Ismerkedés a támadásszimulációs képzéssel

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

A Office 365-höz készült Microsoft Defender 2. csomaggal rendelkező szervezetekben (bővítménylicencek vagy előfizetések, például Microsoft 365 E5) Támadási szimulációs tréning a Microsoft Defender portálon valós támadási forgatókönyveket futtathat a szervezetben. Ezek a szimulált támadások segíthetnek azonosítani és megtalálni a sebezhető felhasználókat, mielőtt egy valós támadás hatással lenne a lényegre.

Ez a cikk a Támadási szimulációs tréning alapjait ismerteti.

Ebből a rövid videóból többet is megtudhat a Támadási szimulációs tréning.

Megjegyzés:

Támadási szimulációs tréning a fenyegetéskezelési>támadásszimulátor biztonsági https://protection.office.com/attacksimulator& megfelelőségi központjában elérhető régi Támadásszimulátor v1-felületet váltja fel.

Mit kell tudnia a kezdés előtt?

  • Támadási szimulációs tréning Microsoft 365 E5 vagy Office 365-höz készült Microsoft Defender 2. csomag licencre van szükség. További információ a licencelési követelményekről: Licencelési feltételek.

  • Támadási szimulációs tréning támogatja a helyszíni postaládákat, de kevesebb jelentéskészítési funkcióval. További információ: Helyszíni postaládákkal kapcsolatos problémák jelentése.

  • A Microsoft Defender portál megnyitásához nyissa meg a következőthttps://security.microsoft.com: . Támadási szimulációs tréning a Email és az együttműködés>Támadási szimulációs tréning érhető el. Ha közvetlenül a Támadási szimulációs tréning szeretne lépni, használja a parancsothttps://security.microsoft.com/attacksimulator.

  • A Támadási szimulációs tréning különböző Microsoft 365-előfizetések közötti elérhetőségéről további információt Office 365-höz készült Microsoft Defender szolgáltatás leírásában talál.

  • Ahhoz, hogy elvégezhesse a cikkben ismertetett eljárásokat, engedélyeket kell hozzárendelnie. A következő lehetőségek közül választhat:

  • Nincsenek megfelelő PowerShell-parancsmagok a Támadási szimulációs tréning.

  • A támadásszimulációval és a betanítással kapcsolatos adatok a Microsoft 365-szolgáltatások egyéb ügyféladataival együtt vannak tárolva. További információ: Microsoft 365-adathelyek. Támadási szimulációs tréning a következő régiókban érhető el: APC, EUR és NAM. Az ezekben a régiókban lévő országok, ahol a Támadási szimulációs tréning elérhető, a következők: ARE, AUS, BRA, CAN, CHE, DEU, FRA, GBR, IND, JPN, KOR, LAM, NOR, POL, QAT, SGP, SWE és ZAF.

    Megjegyzés:

    NOR, ZAF, ARE és DEU a legújabb kiegészítések. Ezekben a régiókban a jelentett e-mail-telemetria kivételével minden funkció elérhető. Dolgozunk a funkciók engedélyezésén, és amint elérhetővé válik a jelentett e-mail-telemetria, értesítjük az ügyfeleket.

  • 2023 szeptemberétől a Támadási szimulációs tréning elérhető a Microsoft 365 GCC és gCC High környezetekben, de bizonyos speciális funkciók nem érhetők el a GCC High-ban (például hasznos adatok automatizálása, ajánlott hasznos adatok, az előrejelzett biztonsági rések aránya). Ha szervezete Office 365 G5 GCC-t vagy Office 365-höz készült Microsoft Defender (2. csomag) kormányzati célokra, a jelen cikkben ismertetett módon használhatja Támadási szimulációs tréning. Támadási szimulációs tréning még nem érhető el DoD-környezetekben.

Megjegyzés:

Támadási szimulációs tréning az E3-ügyfelek számára próbaverzióként kínál képességek egy részét. A próbaverziós ajánlat magában foglalja a hitelesítő adatokra vonatkozó harvest hasznos adatok használatát, valamint az "ISA adathalászat" vagy a "Tömeges piaci adathalászat" betanítási élmény kiválasztásának lehetőségét. Az E3 próbaverziós ajánlatának nem része más képesség.

Szimulációk

A Támadási szimulációs tréning szimulációja az a teljes kampány, amely reális, de ártalmatlan adathalász üzeneteket küld a felhasználóknak. A szimuláció alapvető elemei a következők:

  • Ki kapja meg a szimulált adathalász üzenetet, és milyen ütemezés szerint.
  • Betanítás, amelyet a felhasználók a szimulált adathalász üzeneten végrehajtott művelet vagy művelet hiánya (helyes és helytelen műveletek esetén) alapján kapnak.
  • A szimulált adathalász üzenetben (hivatkozásban vagy mellékletben) használt hasznos adat , valamint az adathalász üzenet összetétele (például csomag kézbesítve, a fiókjával kapcsolatos probléma vagy egy nyeremény elnyerése).
  • A használt szociálmérnöki technika . A hasznos adatok és a szociálmérnöki technika szoros kapcsolatban áll egymással.

A Támadási szimulációs tréning többféle típusú társadalomtervezési technika érhető el. Az útmutató kivételével ezek a technikák a MITRE ATT&CK® keretrendszerből lettek összeválogatva. Különböző hasznos adatok érhetők el különböző technikákhoz.

A következő szociálmérnöki technikák érhetők el:

  • Hitelesítő adatok begyűjtése: A támadó egy URL-címet tartalmazó üzenetet küld a címzettnek. Amikor a címzett az URL-címre kattint, a rendszer egy olyan webhelyre irányítja, amely általában egy párbeszédpanelt jelenít meg, amely a felhasználó felhasználónevét és jelszavát kéri. A céloldal általában úgy van kialakítva, hogy egy jól ismert webhelyet képviseljen, hogy megbízhasson a felhasználóban.

  • Kártevőmelléklet: A támadó egy mellékletet tartalmazó üzenetet küld a címzettnek. Amikor a címzett megnyitja a mellékletet, a rendszer tetszőleges kódot (például makrót) futtat a felhasználó eszközén, hogy segítsen a támadónak további kódot telepíteni, vagy tovább elzárni magát.

  • Hivatkozás a mellékletben: Ez a technika a hitelesítő adatok begyűjtésének hibridje. A támadó olyan üzenetet küld a címzettnek, amely egy mellékleten belüli URL-címet tartalmaz. Amikor a címzett megnyitja a mellékletet, és az URL-címre kattint, egy olyan webhelyre kerül, amely általában egy párbeszédpanelt jelenít meg, amely a felhasználó felhasználónevét és jelszavát kéri. A céloldal általában úgy van kialakítva, hogy egy jól ismert webhelyet képviseljen, hogy megbízhasson a felhasználóban.

  • Kártevőre mutató hivatkozás: A támadó olyan üzenetet küld a címzettnek, amely egy jól ismert fájlmegosztási webhelyen (például SharePoint Online vagy Dropbox) található mellékletre mutató hivatkozást tartalmaz. Amikor a címzett az URL-címre kattint, megnyílik a melléklet, és tetszőleges kódot (például makrót) futtat a felhasználó eszközén, hogy a támadó további kódot telepítsen, vagy további támadásokat végezhessenek.

  • Meghajtó url-címe: A támadó egy URL-címet tartalmazó üzenetet küld a címzettnek. Amikor a címzett az URL-címre kattint, a rendszer egy olyan webhelyre irányítja, amely háttérkódot próbál futtatni. Ez a háttérkód információkat próbál gyűjteni a címzettről, vagy tetszőleges kódot helyez üzembe az eszközén. A célwebhely általában egy jól ismert webhely, amelyet feltörtek, vagy egy jól ismert webhely klónja. A webhely ismerete segít meggyőzni a felhasználót arról, hogy a hivatkozásra biztonságosan kattinthat. Ezt a technikát öntözési lyuk támadásnak is nevezik.

  • OAuth hozzájárulás megadása: A támadó rosszindulatú Azure-alkalmazás hoz létre, amely az adatokhoz való hozzáférésre törekszik. Az alkalmazás egy URL-címet tartalmazó e-mail-kérelmet küld. Amikor a címzett az URL-címre kattint, az alkalmazás hozzájárulás-engedélyezési mechanizmusa hozzáférést kér az adatokhoz (például a felhasználó Beérkezett üzenetek mappájához).

  • Útmutató: Oktatói útmutató, amely útmutatást tartalmaz a felhasználók számára (például az adathalász üzenetek jelentéséhez).

A Támadási szimulációs tréning által használt URL-címek az alábbi táblázatban találhatók:

     
https://www.attemplate.com https://www.exportants.it https://www.resetts.it
https://www.bankmenia.com https://www.exportants.org https://www.resetts.org
https://www.bankmenia.de https://www.financerta.com https://www.salarytoolint.com
https://www.bankmenia.es https://www.financerta.de https://www.salarytoolint.net
https://www.bankmenia.fr https://www.financerta.es https://www.securembly.com
https://www.bankmenia.it https://www.financerta.fr https://www.securembly.de
https://www.bankmenia.org https://www.financerta.it https://www.securembly.es
https://www.banknown.de https://www.financerta.org https://www.securembly.fr
https://www.banknown.es https://www.financerts.com https://www.securembly.it
https://www.banknown.fr https://www.financerts.de https://www.securembly.org
https://www.banknown.it https://www.financerts.es https://www.securetta.de
https://www.banknown.org https://www.financerts.fr https://www.securetta.es
https://www.browsersch.com https://www.financerts.it https://www.securetta.fr
https://www.browsersch.de https://www.financerts.org https://www.securetta.it
https://www.browsersch.es https://www.hardwarecheck.net https://www.shareholds.com
https://www.browsersch.fr https://www.hrsupportint.com https://www.sharepointen.com
https://www.browsersch.it https://www.mcsharepoint.com https://www.sharepointin.com
https://www.browsersch.org https://www.mesharepoint.com https://www.sharepointle.com
https://www.docdeliveryapp.com https://www.officence.com https://www.sharesbyte.com
https://www.docdeliveryapp.net https://www.officenced.com https://www.sharession.com
https://www.docstoreinternal.com https://www.officences.com https://www.sharestion.com
https://www.docstoreinternal.net https://www.officentry.com https://www.supportin.de
https://www.doctorican.de https://www.officested.com https://www.supportin.es
https://www.doctorican.es https://www.passwordle.de https://www.supportin.fr
https://www.doctorican.fr https://www.passwordle.fr https://www.supportin.it
https://www.doctorican.it https://www.passwordle.it https://www.supportres.de
https://www.doctorican.org https://www.passwordle.org https://www.supportres.es
https://www.doctrical.com https://www.payrolltooling.com https://www.supportres.fr
https://www.doctrical.de https://www.payrolltooling.net https://www.supportres.it
https://www.doctrical.es https://www.prizeably.com https://www.supportres.org
https://www.doctrical.fr https://www.prizeably.de https://www.techidal.com
https://www.doctrical.it https://www.prizeably.es https://www.techidal.de
https://www.doctrical.org https://www.prizeably.fr https://www.techidal.fr
https://www.doctricant.com https://www.prizeably.it https://www.techidal.it
https://www.doctrings.com https://www.prizeably.org https://www.techniel.de
https://www.doctrings.de https://www.prizegiveaway.net https://www.techniel.es
https://www.doctrings.es https://www.prizegives.com https://www.techniel.fr
https://www.doctrings.fr https://www.prizemons.com https://www.techniel.it
https://www.doctrings.it https://www.prizesforall.com https://www.templateau.com
https://www.doctrings.org https://www.prizewel.com https://www.templatent.com
https://www.exportants.com https://www.prizewings.com https://www.templatern.com
https://www.exportants.de https://www.resetts.de https://www.windocyte.com
https://www.exportants.es https://www.resetts.es
https://www.exportants.fr https://www.resetts.fr

Megjegyzés:

Ellenőrizze a szimulált adathalász URL-cím elérhetőségét a támogatott webböngészőkben, mielőtt adathalász kampányban használ ilyet. További információ: A Google Biztonságos böngészés által blokkolt adathalász szimulációs URL-címek.

Szimulációk létrehozása

A szimulációk létrehozásával és elindításával kapcsolatos utasításokért lásd: Adathalászati támadás szimulálása.

A szimuláció kezdőlapja az a hely, ahol a felhasználók megnyitják a hasznos adatokat. Szimuláció létrehozásakor kiválaszthatja a használni kívánt kezdőlapot. Választhat a beépített kezdőlapok és a már létrehozott egyéni kezdőlapok közül, vagy létrehozhat egy új kezdőlapot, amelyet a szimuláció létrehozásakor használhat. Kezdőlapok létrehozásához lásd: Kezdőlapok Támadási szimulációs tréning.

A szimuláció végfelhasználói értesítései rendszeres emlékeztetőket küldenek a felhasználóknak (például betanítási hozzárendelés és emlékeztető értesítések). Választhat a beépített értesítések, a már létrehozott egyéni értesítések közül, vagy létrehozhat új értesítéseket, amelyeket a szimuláció létrehozásakor használhat. Értesítések létrehozásához lásd: Végfelhasználói értesítések Támadási szimulációs tréning.

Tipp

A szimulációautomatizálás a következő fejlesztéseket biztosítja a hagyományos szimulációkkal szemben:

  • A szimulációautomatizálás több szociálmérnöki technikát és a kapcsolódó hasznos adatokat is tartalmazhat (a szimulációk csak egyet tartalmaznak).
  • A szimulációautomatizálások támogatják az automatikus ütemezési lehetőségeket (a szimulációkban nem csak a kezdő és a záró dátumot).

További információ: Szimulációautomatizálások Támadási szimulációs tréning.

Hasznos adatok

Bár a támadásszimuláció számos beépített hasznos adatot tartalmaz az elérhető szociális mérnöki technikákhoz, egyéni hasznos adatokat hozhat létre, hogy jobban megfeleljen az üzleti igényeinek, beleértve a meglévő hasznos adatok másolását és testreszabását. A hasznos adatokat bármikor létrehozhatja a szimuláció létrehozása előtt vagy a szimuláció létrehozása során. Hasznos adatok létrehozásához lásd: Egyéni hasznos adatok létrehozása Támadási szimulációs tréning.

A hitelesítő adatok begyűjtését vagy a csatolást a melléklet társadalomtervezési technikáiban használó szimulációkban a bejelentkezési oldalak a kiválasztott hasznos adatok részét képezik. A bejelentkezési oldal az a weblap, amelyen a felhasználók megadhatók a hitelesítő adataik. Minden vonatkozó hasznos adat egy alapértelmezett bejelentkezési oldalt használ, de a használt bejelentkezési oldal módosítható. Választhat a beépített bejelentkezési lapok, a már létrehozott egyéni bejelentkezési lapok közül, vagy létrehozhat egy új bejelentkezési oldalt, amelyet a szimuláció vagy a hasznos adatok létrehozásakor használhat. A bejelentkezési lapok létrehozásáról a Bejelentkezési lapok a Támadási szimulációs tréning-ban című témakörben olvashat.

A szimulált adathalász üzenetek legjobb betanítása az, ha a lehető legközelebb állnak a szervezet által tapasztalt valódi adathalász támadásokhoz. Mi a teendő, ha a Microsoft 365-ben észlelt valós adathalász üzenetek ártalmatlan verzióit rögzítheti és használhatja szimulált adathalász kampányokban? Hasznosadat-automatizálással (más néven hasznosadat-betakarítással) is megteheti. Hasznosadat-automatizálások létrehozásához lásd: Hasznos adatok automatizálása Támadási szimulációs tréning.

Jelentések és megállapítások

A szimuláció létrehozása és elindítása után látnia kell a működését. Például:

  • Mindenki megkapta?
  • Ki mit tett a szimulált adathalász üzenet és a benne lévő hasznos adatokkal (törlés, jelentés, a hasznos adatok megnyitása, hitelesítő adatok megadása stb.).
  • Ki végezte el a hozzárendelt képzést.

A Támadási szimulációs tréning elérhető jelentéseit és elemzéseit az Elemzések és a Támadási szimulációs tréning jelentései című cikkben ismertetjük.

Előrejelzett biztonsági rések aránya

Gyakran kell testre szabnia egy szimulált adathalász kampányt adott célközönségek számára. Ha az adathalászati üzenet túl közel áll a tökéletességhez, szinte mindenkit megtéveszt. Ha túl gyanús, nem fog becsapni. Az egyes felhasználók által nehezen azonosítható adathalász üzeneteket pedig más felhasználók könnyen azonosíthatónak tekintik. Szóval, hogy tudsz egyensúlyt teremteni?

Az előrejelzett kompromisszumos arány (PCR) a hasznos adatok szimulációban való használata esetén potenciális hatékonyságot jelez. A PCR intelligens előzményadatokat használ a Microsoft 365-ben annak előrejelzésére, hogy a hasznos adatok hány százalékát fogják veszélyeztetni. Például:

  • Hasznos adattartalom.
  • Más szimulációk összesített és anonimizált kompromisszumos arányai.
  • Hasznos adat metaadatai.

A PCR lehetővé teszi az adathalász szimulációk előrejelzett és tényleges kattintási sebességének összehasonlítását. Ezeket az adatokat arra is felhasználhatja, hogy lássa, hogyan teljesít a szervezete az előrejelzett eredményekhez képest.

A hasznos adatok PCR-információi mindenhol elérhetők, ahol megtekinti és kiválasztja a hasznos adatokat, valamint az alábbi jelentésekben és megállapításokban:

Tipp

A támadásszimulátor biztonságos hivatkozásokat használ a Office 365-höz készült Defender az adathalászati kampány célzott címzettjeinek küldött hasznosadat-üzenetben lévő URL-cím kattintási adatainak biztonságos nyomon követésére, még akkor is, ha a Biztonságos hivatkozások házirendekben a felhasználó kattintásainak követése beállítás ki van kapcsolva.

Betanítás trükkök nélkül

A hagyományos adathalász szimulációk gyanús üzeneteket és a következő célokat jelenítik meg a felhasználók számára:

  • Kérje meg a felhasználókat, hogy jelentsenek gyanús üzenetet.
  • Biztosítson képzést, miután a felhasználók rákattintanak vagy elindítják a szimulált rosszindulatú hasznos adatokat, és feladják hitelesítő adataikat.

Előfordulhat azonban, hogy nem szeretné megvárni, hogy a felhasználók helyes vagy helytelen műveleteket hajtsanak végre, mielőtt betanítást adna nekik. Támadási szimulációs tréning a következő funkciókat biztosítja a várakozás kihagyásához, és egyenesen a betanításhoz:

  • Képzési kampányok: A betanítási kampányok csak betanítási hozzárendelések a megcélzott felhasználók számára. Közvetlenül is hozzárendelhet betanítást anélkül, hogy a felhasználókat egy szimuláció tesztje során átvenné. A képzési kampányok megkönnyítik az olyan tanulási munkamenetek elvégzését, mint a havi kiberbiztonsági tudatossági képzés. További információ: Kampányok betanítása Támadási szimulációs tréning.

  • Útmutatók szimulációkban: A közösségi mérnöki útmutatón alapuló szimulációk nem próbálják tesztelni a felhasználókat. Az útmutató egy egyszerű tanulási folyamat, amelyet a felhasználók közvetlenül a Beérkezett üzenetek mappájukban tekinthetnek meg. Például az alábbi beépített útmutató hasznos adatai érhetők el, és létrehozhatja saját adatait (beleértve a meglévő hasznos adatok másolását és testreszabását):

    • Oktatói útmutató: Adathalász üzenetek jelentése
    • Oktatási útmutató: QR adathalász üzenetek felismerése és jelentése