10 cпособов повышения осведомленности

26 января, 2022 по

Кот ИБ

| Комментариев пока нет

Чаще всего ТОП-менеджмент задумывается о повышении осведомленности только после взлома 😞
Поэтому либо ждать инцидента, либо того, когда ТОП дозреет, либо ИБ-руководителю брать все свои руки.

10 способов повышения осведомленности:

1. Введение регламентов
2. Обучающие семинары/вебинары
3. Новостной дайджест по основам ИБ
4. Съемка сотрудниками фильмов на сюжеты вокруг базовых правил ИБ
5. Плакаты про ИБ в виде комиксов/запоминающихся картинок
6. Игра в стиле "Кто хочет стать миллионером" с ИБ-вопросами на ближайшем корпоративе
7. Игра на корпоративном портале
8. Подставное лицо, которое под видом нового ИТшника пытается зайти на компьютеры пользователей
9. Security-чемпионы
10 Фишинговые рассылки

Фишинговые рассылки - самый действенный способ. Можно делать:

1. Своими силами, используя:

- SocialFish 

Инструмент для создания фишинговых рассылок, написанный на  Python’e, а значит простейшим образом кастомизируется под любые нужды создания фишинговых страниц. 

Из приятного:
 ⁃ Позволяет создавать страницы аутентификации Facebook, Google, LinkedIN, Гитхаб, Stackoverflow, WordPress. 
 ⁃ Имеет мобильное приложение для удаленного доступа к инструменту, что прям очень удобно.
 ⁃ Встроенный сервер ( не надо размещать формы приманки где-то удаленно)

Из неприятного:
 ⁃ Требует хотя бы начальные знания работы с Linux
 ⁃ Не так просто в установке.
 

- LitePhish 

Прост и минималистичен. Панель администратора собрана максимально упрощена. Но при этом, все равно сделан под Линуксоидов (так что те же самые минимальные знания этих операционной необходим). Как по мне, то идеально подойдет для red team исследований, чем для учебных компаний.

Из приятного: 
 ⁃ Почти все шаблоны имеют размер менее 20 КБ.
 ⁃ Веб-страницы сохраняются в режиме offline.
 ⁃ Изображения кодируются в base64, чтобы избежать лишних линков.
 ⁃ Фишинговые страницы настраиваются так, что форму входа нельзя обойти, пока все данные не будут заполнены жертвой.
 ⁃ Регистрирует все пользовательские данные с помощью iplogger.
 ⁃ Может отправлять данные в discord, telegram.
 

- Gophish

Очень удобный и простой в установке инструмент для проведения учебных фишинговый атак. Устанавливается буквально в один клик и очень легко настраивается на Windows/Linux/macOS Компьютерах.

Из приятного:
 ⁃ Отличный интерфейс, максимально наглядно показывающий ход проведения учебной атаки. Позволяющий просматривать результаты как в реальном времени, так и в виде удобных и информативных отчетов.
 ⁃ Все события можно отсортировать по времени, кликам по ссылкам, отправленной пользователями информации и многим другим параметрам.

Самый красивый и простой в установке инструмент.
 

- King Phisher 

Еще один максимально простой и удобный для использования инструмент. Не такой красивый как Гофиш, но делать может гораздо больше, позволяя полностью контролировать проведения атаки ( или нескольких, ибо позволяет  делать несколько параллельно).

Что же он умеет:
- Запускать одновременно несколько фишинговый атак
- Двухфакторная авторизация
- Собирать учетные данные пользователей с целевых страниц
- Клонировать вебсайты
- Показывать геолокации испытуемых
- Отправлять почту с приглашениями в календари
- Отправлять sms о результатах проведения атак
- Имеет большое количество расширений собственного функционала
- Имеет большое количество настраиваемых шаблонов для имитации страниц и официальных писем.

Живет  по Windows и Linux

 
Как резюме: последние два решения- однозначно must have! 

2. Обращаясь к специализированным компаниям:
- StopPhish

В чем +/- делать своими силами:

+ экономия бюджета
+ не нужно передавать ПДн на сторону
+ лучше понимают внутренний контекст

- ИБ должны понимать, что писать в рассылках
- может уйти много времени на подготовку и интерпретацию результатов

🎁 Бесплатная версия StopPhish, чтобы неограниченно проверять осведомленность своих сотрудников

Получить

В чем +/- обращаться к сторонним компаниям:

+ на базе своего опыта хорошо понимают, какие рассылки лучше заходят
+ не отвлекают ресурсов ИБ-отдела
+ быстро стартуют проект

- нужно объяснять внутренний контекст

ТОП-10 тем фишинговых рассылок за 2021 год согласно отчету Positive Technologies:

1. Вакцинация и COVID
2. Корпоративные рассылки
3. Премьеры сериалов и фильмов
4. Спортивные мероприятия
5. Письма от банков
6. Письма от сервисов доставки
7. Письма и сайты, предлагающие забронировать места для отдыха и билеты
8 Поддельные профили на сайтах знакомств
9. Подписки на сервисы
10. Инвестиции в криптовалюту, нефть и газ

👉 При фишинговых рассылках ОБЯЗАТЕЛЬНО использовать внутренний контекст компании, чтобы повышать их эффективность

👉 Обязательно делать интерпретацию результатов

👉 Все "хакерские ловушки" должны находиться внутри периметра компании

👉 Фишинг должен быть таким, чтобы самые внимательные могли его обнаружить

Хотите понять, как у вас с осведомленностью сотрудников в компании - сделайте аудит от компании StopPhish

Что входит в аудит по проверке навыков?

- Установка ПО (на ваших или наших серверах)
- Подготовка целевых писем с атаками
- Рассылка email и сведение результатов в отчет

Зачем делать проверку навыков кибербезопасности?

- В среднем, на манипуляции хакеров попадается 20-80% сотрудников
- Лучше сотрудников проверим мы, чем хакеры
- А вы своевременно примите меры по исправлению ситуации

Что входит в отчет?

- Описание векторов атак
- Сотрудники попавшиеся на каждую из атак
- Экспертная оценка результатов и рекомендации

Стоимость аудита:

1️⃣ 99 000 руб.

👉3 учебных атаки

Возможные вектора атак:
- Подозрительная ссылка
- Файл с макросом
- Кража учетных данных

👉 Количество сотрудников: до 1000

2️⃣ 250 000 руб.

👉 3 учебных атаки

Возможные вектора атак:
- Подозрительная ссылка
- Файл с макросом
- Кража учетных данных

👉 Обучение
👉 Количество сотрудников: неограниченно

🎁 Подарок от StopPhish
По ссылке вы можете оформить аудит, чтобы проверить навыки сотрудников на устойчивость к социальной инженерии, со скидкой 10%