена после указанного времени.

Как выглядит учебная атака со стороны пользователя? Он получает соответствующее письмо.

Вложение сделано так, чтобы сотрудник захотел сделать небезопасное действие — отключить защищенный режим (или разрешить редактирование):

Если перейти по ссылке, система покажет сотруднику эмоциональную обратную связь:

Итак, мы уже изучили концепцию Антифишинга, познакомились с их методологией и даже запустили первую учебную фишинговую атаку, в целом пока ничего сложного — процесс интуитивно понятен и не требует больших временных затрат.

Обратная связь по атаке и вовлеченность людей

Качество проработки сценариев и шаблонов атак напрямую влияет на результаты тренировки навыков и вовлеченность сотрудников в процессы обеспечения безопасности. Если рассылать людям “спам” — не адаптированные и случайные шаблоны, то ничего, кроме раздражения и негатива к службе ИБ это не вызовет.

Если же подходить к процессу внимательно, готовить сценарии на основе реальных ситуаций, закрывать через атаки все психологические векторы и давать людям корректную обратную связь, можно получить очень сильный эмоциональный эффект для сотрудников, которые сами будут заинтересованы в будущем узнавать такие ситуации и помогать выявлять их. 

Мы решили выяснить, как имитированные атаки воспринимались пользователями. В нашем случае, наиболее популярным по количеству жертв оказался шаблон с внезапной сессий в  Zoom, имитирующий ежедневный сценарий общения в современном мире.

Далее делимся таблицей, в которой записали отзывы сотрудников, которые так или иначе взаимодействовали с атакой.

Сотрудники против фишинга

Шаблон	Действия сотрудника	Комментарий
Сессия в Zoom	Я: Расскажи что произошло?  Сотрудник: Пришло письмо, я его прочла и была возмущена, что мне никто ничего не сказал! Я: Ты все таки решила что оно настоящее? Сотрудник: Да, я побежала по дому в поисках наушников, чтобы подключиться, параллельно вспоминая всех причастных коллег. Я: Эффект неожиданности и срочности повлиял на то, что ты не заметила      подвоха? Сотрудник: Конечно!	В данном кейсе сотрудник открыл фишинговое учебное письмо, перешел по ссылке и нажал на кнопку запуска сессии, тем самым выполнил максимальное количество нежелательных шагов.  Шаблон отмечен следующими психологическими тегами: страх, неожиданность, срочность. Как видим в целом оправдано.
Сессия в Zoom	Я: Расскажи что произошло?  Сотрудник: Получила письмо на почту следующего характера: » *Имя *, Почему тебя нет на звонке?  Нужна твоя помощь. Срочно подключайся». Я: Какая твоя первая реакция?  Сотрудник: Первая реакция (а она самая ошибочная) —  перейти по ссылке. У всех есть слабости и при виде сообщения «Срочно быть» и «Нужна твоя помощь»  так и хочется впопыхах поддаться соблазну. Я: Были ли сомнения?  Сотрудник: Да! возникают вопросы в стиле: «Что? Какой звонок? Не было же такого … или я не помню? Почему написано на почту, а не на удобный мессенджер, где я быстрее увижу сообщение”. Всматриваясь в письмо, замечаешь неверный адрес начальника и не совсем типичную стилистику общения. Параллельно с этим пишешь в общий чат и тут оказывается, что о нем не знает никто!	В данном кейсе сотрудник перешел по вредоносной ссылке в учебном фишинговом письме, но не подключался к конференции. Также он написал об этом в корпоративный чат, чтобы убедиться о недостоверности планируемой сессии.
Приглашение на собеседование	Я: Расскажи что было? Сотрудник: Под конец рабочего дня, получил письмо от IT-компании с предложением о работе.  Я: Какое было твое первое впечатление? Сотрудник: Я решил найти сайт компании, он действительно был. В письме была указана моя текущая должность с предложением о новой вакансии. В первые несколько минут не было подозрений! Я: Но дальше твое мнение изменилось? Сотрудник: Смутило то что предлагают повышение зарплаты в процентах и ссылка на вакансию отличается от оригинальных в HH, пусть и не значительно. Также почта отправителя в письме отличается от той, что используется в подписи. (различие в доменах).	Данный кейс может помочь вам определять уровень лояльности сотрудников. Во главе письма стоит жадность и интерес. В нашем случае сотрудник был внимателен, не перешел по фишинговой учебной ссылке и сообщил в отдел IT об инциденте.

Обучение сотрудников

Чтобы сотрудники вели себя безопасно в информационной среде, им нужно не только тренироваться, но и что-то знать. В “Антифишинге” есть встроенная система обучения, которая уже наполнена следующими учебными курсами:

• Базовый курс по безопасности

• Безопасная работа в интернете и с почтой

• Мобильная безопасность

• Физическая безопасность

• Безопасная удалённая работа

Отправить сотруднику сообщение о прохождении курса, возможно с помощью:

• вручную;

• через планировщик;

• API.

*об автоматизации в следующем подразделе.

Каждый курс состоит из теории и обязательного тестирования. По большей части материал предлагается в виде практических кейсов (случаев), которые потенциально могут встретиться сотруднику, также даются рекомендации о том, как действовать в этих ситуациях.

После успешного прохождения теста существует награда и для вашего сотрудника — сертификат, который выдается автоматически.

Пример с сертификатом

Оформление сертификатов можно менять под корпоративный брендбук, а QR-код позволит всегда проверить актуальность действующего сертификата (если работник допустил нарушения, то его могут назначать на повторное обучение, а старые результаты в таком случае станут недействительными).

В каждую лицензию «Антифишинга» входят бесплатная и обязательная адаптация курсов по требованиям политик безопасности заказчика, а также брендирование и замена контактной информации. Имея версию лицензии «STD. Стандартная» или выше , Антифишинг позволяет интегрироваться с внешними системами обучения, такими, как «ВебТьютор» и Moodle.

Автоматизация процессов

Конечно, все то, о чем мы рассказали ранее, позволит вам проверить и обучать ваших сотрудников, но как это все администрировать? Сложно себе представить современные корпоративные процессы без автоматизации. В “Антифишинге” существует планировщик.

На рисунке активировано одно правило, что все кто перешел по ссылке ИЛИ открыл вложение, автоматически получат письмо с прохождением курса по Безопасной работе в интернете и с почтой. Соответственно, администратор будет иметь отчетность и будет уведомлен о прогрессе обучающихся.

Разумеется, есть большое количество встроенных правил, их можно отредактировать с использованием логических операторов. Тем самым вы можете автоматизировать большинство рутинных задач и работать с отчетностью, о которой будет далее.

Работа с отчетностью

Ключевая статистика по сотрудникам всегда доступна на главной странице портала управления Антифишинга.

Кроме этого доступен экспорт статистики в формате XLSX.

Главный отчет содержит:

• Общая статистика по кол-ву сотрудников, их успеваемости и текущем статусе;

• График, отображающий рейтинг сотрудников по последним 10 атакам;

• Диаграмма, отображающая изменения рейтинга сотрудников по отделам;

• Диаграмма навыков сотрудников по отделам. 

• Перечень уязвимостей, найденных на ПК сотрудников.

Пример отчета об обучении сотрудников

В отчете по обучению содержится:

• Статусы по курсу: “прошел” / “не прошел” / “отменено”;

• Количество попыток для прохождения;

• Подробная отчетность о каждом курсе.

В отчете по обучению содержится:

• Статусы по курсу: “прошел” / “не прошел” / “отменено”;

• Количество попыток для прохождения;

• Подробная отчетность о каждом курсе.

В отчете по обучению содержится:

• Статусы по курсу: “прошел” / “не прошел” / “отменено”;

• Количество попыток для прохождения;

• Подробная отчетность о каждом курсе.

Завершая обзор возможностей, при работе с отчетностью в Антифишинге, стоит отметить возможности импорта всех событий в SIEM по протоколу Syslog, вендор сообщает, что этим пользуются заказчики, которые проводят корреляцию событий из области ИБ с поведением людей и уровнем их навыков. 

Также данные из Антифишинга и все функции доступны через API, это позволяет интегрироваться и управлять Антифишингом, например, через IDM, IRP (например, R-Vision) или в интеграции с SOAR. Поддержка различных сценариев по работе с данными позволяет интегрировать Антифишинг для различных компаний, подстраиваясь под специфику их инфраструктуры, процессов и действующих регламентов.

Общие выводы и впечатления

В этом разделе хотелось бы напомнить, что мы проверяли и обучали своих сотрудников с помощью системы Антифишинг, общались с вендором на закрытых вебинарах, знакомились с интерфейсом и администрировали систему. 

1) Прозрачная процедура проведения пилота.

Вендор использует стандартизированный подход в ходе всего тестирования системы заказчиком, он заключается в пошаговом выполнении различных операций с системой Антифишинг, согласно Уставу Пилота (внутренний документ вендора). Отдельно благодарим всех специалистов Антифишинга за их продуктивное взаимодействие, помощь при работе с системой.

2) Шаблоны писем как отдельный вид искусства.

Антифишинг позиционирует себя как вендор, который ведет исследовательскую работу, разрабатывает свою методологию и использует классификацию при создании шаблонов, это позволяет тренировать сотрудников на наиболее актуальные и “живые” случаи, которые могут встретиться в реальности. Таким образом, вы получаете непрерывный целевой пентест вашего персонала, не тратя время на создание и разработку контента для атак.

3) Обучение простое и эффективное.

Курсы Антифишинга обеспечивают подачу учебного материала в доступной и понятной форме. Учебные материалы разработаны с акцентом на практическую значимость, т.е разобрано достаточно много случаев из реальных жизненных ситуаций.

4) Планирование и автоматизация.

Возможности планировщика позволят вам гибко настроить политику работы с Антифишингом, исходя из внутренней схемы организации процессов в вашей компании. Доступная интегрированность с SIEM-решениями и поддержка API, безусловно обеспечат более простой процесс внедрения Антифишинга в вашу инфраструктуру, обеспечивая ожидаемую эффективность.

5) Отчетность и результативность.

У каждого сотрудника есть свой собственный рейтинг, благодаря которому легко отслеживать его индивидуальный результат. Общая отчетность позволит видеть картину о состоянии уровня IT-грамотности.

Если вас заинтересовало решение Антифишинг, вы всегда можете обратиться к нам, мы поможем в организации пилота и проконсультируем совместно с представителями вендора. Спасибо всем тем кто дочитал до конца, статья вышла объемная, но мы надеемся, что не менее полезная для Вас. Оставайтесь на связи, мы будем и дальше знакомить вас с интересными решениями!