June 1, 2021

Проведение тестирования сотрудников по реагированию на фишинговые атаки: советы из практики

Мои советы по организации тестирования сотрудников по реагированию на фишинговые письма на основе моего накопленного опыта, а точнее моменты, на которые точно стоит обратить внимание (как очевидные, так и нет; как организационные, так и технические).

Вводные данные: первичное проведение такого рода мероприятия, нулевой/околонулевой бюджет, проведение вторичного тестирования.

1. Согласуйте тестирование с руководством

Несмотря на то, что этот шаг упоминается в любой статье про организацию процесса повышения осведомленности, решил его подсветить тоже, так как это действительно важно. И не только потому, что вам нужно получить поддержку руководства, показать, что это важно, нужно и вы действительно отрабатываете свою зарплату, а руководству задекларировать свое "лидерство в ИБ", но и для того, чтобы к вам не было претензий от сотрудников и их начальников после того, как вскроется, что это "вы отвлекали сотрудников от работы и мешали бизнес-процессам"... Да, поверьте, будут и такие неожиданности :)

2. Грамотно сформируйте тестовые рассылки

При первичном тестировании сотрудников, ИМХО, важно оценить "среднюю температуру по палате", поэтому можно разослать одинаковое "левое" тестовое письмо всем сотрудникам, но для чистоты эксперимента (читай - конверсии) необходимо делать это грамотно.
Во-первых, не делайте одну массовую рассылку - сделайте несколько рассылок, разнесенных по времени (к примеру охватом в 15-20% от общего числа сотрудников в неделю).
Во-вторых, делайте список рассылки максимально перемешанным - то есть не включайте в одну рассылку сотрудников одного структурного подразделения и ранга. Поверьте, это сильно влияет на конверсию, так как сарафанное радио никто не отменял :)
В-третьих, не тратьте время на супер-оригинальные темы рассылок - типичной рассылки про необходимость срочной смены пароля для первичного тестирования будет достаточно.

3. Перед проведением тестирования сотрудников доведите им схему реагирования при получении подозрительных писем или схему реагирования на ИТ/ИБ-инциденты

К сотрудникам надо относиться с уважением и заботой - они должны знать, как и к кому необходимо обращаться в случае возможного инцидента, поэтому сделайте рассылку за 1-2 недели до начала тестирования с напоминанием схемы. Это будет честно и в будущем поможет вам определить тех сотрудников, кто читает ваши рассылки

4. Оповестите ваш SOC или администраторов-аутсорсеров о планируемом тестировании

Если вы пользуетесь услугами аутсорсинга в ИБ, то оповестите их службы о своих планах, чтобы они не поднимали "тревогу" или сделали соответствующие настройки (внесли соответствующие исключения в средствах защиты информации и средствах мониторинга).

5. Соблюдайте приватность

После проведения тестирования у вас на руках будет список сотрудников, кто "залетел". Многие начальники/топы захотят получить этот список для того, чтобы сотрудников постигла "кара небесная". ИМХО, в рамках первого тестирования результаты доводить стоит в относительных величинах (процентном или количественном отношении). Да, топ-менеджменту можно передать полный перечень провинившихся, но непосредственным начальникам не стоит - в будущем это может сыграть злую шутку.

6. По итогам тестирования определите особые категории пользователей

В первых пунктах я указывал про необходимость доведения схем реагирования до сотрудников и наличие "сарафанного радио". Опираясь на результаты тестирования, постарайтесь определить "сотрудников-глашатаев", являющихся "сарафанным радио". В будущих тестированиях их можно/нужно изолировать в отдельное тестирование - например, рассылать им тестовые письма последними (таким образом получите более чистую конверсию).
Также стоит определить "сотрудников-активистов", которые читают внимательно все рассылки от ИБ и реагируют правильно - в соответствии с установленными схемами. В будущем им можно будет провести тестирование посложнее или разработать сценарии учебных мероприятий вместе с ними.

7. "Топы любят растущие графики" (©Евгений Родыгин)

По итогам тестирования вам нужно будет красиво все презентовать руководству - с информативными слайдами и показателями. Даже после первичного тестирования (результаты которого будут однозначно печальными) -> обучения -> вторичного тестирования стоит показать не только, что "количество сотрудников, перешедших по ссылкам/открывшим файл" уменьшилось, но и что "количество сотрудников, сообщивших о фишинге, увеличилось". Да, топы любят стрелочки и столбики растущие, нежели ниспадающие.

8. Используйте триалы/бесплатный демо-функционал сервисов по повышению осведомленности сотрудников

Так как в условии у нас сказано, что у нас нулевой бюджет, то нам как-то надо технически организовать тестирование. На рынке РФ, я считаю, достаточное количество игроков в этом направлении (как минимум тройка компаний со словом "phish" в названии, сервис, созвучный по названию с одним млекопитающим из рода быков, и сервис с зеленым медведем в качестве талисмана).
Каждый из этих сервисов предоставляет тестовый доступ к своему функционалу - так что для первичного тестирования вполне хватит, заодно посмотрите все сервисы изнутри и выберете понравившийся для будущих тестирований, если вам выделят бюджет ;)

9. Выбирая опенсорсные решения, будьте готовы повозиться

С нулевым бюджетом нам остается использовать опенсорсные инструменты. Выбрать есть из чего, лично мне все-таки нравится GoPhish как самый user-friendly. НО, выбирая такие решения, будьте готовы к тому, что вам придется повозиться с настройками.
Программное обеспечение надо где-то развернуть. Либо внутри инфраструктуры организации, либо снаружи (сервер VPS, к примеру). В любом случае вы тратите время/ресурсы. В каждом из случаев есть свои нюансы.
К примеру, при выборе GoPhish вам надо будет также развернуть почтовую службу, настроить SPF, DKIM и DMARC (иначе у вас автоматом все в папку спама улетит), купить доменное имя. Если разворачиваете на арендованном сервере - еще и посмотреть, не заблочен ли его ip-адрес РКНом или не числится ли он в базе фишинговых адресов у поставщиков услуг ИБ (а 90% ip-подсетей VPS-серверов там числится). Все это, так или иначе отнимает время.

p.s. На этом пока все. Stay tuned ;)


Мой телеграм-канал https://t.me/alexredsec

Мой твиттер https://twitter.com/ArchieScorp