Symulator ataku

Dnia 17-go kwietnia pojawiła się oficjalnie nowa pozycja w panelu administracyjnym, tzw. Symulator ataku (Attack Simulator). Administratorzy mogą go wykorzystać do przeprowadzania symulowanych ataków, określić zachowania użytkowników oraz sprawdzić, czy polityki lub narzędzia bezpieczeństwa wymagają aktualizacji. Narzędzie pomaga w określeniu, którzy użytkownicy są najbardziej podatni na atak. Później takich użytkowników można przeszkolić i dzięki temu zwiększyć ochronę całej organizacji.

Uruchomienie narzędzia

Funkcjonalność dostępna jest z poziomu Centrum Administracyjnego „Zabezpieczenia i zgodność” w pozycji menu Zarządzanie zagrożeniami -> Symulator ataku. Przed uruchomieniem ataku wymagane jest spełnienie kilku wymagań, jak to zostało pokazane na rysunku poniżej. Należy skonfigurować uwierzytelnianie wieloskładnikowe (MFA) u administratora przeprowadzającego symulację ataku oraz kliknąć link w celu konfiguracji tenanta, która w moim przypadku trwała niespełna pół godziny.

Ataki można przeprowadzać obecnie tylko na użytkownikach posiadających licencję Exchange Online.

Rodzaje ataków

W czasie pisania tego artykułu możliwe były do wykonania 3 typy ataków:

• Spersonalizowane wyłudzanie informacji (Display Name Spear Phishing Attack) – atak polega na próbie wyłudzenia danych poufnych, np. haseł czy danych kart kredytowych poprzez podszycie się pod zaufaną jednostkę. Kierowany może być do wybranej grupy użytkowników, np. zarządu firmy.
• Atak rozproszony na hasła (Password Spray Attack) – atak wykorzystuje często używane hasła i celuje w wiele kont w organizacji, sprawdzając, czy jakieś konto w organizacji jest podatne na skompromitowanie hasła (czy użytkownik używa takiego hasła).
• Atak siłowy na hasła (Brute Force Password Attack) – atak polegający na sprawdzeniu możliwych kombinacji hasła metodą prób i błędów aż do jego odgadnięcia. Szczególnie przydatny do sprawdzenia siły haseł administratorów.

Wszystkie trzy typy ataków dotyczą naruszeń kont użytkowników (account breach), ale z czasem można spodziewać się ataków celujących w pozostałe kategorie zagrożeń: dane (data) i urządzenia (device).

Konfiguracja ataku

Jak wygląda taki atak? Wybieramy z listy pierwszy z ataków – atak wykorzystujący metodę wyłudzenia informacji (phishing). Po kliknięciu w Uruchom atak uruchamia się nam odpowiedni kreator, w którym definiujemy ustawienia.

W oknie Rozpoczęcie definiujemy nazwę ataku. Po kliknięciu Use Template można wybrać jeden z dwóch dostępnych szablonów. W opisywanym przykładzie posłużę się szablonem Aktualizacja płac.

W oknie Adresaci docelowi definiujemy grupę lub pojedynczych użytkowników, na których zostaje przeprowadzony atak. Można wybrać adresy e-mail tylko członków naszej organizacji.

W następnym etapie Skonfiguruj szczegóły wiadomości ustawia się pola nadawcy maila, temat wiadomości i dwa adresy URL. Adres URL serwera logowania na potrzeby wyłudzania informacji polega na wyborze jednej z dostępnych stron, a adres URL niestandardowej strony docelowej definiuje witrynę, na którą zostanie przekierowany użytkownik w przypadku udanego ataku.

Redagowanie wiadomości e-mail pozwala na edycję treści wiadomości. W zakładce Źródło dostępny jest edytor HTML, który pozwala jeszcze bardziej uwiarygodnić atak w oczach końcowych użytkowników.

W oknie Potwierdzenie kończymy konfigurację ataku mającego na celu wyłudzenie informacji.

Więcej przykładów phishingu można odnaleźć w artykule pt. Phishing Examples for the Microsoft Office 365 Attack Simulator – Part One.

Weryfikacja świadomości końcowych użytkowników

Po uruchomieniu ataków do skrzynek pocztowych wybranych użytkowników trafiają uprzednio spreparowane wiadomości.

Użytkownik powinien zgłosić takie zdarzenie do administratora, ale jeśli kliknie w banner, zostanie przekierowany na stronę łudząco przypominającą portal logowania Office 365. Przy wpisywaniu nazwy i hasła zostanie poinformowany o tym, że połączenie jest niezabezpieczone.

Jeśli mimo to zdecyduje się wprowadzić swoje poświadczenia, zostanie uruchomiona określona wcześniej niestandardowa strona, w tym przypadku Wikipedia z hasłem Phishing.

Administrator ma na bieżąco podgląd do raportu ataku w oknie głównym symulatora ataku. Widoczna jest liczba skutecznych prób oraz informacja o tym, kiedy dokładnie oraz w jaki sposób naruszone zostały zabezpieczenia. Oddzielnie podani są użytkownicy, którzy kliknęli w banner oraz ci, którzy wprowadzili swoje poświadczenia. Takich użytkowników na pewno należy uświadomić o popełnionym błędzie i przekazać odpowiednie instrukcje na przyszłość.

Podsumowanie

W chwili obecnej opisany wyżej rodzaj ataku posiada zdecydowanie więcej ustawień niż dwa pozostałe. W przypadku ataków polegających na sprawdzaniu haseł możliwe jest tylko określenie końcowych użytkowników i ręczne wprowadzenie haseł do użycia w ataku. W ataku siłowym dodatkowo można przekazać odpowiedni plik z hasłami. Z czasem na pewno opcji oraz rodzaju ataków będzie dostępnych więcej.

Symulator ataku dostępny jest domyślnie w planie Office 365 Enterprise E5 lub jako jedna ze składowych dodatku Office 365 Threat Intelligence, np. do planu Office 365 Enterprise E1 lub planu Office 365 Enterprise E3. Więcej informacji na ten temat można znaleźć w artykule pt. Get started with Office 365 Threat Intelligence.

Zachęcam do testów i aktywnego korzystania z tego narzędzia, bo jak powszechnie wiadomo, lepiej zapobiegać niż leczyć.

Źródła

Podziel się