Hyökkäyssimulaatiokoulutuksen käytön aloittaminen

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lue lisätietoja siitä, kuka voi rekisteröityä, ja kokeiluversion ehdot täältä.

Organisaatioissa, joissa on Microsoft Defender for Office 365 palvelupaketti 2 (lisäosien käyttöoikeudet tai sisältyvät esimerkiksi Microsoft 365 E5 tilauksiin), voit käyttää Hyökkäyssimulaatiokoulutus Microsoft Defender -portaalissa voit suorittaa realistisia hyökkäystilanteita organisaatiossasi. Nämä simuloidut hyökkäykset voivat auttaa tunnistamaan ja löytämään haavoittuvassa asemassa olevia käyttäjiä, ennen kuin todellinen hyökkäys vaikuttaa tulokseen.

Tässä artikkelissa kerrotaan Hyökkäyssimulaatiokoulutus perusteista.

Katso tästä lyhyestä videosta lisätietoja Hyökkäyssimulaatiokoulutus.

Huomautus

Hyökkäyssimulaatiokoulutus korvaa vanhan Attack Simulator v1 -käyttökokemuksen, joka oli saatavilla tietoturva- & yhteensopivuuskeskuksessa threat management>attack -simulaattorissa tai https://protection.office.com/attacksimulator.

Mitä on hyvä tietää ennen aloittamista?

  • Hyökkäyssimulaatiokoulutus edellyttää Microsoft 365 E5- tai Microsoft Defender for Office 365 palvelupaketin 2 käyttöoikeutta. Lisätietoja käyttöoikeusvaatimuksista on kohdassa Käyttöoikeusehdot.

  • Hyökkäyssimulaatiokoulutus tukee paikallisia postilaatikoita, mutta toimintoja on rajoitettu. Lisätietoja on artikkelissa Paikallisten postilaatikoiden raportointiongelmat.

  • Jos haluat avata Microsoft Defender portaalin, siirry osoitteeseen https://security.microsoft.com. Hyökkäyssimulaatiokoulutus on saatavilla kohdassa Sähköposti ja yhteistyö>Hyökkäyssimulaatiokoulutus. Jos haluat siirtyä suoraan Hyökkäyssimulaatiokoulutus, käytä -parametriahttps://security.microsoft.com/attacksimulator.

  • Lisätietoja Hyökkäyssimulaatiokoulutus saatavuudesta eri Microsoft 365 -tilauksissa artikkelista Microsoft Defender for Office 365 palvelun kuvaus.

  • Sinulla on oltava käyttöoikeudet, ennen kuin voit suorittaa tämän artikkelin menettelyt. Voit valita seuraavat vaihtoehdot:

  • vastaavia PowerShellin cmdlet-komentoja ei ole Hyökkäyssimulaatiokoulutus varten.

  • Hyökkäyssimulaatioon ja koulutukseen liittyvät tiedot tallennetaan muiden Microsoft 365 -palveluiden asiakastietojen kanssa. Lisätietoja on artikkelissa Microsoft 365 -tietojen sijainnit. Hyökkäyssimulaatiokoulutus on saatavilla seuraavilla alueilla: APC, EUR ja NAM. Näillä alueilla sijaitsevia maita, joissa Hyökkäyssimulaatiokoulutus saatavilla, ovat ARE, AUS, BRA, CAN, CHE, DEU, FRA, GBR, IND, JPN, KOR, LAM, NOR, POL, QAT, SGP, SWE ja ZAF.

    Huomautus

    NOR, ZAF, ARE ja DEU ovat uusimpia lisäyksiä. Kaikki ominaisuudet, lukuun ottamatta ilmoitettuja sähköpostitelemetriatietoja, ovat käytettävissä näillä alueilla. Pyrimme ottamaan ominaisuudet käyttöön ja ilmoitamme asiakkaille heti, kun ilmoitettu sähköpostitelemetria tulee saataville.

  • Syyskuusta 2023 alkaen Hyökkäyssimulaatiokoulutus on saatavilla Microsoft 365 GCC- ja GCC High -ympäristöissä, mutta tietyt edistyneet ominaisuudet eivät ole käytettävissä GCC High -ympäristössä (esimerkiksi hyötykuorman automatisointi, suositellut hyötykuormat, ennustettu vaarantunut nopeus). Jos organisaatiollasi on Office 365 G5 GCC tai Microsoft Defender for Office 365 (palvelupaketti 2) julkishallinnolle, voit käyttää Hyökkäyssimulaatiokoulutus tässä artikkelissa kuvatulla tavalla. Hyökkäyssimulaatiokoulutus ei ole vielä käytettävissä DoD-ympäristöissä.

Huomautus

Hyökkäyssimulaatiokoulutus tarjoaa E3-asiakkaille alijoukon ominaisuuksia kokeiluversiona. Kokeiluversiotarjous sisältää mahdollisuuden käyttää tunnistetietojen sadonkorjuun hyötykuormaa ja mahdollisuuden valita ISA-tietojenkalastelu- tai joukkomarkkinoiden tietojenkalastelukoulutuskokemuksia. Mikään muu ominaisuus ei ole osa E3-kokeiluversiotarjousta.

Simulaatiot

Hyökkäyssimulaatiokoulutus simulointi on yleinen kampanja, joka toimittaa käyttäjille realistisia mutta vaarattomia tietojenkalasteluviestejä. Simuloinnin peruselementit ovat seuraavat:

  • Kuka saa simuloidun tietojenkalasteluviestin ja millä aikataululla.
  • Koulutus, jonka käyttäjät saavat simuloidun tietojenkalasteluviestin toiminnon tai toiminnon puuttumisen perusteella (sekä oikeille että virheellisille toimille).
  • Tiedot, joita käytetään simuloidussa tietojenkalasteluviestissä (linkki tai liite) ja tietojenkalasteluviestin koostumus (esimerkiksi toimitettu paketti, tilisi ongelma tai voitit palkinnon).
  • Käytetty sosiaalinen tekniikka . Hyötykuorma ja sosiaalinen suunnittelutekniikka liittyvät läheisesti toisiinsa.

Hyökkäyssimulaatiokoulutus on saatavilla useita erilaisia sosiaalisen suunnittelun tekniikoita. Ohjeopasta lukuun ottamatta nämä tekniikat kuratoitiin MITRE ATT&CK® -kehyksestä. Eri hyötykuormat ovat saatavilla eri tekniikoille.

Saatavilla ovat seuraavat sosiaalisen suunnittelun tekniikat:

  • Tunnistetietojen kerääminen: Hyökkääjä lähettää vastaanottajalle viestin, joka sisältää URL-osoitteen. Kun vastaanottaja napsauttaa URL-osoitetta, hänet viedään verkkosivustoon, jossa näkyy yleensä valintaikkuna, jossa käyttäjältä kysytään käyttäjänimeä ja salasanaa. Yleensä kohdesivu on teema, joka edustaa tunnettua verkkosivustoa, jotta käyttäjään voidaan luottaa.

  • Haittaohjelmaliite: Hyökkääjä lähettää vastaanottajalle viestin, joka sisältää liitteen. Kun vastaanottaja avaa liitteen, käyttäjän laitteessa suoritetaan mielivaltainen koodi (esimerkiksi makro), joka auttaa hyökkääjää asentamaan lisäkoodia tai pitämään itse lisäasennuksen.

  • Linkki liitteenä: Tämä tekniikka on tunnistetietojen keräämisen yhdistelmä. Hyökkääjä lähettää vastaanottajalle viestin, joka sisältää liitteen url-osoitteen. Kun vastaanottaja avaa liitteen ja napsauttaa URL-osoitetta, hänet viedään verkkosivustoon, jossa näkyy yleensä valintaikkuna, jossa käyttäjältä kysytään käyttäjänimeä ja salasanaa. Yleensä kohdesivu on teema, joka edustaa tunnettua verkkosivustoa, jotta käyttäjään voidaan luottaa.

  • Linkki haittaohjelmistoon: Hyökkääjä lähettää vastaanottajalle viestin, joka sisältää linkin liitetiedostoon tunnetulla tiedostojen jakamisen sivustolla (esimerkiksi SharePoint Online tai Dropbox). Kun vastaanottaja napsauttaa URL-osoitetta, liite avautuu ja käyttäjän laitteessa suoritetaan mielivaltainen koodi (esimerkiksi makro), joka auttaa hyökkääjää asentamaan lisäkoodia tai vakiinnuttamaan itsensä.

  • Drive-by-URL: Hyökkääjä lähettää vastaanottajalle viestin, joka sisältää URL-osoitteen. Kun vastaanottaja napsauttaa URL-osoitetta, hänet viedään verkkosivustoon, joka yrittää suorittaa taustakoodia. Tämä taustakoodi yrittää kerätä tietoja vastaanottajasta tai ottaa mielivaltaisen koodin käyttöön laitteessa. Yleensä kohdesivusto on tunnettu verkkosivusto, joka on vaarantunut, tai tunnetun verkkosivuston klooni. Sivuston tunteminen auttaa vakuuttamaan käyttäjän siitä, että linkkiä on turvallista napsauttaa. Tätä tekniikkaa kutsutaan myös kastelureikähyökkäykseksi.

  • OAuth-suostumuksen myöntäminen: Hyökkääjä luo pahantahtoisen Azure-sovelluksen, joka pyrkii käyttämään tietoja. Sovellus lähettää sähköpostipyynnön, joka sisältää URL-osoitteen. Kun vastaanottaja napsauttaa URL-osoitetta, sovelluksen suostumusavustusmekanismi pyytää tietojen käyttöä (esimerkiksi käyttäjän Saapuneet-kansio).

  • Toimintaohje: Opetusopas, joka sisältää ohjeita käyttäjille (esimerkiksi tietojenkalasteluviestien raportoimiseen).

Hyökkäyssimulaatiokoulutus käyttämät URL-osoitteet on lueteltu seuraavassa taulukossa:

     
https://www.attemplate.com https://www.exportants.it https://www.resetts.it
https://www.bankmenia.com https://www.exportants.org https://www.resetts.org
https://www.bankmenia.de https://www.financerta.com https://www.salarytoolint.com
https://www.bankmenia.es https://www.financerta.de https://www.salarytoolint.net
https://www.bankmenia.fr https://www.financerta.es https://www.securembly.com
https://www.bankmenia.it https://www.financerta.fr https://www.securembly.de
https://www.bankmenia.org https://www.financerta.it https://www.securembly.es
https://www.banknown.de https://www.financerta.org https://www.securembly.fr
https://www.banknown.es https://www.financerts.com https://www.securembly.it
https://www.banknown.fr https://www.financerts.de https://www.securembly.org
https://www.banknown.it https://www.financerts.es https://www.securetta.de
https://www.banknown.org https://www.financerts.fr https://www.securetta.es
https://www.browsersch.com https://www.financerts.it https://www.securetta.fr
https://www.browsersch.de https://www.financerts.org https://www.securetta.it
https://www.browsersch.es https://www.hardwarecheck.net https://www.shareholds.com
https://www.browsersch.fr https://www.hrsupportint.com https://www.sharepointen.com
https://www.browsersch.it https://www.mcsharepoint.com https://www.sharepointin.com
https://www.browsersch.org https://www.mesharepoint.com https://www.sharepointle.com
https://www.docdeliveryapp.com https://www.officence.com https://www.sharesbyte.com
https://www.docdeliveryapp.net https://www.officenced.com https://www.sharession.com
https://www.docstoreinternal.com https://www.officences.com https://www.sharestion.com
https://www.docstoreinternal.net https://www.officentry.com https://www.supportin.de
https://www.doctorican.de https://www.officested.com https://www.supportin.es
https://www.doctorican.es https://www.passwordle.de https://www.supportin.fr
https://www.doctorican.fr https://www.passwordle.fr https://www.supportin.it
https://www.doctorican.it https://www.passwordle.it https://www.supportres.de
https://www.doctorican.org https://www.passwordle.org https://www.supportres.es
https://www.doctrical.com https://www.payrolltooling.com https://www.supportres.fr
https://www.doctrical.de https://www.payrolltooling.net https://www.supportres.it
https://www.doctrical.es https://www.prizeably.com https://www.supportres.org
https://www.doctrical.fr https://www.prizeably.de https://www.techidal.com
https://www.doctrical.it https://www.prizeably.es https://www.techidal.de
https://www.doctrical.org https://www.prizeably.fr https://www.techidal.fr
https://www.doctricant.com https://www.prizeably.it https://www.techidal.it
https://www.doctrings.com https://www.prizeably.org https://www.techniel.de
https://www.doctrings.de https://www.prizegiveaway.net https://www.techniel.es
https://www.doctrings.es https://www.prizegives.com https://www.techniel.fr
https://www.doctrings.fr https://www.prizemons.com https://www.techniel.it
https://www.doctrings.it https://www.prizesforall.com https://www.templateau.com
https://www.doctrings.org https://www.prizewel.com https://www.templatent.com
https://www.exportants.com https://www.prizewings.com https://www.templatern.com
https://www.exportants.de https://www.resetts.de https://www.windocyte.com
https://www.exportants.es https://www.resetts.es
https://www.exportants.fr https://www.resetts.fr

Huomautus

Tarkista simuloidun tietojenkalastelun URL-osoitteen saatavuus tuetuissa verkkoselaimissa, ennen kuin käytät URL-osoitetta tietojenkalastelukampanjassa. Lisätietoja on artikkelissa Tietojenkalastelusimulaatioiden URL-osoitteet, jotka Google Safe Browsing on estänyt.

Simulaatioiden luominen

Katso ohjeet simulaatioiden luomiseen ja käynnistämiseen artikkelista Tietojenkalasteluhyökkäyksen simulointi.

Simulaation aloitussivulle käyttäjät menevät avatessaan hyötykuorman. Kun luot simulaation, valitset käytettävän aloitussivun. Voit valita valmiita aloitussivuja, mukautettuja aloitussivuja, jotka olet jo luonut, tai voit luoda uuden aloitussivun käytettäväksi simuloinnin luonnin aikana. Jos haluat luoda aloitussivuja, katso Hyökkäyssimulaatiokoulutus aloitussivut.

Simuloinnissa olevat loppukäyttäjän ilmoitukset lähettävät käyttäjille säännöllisiä muistutuksia (esimerkiksi harjoitustehtävät ja muistutusilmoitukset). Voit valita sisäisistä ilmoituksista, jo luomistasi mukautetuista ilmoituksista tai voit luoda uusia ilmoituksia käytettäväksi simuloinnin luomisen aikana. Jos haluat luoda ilmoituksia, katso loppukäyttäjän ilmoitukset Hyökkäyssimulaatiokoulutus.

Vihje

Simulointiautomaatio tarjoaa seuraavat parannukset perinteisiin simulointeihin nähden:

  • Simulointiautomaatio voi sisältää useita sosiaalisen suunnittelun tekniikoita ja niihin liittyviä hyötykuormia (simuloinnit sisältävät vain yhden).
  • Simulointiautomaatio tukee automaattisia ajoitusvaihtoehtoja (enemmän kuin vain alkamis- ja päättymispäivämäärää simuloinneissa).

Lisätietoja on artikkelissa Hyökkäyssimulaatiokoulutus simulointiautomaatio.

Payloads

Vaikka hyökkäyssimulaatio sisältää monia sisäisiä hyötykuormia käytettävissä oleville sosiaalisen suunnittelun tekniikoille, voit luoda mukautettuja hyötykuormia, jotka sopivat paremmin yrityksesi tarpeisiin, mukaan lukien olemassa olevan hyötykuorman kopiointi ja mukauttaminen. Voit luoda hyötykuormat milloin tahansa ennen simuloinnin luomista tai simuloinnin luomisen aikana. Jos haluat luoda hyötykuormat, katso Mukautetun hyötykuorman luominen Hyökkäyssimulaatiokoulutus varten.

Simulaatioissa, jotka käyttävät tunnistetietojen korjuuta tai linkkiä liitetiedostojen sosiaalisen suunnittelun tekniikoissa, kirjautumissivut ovat osa valitsemaasi hyötykuormaa. Kirjautumissivu on verkkosivu, jolla käyttäjät syöttävät tunnistetietonsa. Jokainen käytettävissä oleva hyötykuorma käyttää oletuskirjautumissivua, mutta voit muuttaa käytettyä kirjautumissivua. Voit valita sisäänrakennettuja kirjautumissivuja, mukautettuja kirjautumissivuja, jotka olet jo luonut, tai voit luoda uuden kirjautumissivun, jota käytetään simuloinnin tai hyötykuorman luonnin aikana. Jos haluat luoda kirjautumissivuja, katso Hyökkäyssimulaatiokoulutus kirjautumissivut.

Simuloitujen tietojenkalasteluviestien paras koulutuskokemus on tehdä niistä mahdollisimman lähellä organisaatiosi mahdollisesti kohtaamia tietojenkalasteluhyökkäyksiä. Entä jos voisit siepata ja käyttää microsoft 365:ssä havaittujen reaalimaailman tietojenkalasteluviestien harmittomia versioita ja käyttää niitä simuloiduissa tietojenkalastelukampanjoissa? Voit hyödyntää hyötykuorman automaatioita (kutsutaan myös hyötykuorman sadonkorjuuksi). Jos haluat luoda hyötykuorma-automaatioita, katso Hyökkäyssimulaatiokoulutus tietojen automaatiot.

Raportit ja merkitykselliset tiedot

Kun olet luonut ja käynnistänut simulaation, sinun on nähtävä, miten se menee. Esimerkki:

  • Saivatko kaikki sen?
  • Kuka teki mitä simuloidulle tietojenkalasteluviestille ja sen sisältämälle tietomäärälle (poista, ilmoita, avaa tiedot, anna tunnistetiedot jne.).
  • Kuka suoritti määritetyn koulutuksen.

Hyökkäyssimulaatiokoulutus saatavilla olevat raportit ja merkitykselliset tiedot on kuvattu artikkelissa Hyökkäyssimulaatiokoulutus merkitykselliset tiedot ja raportit.

Ennustettu kompromissiprosentti

Simuloitua tietojenkalastelukampanjaa on usein räätälöitävä tietyille yleisöille. Jos tietojenkalasteluviesti on liian lähellä täydellistä, se huijaa lähes kaikkia. Jos se on liian epäilyttävää, se huijaa häntä. Lisäksi tietojenkalasteluviestejä, joita joidenkin käyttäjien on vaikea tunnistaa, pidetään muiden käyttäjien helppoina tunnistaa. Miten siis saavutat tasapainon?

Ennustettu vaarantumisaste (PCR) ilmaisee mahdollisen tehokkuuden, kun hyötykuormaa käytetään simuloinnissa. PcR käyttää Microsoft 365:n älykkäitä historiallisia tietoja ennustaakseen niiden ihmisten prosenttiosuuden, jotka hyötykuormat vaarantavat. Esimerkki:

  • Tietojen sisältö.
  • Koostetut ja nimettömät kompromissinopeudet muista simulaatioista.
  • Tietojen metatiedot.

PCR:n avulla voit verrata tietojenkalastelusimulaatioiden ennustettuja ja todellisia napsautusnopeuksia. Näiden tietojen avulla voit myös nähdä, miten organisaatiosi suoriutuu ennustettuihin tuloksiin verrattuna.

Hyötykuorman PCR-tiedot ovat käytettävissä aina, kun tarkastelet ja valitset hyötykuormat sekä seuraavissa raporteissa ja merkityksellisissä tiedoissa:

Vihje

Attack Simulator käyttää Defender for Office 365 Turvallisia linkkejä seuratakseen turvallisesti URL-osoitteen napsautustietoja tietojenkalastelukampanjan kohdennetuille vastaanottajille lähetetyssä hyötykuormaviestissä, vaikka Seuraa käyttäjän napsautuksia -asetus Turvalliset linkit -käytännöissä olisi poistettu käytöstä.

Harjoittelu ilman temppuja

Perinteiset tietojenkalastelusimulaatiot esittävät käyttäjille epäilyttäviä viestejä ja seuraavat tavoitteet:

  • Hanki käyttäjät ilmoittamaan viestistä epäilyttäväksi.
  • Anna koulutusta sen jälkeen, kun käyttäjä napsauttaa tai käynnistää simuloidun haitallisen hyötykuorman ja antaa tunnistetietonsa.

Joskus et kuitenkaan halua odottaa, että käyttäjät ryhtyvät oikeiden tai virheellisten toimien tekoihin, ennen kuin annat heille koulutusta. Hyökkäyssimulaatiokoulutus tarjoaa seuraavat ominaisuudet, joiden avulla voit ohittaa odotuksen ja siirtyä suoraan koulutukseen:

  • Koulutuskampanjat: Koulutuskampanja on vain koulutustehtävä kohdennetuille käyttäjille. Voit määrittää koulutuksen suoraan ilman, että käyttäjät testataan simulointia. Koulutuskampanjoiden avulla on helppo järjestää oppimisistuntoja, kuten kuukausittaista kyberturvallisuustietoisuuskoulutusta. Lisätietoja on artikkelissa Kampanjoiden harjoittaminen Hyökkäyssimulaatiokoulutus.

  • Toimintaohjeet simulaatioissa: Sosiaalisen suunnittelun ohjetekniikkaan perustuvat simulaatiot eivät yritä testata käyttäjiä. Toimintaohje on kevyt oppimiskokemus, jota käyttäjät voivat tarkastella suoraan Saapuneet-kansiossaan. Saatavilla ovat esimerkiksi seuraavat sisäiset ohjetiedot , ja voit luoda omasi (mukaan lukien olemassa olevien tietojen kopiointi ja mukauttaminen):

    • Opetusopas: Tietojenkalasteluviestien raportointi
    • Opetusopas: QR-tietojenkalasteluviestien tunnistaminen ja raportoiminen