Сертификат AM Test Lab
Номер сертификата: 311
Дата выдачи: 14.10.2020
Срок действия: 14.10.2025
- Введение
- Описание системы «Антифишинг»
- Функциональные возможности системы «Антифишинг»
- Архитектура системы «Антифишинг»
- Системные требования «Антифишинга»
- Эксплуатация системы «Антифишинг»
- Выводы
Введение
Проблемы, связанные с небезопасным поведением людей, не только не стали менее актуальными, но и приобрели ещё более пугающие масштабы в период пандемии. Речь идёт и о сотрудниках, обладающих невысоким уровнем знаний в области информационной безопасности, и о руководителях, и о клиентах, которые становятся жертвами мошенников. Кроме атак через письма, фишинговые сайты, вложения и прочие «традиционные» инструменты, киберпреступники всё более активно используют нестандартные каналы — звонки по телефону, рекламу в интернете, социальные сети и даже QR-коды. При этом жертвы манипуляции даже не сразу смогут понять, что совершили нечто ужасное, а когда поймут, то будет уже поздно. И хорошо ещё, если целью злоумышленников окажется только сам пользователь, а не активы организации. О цифровых атаках на людей как инструментах киберпреступной деятельности мы уже рассказывали ранее, в частности — в материалах «Практический разбор фишинга» и «Фишинг: объясняем тактику и инструменты».
Сегодня для любой организации и современного предприятия ключевыми процессами управления безопасностью становятся повышение осведомлённости и тренировка навыков сотрудников. Существуют различные подходы и решения, которые позволяют превратить «слабое звено» в надёжных защитников своих организаций. В этом обзоре мы рассмотрим один из таких продуктов — систему «Антифишинг» версии 2.4.2.
Описание системы «Антифишинг»
«Антифишинг» предназначен для автоматизации ряда процессов: обучения сотрудников основам информационной безопасности, контроля уровня их знаний, тренировки и формирования навыков безопасной работы, а также отслеживания наличия уязвимостей в клиентских приложениях (операционных системах, браузерах, офисных пакетах) с привязкой к небезопасным действиям и выдачей рекомендаций по устранению уязвимостей.
Вендор ведёт собственные исследования, развивает уникальную классификацию цифровых атак на людей и поддерживает её в «Антифишинге»: есть возможность проводить учебные атаки через электронную почту, имитированные фишинговые сайты, вложения, съёмные USB-устройства, использовать шесть психологических векторов атак, два усилителя, три атрибуции и персонификацию.
Панель мониторинга («дашборд») системы позволяет отслеживать, как изменяются знания и навыки сотрудников; также всем сотрудникам, подразделениям и организации в целом присваивается рейтинг в зависимости от их действий. Для повышения осведомлённости коллег можно как пользоваться учебными курсами вендора, так и загружать собственные или подключать внешние системы обучения.
Система лицензируется по версии, количеству пользователей и сроку применения. Возможна поставка лицензии на 1 год или несколько лет. Весь контент, а также интерфейсы системы доступны на русском, английском и итальянском языках.
Система входит в реестр российского ПО.
Функциональные возможности системы «Антифишинг»
«Антифишинг» предлагает следующие возможности:
- Автоматизация процессов обучения и контроля защищённости сотрудников.
- Разработка целевых имитированных атак для каждого заказчика через электронную почту, ссылки, вложения различных типов, фишинговые сайты и USB-устройства.
- Возможность внесения изменений и создания собственных шаблонов атак.
- Проведение имитаций атак по различным технологическим и психологическим векторам.
- Контроль уровня осведомлённости и уровня навыков сотрудников.
- Контроль уязвимостей приложений.
- Собственные электронные курсы и их бесплатная адаптация под требования заказчика.
- Ежемесячные обновления материалов для обучения и тренировки навыков.
- Использование планировщика для полной автоматизации процессов.
- API для интеграции с другими процессами и системами безопасности.
Доступны три версии системы «Антифишинг»: базовая, стандартная и корпоративная. Функциональность каждой следующей версии включает возможности предыдущих. Ниже в таблице 1 описаны основные различия между ними.
Таблица 1. Ключевая функциональность по версиям системы «Антифишинг»
Функциональные возможности | BASE. Базовая версия | STD. Стандартная версия | ENT. Корпоративная версия |
Обучение и тестирование | Базовый набор обучающих курсов и тестов | Базовый набор обучающих курсов и тестов | Базовый набор обучающих курсов и тестов |
Ежеквартальные обновления обучающих курсов и тестов | Ежеквартальные обновления обучающих курсов и тестов | ||
Ежемесячные информационные дайджесты по безопасности | |||
Тренировка навыков | Имитация атак через электронную почту со ссылками и вложенными файлами | Имитация атак через электронную почту со ссылками и вложенными файлами | Имитация атак через электронную почту со ссылками и вложенными файлами |
Имитация атак через фишинговые сайты | Имитация атак через фишинговые сайты | Имитация атак через фишинговые сайты | |
Имитация атак через съёмные устройства (HID) | Имитация атак через съёмные устройства (HID) | ||
Ежеквартальная разработка до 5 целевых шаблонов атак | Ежеквартальная разработка до 10 целевых шаблонов атак | ||
Имитация атак через съёмные устройства (накопители) | |||
Имитация атак через приём ответных исходящих писем от сотрудника | |||
Имитация атак через загрузку и запуск вредоносных файлов | |||
Имитация атак через загрузку и установку браузерных плагинов | |||
Контроль результатов | Базовая отчётность | Базовая отчётность | Базовая отчётность |
Учёт обратной связи от сотрудников и отображение её в рейтинговой модели | Учёт обратной связи от сотрудников и отображение её в рейтинговой модели | ||
Плагин к почтовым программам Microsoft Office для учёта обратной связи | |||
Плагин к браузерам и почтовым веб-интерфейсам для учёта обратной связи | |||
Сбор и хранение действий администраторов системы, а также всех событий в формате Syslog | |||
Автоматизация и интеграция | Определение уязвимых приложений на стороне пользователей | Определение уязвимых приложений на стороне пользователей | Определение уязвимых приложений на стороне пользователей |
Ежеквартальные обновления правил определения уязвимых приложений | Ежеквартальные обновления правил определения уязвимых приложений | ||
Базовые правила автоматизации на базе методологии «Антифишинга» | Базовые правила автоматизации на базе методологии «Антифишинга» | ||
Модуль интеграции с системой обучения «ВебТьютор» и Moodle | Модуль интеграции с системой обучения «ВебТьютор» и Moodle | ||
REST API для интеграции, управления и получения данных из любых внешних систем | REST API для интеграции, управления и получения данных из любых внешних систем | ||
Многопользовательский режим и парольная политика | Многопользовательский режим и парольная политика | ||
Ежеквартальная актуализация базы уязвимых приложений | |||
Ежеквартальное обновление правил автоматизации | |||
Улучшенная ролевая модель и шаблоны для типовых ролей администраторов «Антифишинга» | |||
Автоматизация импорта и синхронизации сотрудников из LDAP с учётом структуры компании |
Архитектура системы «Антифишинг»
Система может работать в трёх режимах развёртывания:
- SaaS — как сервис в облаке вендора на территории РФ.
- On-premise — как одна или несколько виртуальных машин в инфраструктуре заказчика, без доступа в интернет.
- MSSP (Managed Security Service Provider) — как сервис в инфраструктуре внешнего поставщика, который оказывает собственные услуги или предоставляет сервис на базе «Антифишинга».
В любом режиме заказчикам доступна вся функциональность любой версии «Антифишинга».
Рисунок 1. Общая схема работы «Антифишинга»
Системные требования «Антифишинга»
Минимальные системные требования для развёртывания в режиме «on-premise» для заказчика с числом сотрудников до 5 000:
- любой современный гипервизор;
- доступные ресурсы для виртуальной машины: 2 ЦП, 8 ГБ ОЗУ, 60 ГБ на жёстком диске.
У вендора есть технические решения и документация для масштабирования системы на объёмы от 5 000 до 100 000 сотрудников и выше, использования кластеризации и обеспечения работы системы в территориально распределённых организациях со слабой сетевой связностью.
Рисунок 2. Пример инфраструктурной схемы для заказчика с числом сотрудников более 5 000 и сервис-провайдеров «Антифишинга»
Эксплуатация системы «Антифишинг»
Работу «Антифишинга» можно разделить на несколько этапов, каждый из которых мы разберём далее.
Настройка системы «Антифишинг»
Для того чтобы начать работу с системой, необходимо войти в консоль администрирования (административный интерфейс).
Рисунок 3. Консоль администрирования
Консоль администрирования предлагает следующие возможности:
- Раздел «Знания»: отслеживание уровня знаний сотрудников, создание новых учебных атак.
- Раздел «Навыки»: отслеживание навыков сотрудников, запуск учебных атак.
- Раздел «Рейтинг»: отображение рейтинга по сотрудникам и отделам, вся отчётность.
- Раздел «Уязвимости»: выявление программных брешей в пользовательских приложениях на основе небезопасных действий сотрудников.
- Раздел «Настройки»: определение всех параметров системы.
- Раздел «Планировщик»: автоматизация и управление задачами по расписанию.
Также есть возможность просмотра на одной странице всех функций одновременно — путём нажатия на кнопку классического меню в верхнем левом углу.
Одновременно в системе могут работать несколько сотрудников — менеджеры и специалисты по безопасности, аудиторы, HR-специалисты и администраторы ИБ.
Встроенная ролевая модель и многопользовательский режим позволяют назначить каждому сотруднику только необходимые права доступа.
Рисунок 4. Создание новой роли в «Антифишинге»
Рассмотрим, что представляет собой каждый раздел «Антифишинга».
В разделе «Знания» можно добавлять учётные записи сотрудников, группировать их в подразделения — как в ручном режиме, так и с помощью импорта из файла формата XLS, из Active Directory, через API. Для более удобного отображения информации доступна сортировка по сотрудникам, отделам или руководителям. В дальнейшем можно назначать коллегам атаки и курсы обучения, просматривать историю действий сотрудников, удалять или изменять учётные записи.
Рисунок 5. Отображение списка сотрудников в разделе «Знания»
В разделе «Навыки» отображаются подготовленные ранее учебные атаки. Здесь можно производить запуск этих атак сразу же или через заданный промежуток времени, используя планировщик.
Каждая атака размечается по атрибуции и психологическим векторам в соответствии с классификацией вендора.
Также есть возможность скопировать атаку и внести практически любые изменения в её шаблон. Отсюда же можно сохранять отчёты о проведённых тренировках.
Рисунок 6. Список учебных атак в разделе «Навыки»
В разделе «Уязвимости» можно посмотреть найденные проблемы и риски: бреши в операционных системах, браузерах, офисных пакетах, почтовых клиентах и других приложениях, с которыми работают сотрудники и которые «Антифишинг» определяет как уязвимые по их версиям.
Отчёт из этого раздела можно передавать коллегам для повышения приоритетов патч-менеджмента, а устранённые уязвимости можно отмечать — они исчезнут из этого представления.
Рисунок 7. Информация в разделе «Уязвимости»
Через раздел «Настройки» задаются различные параметры системы — учётные записи администраторов, конфигурация уведомлений и системы обучения, импорт из LDAP и другие.
Рисунок 8. Перечень параметров лицензии из раздела «Настройки»
Планировщик позволяет автоматизировать процессы обучения и тренировки навыков, а также формирования и отправки отчётности. При этом можно создавать сложные конструкции с использованием логических элементов «и» / «или», а также планировать различные действия с задержкой по времени, сразу или с определённой частотой выполнения.
Рисунок 9. Пример триггеров планировщика — возможных состояний, на основе которых автоматизируются процессы
Начиная с версии «STD. Стандартная» вендор поставляет клиентам и ежеквартально обновляет базовые правила на основе методологии «Антифишинга», которые создаются с помощью планировщика.
Рисунок 10. Пример правила в планировщике «Антифишинга»
Подготовка шаблонов для атак
Созданием шаблонов целевых атак в рамках технической поддержки для каждого заказчика занимается особый отдел со стороны вендора.
Эта работа основана на собственных психологических и технических исследованиях, которые вендор проводит с 2017 года: собирает и публикует еженедельную аналитику по фишингу и другим цифровым атакам на людей, участвует в информационном обмене с ФинЦЕРТ Банка России и в результате предлагает заказчикам самые актуальные целевые атаки и обучающие материалы.
Например, в рамках подготовки этого обзора вендор предложил ряд сценариев имитированных атак, которые были бы актуальны для тренировки сотрудников нашей редакции.
Рисунок 11. Сценарии имитированных атак для редакции Anti-Мalware.ru
Часть этих сценариев после согласования была доставлена в систему в виде шаблонов атак — писем со всем оформлением, ссылками, вложениями, фишинговыми страницами — или как USB-устройства.
Подготовка новой атаки
Для того чтобы подготовить новую проверку, необходимо нажать на кнопку «Создать атаку»; появится окно для определения параметров. Мы выбрали шаблон атаки от имени генерального директора.
Рисунок 12. Создание новой учебной атаки
По классификации «Антифишинга» у этой атаки будут следующие параметры:
- Атрибуция: корпоративная атака.
- Психологические векторы и усилители: страх, авторитет, срочность.
- Персонификация: есть.
В зависимости от сценария в атаку могут добавляться файлы различных типов, фишинговые страницы и финальные страницы с обратной связью для пользователей (рис. 13).
Рисунок 13. Внесение изменений в учебную атаку
После того как учебная атака будет создана и назначена сотрудникам, она отобразится в списке атак раздела «Навыки» (рис. 14).
Рисунок 14. Подготовленная учебная атака на сотрудников
Атаку можно выполнить немедленно или в запланированный момент времени, а также удалить её либо скопировать, после чего внести в сделанную копию изменения (например, поменять текст письма, адрес и имя отправителя, тему, финальную страницу, вложение и т. д.).
Выполнение учебных атак и тренировка навыков
Атаки после запуска приходят сотрудникам, а система фиксирует возможные небезопасные действия — загрузку внешнего содержимого, открытие файлов и отключение защищённого режима (для офисных документов), переходы по ссылкам и ввод паролей, или, например, разрешение на доступ к камере и микрофону (рис. 15).
Рисунок 15. Проведение учебной атаки через доступ к камере и микрофону
Как только сотрудник совершает небезопасное действие, система показывает ему эмоциональную обратную связь и тут же объясняет, как нужно действовать безопасно в подобной ситуации.
Другая атака выглядит для пользователя как ошибка, которая появляется в операционной системе. Язык, текст и внешний вид ошибки адаптируются под ОС и действующие параметры пользователя (рис. 16).
Рисунок 16. Ложная ошибка в операционной системе
После нажатия на любой элемент окна экран пользователя блокируется — вместо браузера и интерфейса операционной системы он видит знакомый экран блокировки. Оформление, шрифты и другие параметры подбираются в соответствии с действующими групповыми политиками.
Рисунок 17. Экран блокировки рабочего стола в «Антифишинге»
При попытке «разблокировать» компьютер пользователь видит свои имя и фамилию, адрес электронной почты и даже свою реальную фотографию — если он авторизован на одном из популярных сайтов, которые проверяет «Антифишинг».
Рисунок 18. Ложное окно авторизации в «Антифишинге»
Пароль может сверяться с действующим доменным паролем учётной записи пользователя, если в «Антифишинге» включена синхронизация с LDAP и администратор выбрал соответствующий пункт в параметрах атаки (рис. 19).
Рисунок 19. Включение синхронизации с LDAP в «Антифишинге»
Также система может фиксировать безопасное поведение сотрудников — например, умение выявить атаку и сообщить о ней через плагин в почтовом клиенте (рис. 20).
Рисунок 20. Выявление реальной фишинговой атаки
Эта функциональность «Антифишинга» позволяет не только формировать навыки сотрудников, но и побуждать их к безопасному поведению, а также собирать внутренние киберразведывательные (Threat Intelligence) данные по социальной инженерии: техническую и психологическую аналитику по реальным атакам, которые выявили сотрудники.
Использование плагина будет доступно в «Антифишинге» начиная с версии 2.4.3.
Результаты учебных атак
В результате каждого действия по каждой имитированной атаке у сотрудника накапливается рейтинг — число, означающее одновременно его опыт и общий уровень защищённости.
Рисунок 21. Отображение текущего рейтинга сотрудника в «Антифишинге»
Отрицательный рейтинг означает, что в большинстве имитированных атак сотрудник совершал небезопасные действия (рис. 22).
Рисунок 22. Отображение текущего рейтинга сотрудника в «Антифишинге»
Степень в рейтинге и комментарий означают последние изменения: насколько ухудшилось или улучшилось поведение сотрудника и что именно он сделал в последней имитированной атаке.
Общий рейтинг вкупе с его изменением по всем сотрудникам является ключевым показателем защищённости и отображается на главной странице «Антифишинга» (рис. 23).
Рисунок 23. Отображение общего рейтинга сотрудников на главной странице
Формирование рейтинга
В случае если сотрудник совершил хоть одно небезопасное действие в атаке, рейтинг в ней автоматически становится отрицательным, так как атака считается не выдержанной.
Соответственно, если сотрудник открыл письмо, но не скачал файл или не перешёл по фишинговой ссылке, то его рейтинг будет равен -1, а «плюсовые» значения по другим действиям уже не будут учтены.
История действий
Посмотреть, как действовал сотрудник (или любая группа коллег) на протяжении времени, можно через «Историю действий». Графики наглядно покажут все совершённые операции и изменения рейтинга (рис. 24).
Рисунок 24. Отображение истории действий сотрудников на графиках
Оранжевый график показывает имитированные атаки и статистику, общую для всех выбранных сотрудников.
Синий график показывает статистику по подмножеству выбранных сотрудников (не все выбранные пользователи могли одновременно участвовать в одних и тех же имитированных атаках).
Статистика по обучению и обнаружению уязвимых приложений показана для тех же сотрудников справочно и не влияет на изменение рейтинга.
Обучение сотрудников
В системе есть встроенная система обучения и несколько курсов по вопросам информационной и физической безопасности, которые следует знать сотруднику.
После отправки на обучение — вручную, через планировщик или через API — пользователю приходит приглашение. Перейдя по ссылке в нём, сотрудник попадает в личный кабинет, где будут отображены все назначенные ему курсы.
Рисунок 25. Раздел обучения
Часть курсов может быть доступной для самостоятельного изучения и будет отображаться без установленного срока прохождения.
Каждый курс состоит из теории и обязательного тестирования.
По большей части материал подаётся в виде жизненных случаев — примеров реальных ситуаций и атак, которые могут встретиться сотруднику, и конкретных практических рекомендаций о том, как действовать в этих ситуациях.
Рисунок 26. Слайд из курса «Безопасная работа в интернете и с электронной почтой»
Рисунок 27. Слайд из курса обучения «Мобильная безопасность»
Рисунок 28. Слайд из курса обучения «Физическая безопасность»
Вторая часть каждого курса представляет собой обязательный тест, в котором необходимо набрать проходной балл для того, чтобы курс был засчитан как пройденный.
Рисунок 29. Прохождение теста после изучения курса
Все тесты также построены на кейсах — реальных ситуациях, в которых может оказаться сотрудник — и предлагают выбрать правильный вариант действий.
После успешного прохождения обучения каждому сотруднику автоматически выдаются сертификаты.
Рисунок 30. Сертификат об успешном прохождении курса
Оформление сертификатов можно менять под корпоративный брендбук, а QR-код позволит всегда проверить актуальность действующего сертификата (если работник допустил нарушения, то его могут назначать на повторное обучение, а старые результаты в таком случае станут недействительными).
На момент написания статьи в «Антифишинге» доступны следующие учебные курсы:
- Базовый курс по безопасности.
- Безопасная работа в интернете и с почтой.
- Мобильная безопасность.
- Физическая безопасность.
- Безопасная удалённая работа.
Вендор намеренно не создаёт множества курсов — компактно упакованные знания позволяют не перегружать сотрудников, тратить на обучение минимальное время.
В каждую лицензию «Антифишинга» входят бесплатная и обязательная адаптация курсов по требованиям политик безопасности каждого заказчика, а также брендирование и замена контактной информации.
Начиная с версии «STD. Стандартная» «Антифишинг» может интегрироваться с внешними системами обучения, которые популярны у корпоративных заказчиков — «ВебТьютор» и Moodle.
Рисунок 31. Схема интеграции «Антифишинга» с внешними системами обучения
При такой интеграции курсы «Антифишинга» поставляются в систему обучения в формате SCORM, сотрудники проходят обучение в привычной им среде, а вся статистика и управление процессом остаются в «Антифишинге».
Работа со статистикой и отчётами
Ключевые показатели защищённости всегда доступны на дашборде «Антифишинга».
Рисунок 32. Отображение ключевых показателей на дашборде «Антифишинга»
Расшифровку обозначения каждого сектора можно увидеть при наведении курсора мыши. Статистика по сектору отображается при нажатии на него.
Рисунок 33. Отображение статистики по сектору «Уязвимости»
При нажатии на ссылку информация по соответствующим сотрудникам будет показана в таблице целей. Прямо из дашборда можно выбрать и отправить коллег на обучение или проверить их навыки.
Помимо этого в системе «Антифишинг» реализованы возможности по созданию различных отчётов и выгрузке журналов по широкому спектру действий и событий.
Рисунок 34. Пример главного отчёта в «Антифишинге»
Главный отчёт содержит общую статистику:
- Общее количество сотрудников, отделов в системе — графики и наглядные представления трендов.
- Общее количество сотрудников, которые находятся на обучении, прошли его, не прошли вовремя.
- Общее количество проведённых атак с информацией о том, сколько сотрудников прошли атаку и с каким результатом.
- Количество выполненных атак.
- Количество сотрудников, на устройствах которых имеются уязвимости, перечень брешей и степень их серьёзности.
Рисунок 35. Пример отчёта по обучению в «Антифишинге»
Отчёт по обучению содержит полную статистику по курсам и сотрудникам, которые их проходят:
- Статусы по курсу: «прошёл» / «не прошёл» / «отменено».
- Сколько попыток было по каждому курсу.
- Детальная отчётность по каждому курсу.
Другие отчёты и журналы действий помогают увидеть всю прочую статистику по процессам в системе в разных разрезах.
Все журналы и отчёты могут импортироваться в SIEM по протоколу Syslog; этим пользуются заказчики, которые проводят корреляцию событий из области безопасности, в том числе на основе уровня знаний и поведения сотрудников в имитированных атаках.
Все данные из «Антифишинга» доступны через API для любых внешних систем, например IDM, IRP / SOAR. Тот же API позволяет управлять процессами из SGRC-решений, таких как платформа R-Vision. Ранее мы уже делали обзоры подобных решений — в частности, в статье «Что предлагают R-Vision IRP и R-Vision SGRC по управлению активами».
Выводы
«Антифишинг» версии 2.4.2 предлагает вполне простой и удобный интерфейс для управления всеми процессами обучения и тренировки навыков сотрудников даже в крупных организациях.
Обучение сотрудников построено на собственных курсах вендора, в которых материал подаётся в простой форме, позволяющей легко его усвоить. Также стоит отметить, что сам учебный контент включает в себя случаи из реальной жизни, что делает уроки более эффективными.
Отметим квалификацию и опыт вендора в разработке шаблонов атак, что фактически позволяет проводить непрерывный целевой пентест через автоматизированную платформу и без усилий по разработке контента.
Понравились возможности планировщика по гибкой работе со всеми событиями и состояниями, в том числе — с использованием логических «и» / «или». Это позволяет настроить и использовать систему практически полностью в автоматическом режиме.
Консоль администрирования даёт возможность оперативно отслеживать текущие показатели успеваемости сотрудников и быстро выявлять коллег с высоким уровнем риска. Дашборды системы наглядно отображают всю актуальную информацию и позволяют «проваливаться» в выбранную на них категорию данных.
По итогам обзора данной системы можно сказать, что у вендора получилось простое в использовании решение, с помощью которого удаётся эффективно контролировать процессы повышения осведомлённости сотрудников в автоматизированном режиме, требующем незначительного внимания со стороны администраторов даже в крупных организациях.
Достоинства:
- Удобная и наглядная система управления процессами.
- Целевые атаки в рамках технической поддержки.
- Наличие планировщика, позволяющего гибко управлять реакциями на события.
- Наличие собственной системы обучения и практически направленных курсов.
- Возможность отслеживания уязвимостей в приложениях сотрудников.
Недостатки:
- Возможности по управлению уязвимостями ограничиваются клиентским ПО — не стоит рассматривать систему как замену штатному сканеру.
- Не все заказчики будут готовы выделять время на согласование сценариев и шаблонов целевых атак для получения максимального эффекта от системы.