Jaa


Hyökkäyssimulaatiokoulutuksen käytön aloittaminen

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR for Office 365:n palvelupaketti 2:n ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 -kokeiluversiota Microsoft Defender -portaalin kokeilukeskuksessa. Lue lisätietoja siitä, kuka voi rekisteröityä, ja kokeiluversion ehdot täältä.

Organisaatioissa, joissa on Microsoft Defender for Office 365:n palvelupaketti 2 (lisäosien käyttöoikeudet tai sisältyvät esimerkiksi Microsoft 365 E5 -tilauksiin), voit käyttää Hyökkäyssimulaatiokoulutus -opetusta Microsoft Defender -portaalissa realististen hyökkäysskenaarioiden suorittamiseen organisaatiossasi. Nämä simuloidut hyökkäykset voivat auttaa tunnistamaan ja löytämään haavoittuvassa asemassa olevia käyttäjiä, ennen kuin todellinen hyökkäys vaikuttaa tulokseen.

Tässä artikkelissa kerrotaan hyökkäyssimulaatiokoulutuksen perusteista.

Katso tästä lyhyestä videosta lisätietoja hyökkäyssimulaatiokoulutuksesta.

Huomautus

Hyökkäyssimulaatiokoulutus korvaa vanhan Attack Simulator v1 -kokemuksen, joka oli saatavilla Tietoturva & Yhteensopivuuskeskuksessa uhkien hallinnan>Attack-simulaattorissa tai https://protection.office.com/attacksimulator.

Mitä on hyvä tietää ennen aloittamista?

  • Hyökkäyssimulaatiokoulutus edellyttää Microsoft 365 E5- tai Microsoft Defender for Office 365 Plan 2 - käyttöoikeutta. Lisätietoja käyttöoikeusvaatimuksista on kohdassa Käyttöoikeusehdot.

  • Hyökkäyssimulaatiokoulutus tukee paikallisia postilaatikoita, mutta vähentää raportointitoimintoja. Lisätietoja on artikkelissa Paikallisten postilaatikoiden raportointiongelmat.

  • Jos haluat avata Microsoft Defender -portaalin, siirry osoitteeseen https://security.microsoft.com. Hyökkäyssimulaatiokoulutus on saatavilla sähköpostin ja yhteistyön>hyökkäyssimulaatiokoulutuksessa. Jos haluat siirtyä suoraan hyökkäyssimulaatiokoulutukseen, käytä .https://security.microsoft.com/attacksimulator

  • Lisätietoja hyökkäyssimulaatiokoulutuksen saatavuudesta eri Microsoft 365 -tilauksissa on microsoft Defender for Office 365 -palvelun kuvauksessa.

  • Sinulla on oltava käyttöoikeudet, ennen kuin voit suorittaa tämän artikkelin menettelyt. Voit valita seuraavat vaihtoehdot:

    • Microsoft Entra -käyttöoikeudet: Tarvitset jäsenyyden jossakin seuraavista rooleista:

      • Yleinen järjestelmänvalvoja 1
      • Suojauksen järjestelmänvalvoja
      • Hyökkäyssimulaatioiden järjestelmänvalvojat²: Luo ja hallitse hyökkäyssimulaatiokampanjoiden kaikkia ominaisuuksia.
      • Attack Payload Author²: Luo hyökkäyskuormat, jotka järjestelmänvalvoja voi käynnistää myöhemmin.

      Tärkeää

      ¹ Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Alemman käyttöoikeuden auttaminen parantaa organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

      ² Käyttäjien lisäämistä tähän rooliryhmään sähköpostin & yhteiskäyttöoikeuksia Microsoft Defender -portaalissa ei tällä hetkellä tueta.

      Tällä hetkellä Microsoft Defenderin XDR Unified -roolipohjaisen käytön hallintaa (RBAC) ei tueta.

  • Vastaavia PowerShellin cmdlet-komentoja ei ole hyökkäyssimulaatiokoulutukseen.

  • Hyökkäyssimulaatioon ja koulutukseen liittyvät tiedot tallennetaan muiden Microsoft 365 -palveluiden asiakastietojen kanssa. Lisätietoja on artikkelissa Microsoft 365 -tietojen sijainnit. Hyökkäyssimulaatiokoulutus on saatavilla seuraavilla alueilla: APC, EUR ja NAM. Näillä alueilla sijaitsevia maita, joissa hyökkäyssimulaatiokoulutus on saatavilla, ovat ARE, AUS, BRA, CAN, CHE, DEU, FRA, GBR, IND, JPN, KOR, LAM, NOR, POL, QAT, SGP, SWE ja ZAF.

    Huomautus

    NOR, ZAF, ARE ja DEU ovat uusimpia lisäyksiä. Kaikki ominaisuudet, lukuun ottamatta ilmoitettuja sähköpostitelemetriatietoja, ovat käytettävissä näillä alueilla. Pyrimme ottamaan ominaisuudet käyttöön ja ilmoitamme asiakkaille heti, kun ilmoitettu sähköpostitelemetria tulee saataville.

  • Syyskuusta 2023 lähtien hyökkäyssimulaatiokoulutus on saatavilla Microsoft 365 GCC- ja GCC High -ympäristöissä, mutta tietyt edistyneet ominaisuudet eivät ole käytettävissä GCC High -ympäristössä (esimerkiksi hyötykuorman automatisointi, suositellut hyötykuormat, ennustettu vaarantunut nopeus). Jos organisaatiollasi on Office 365 G5 GCC tai Microsoft Defender for Office 365 (palvelupaketti 2) valtionhallinnolle, voit käyttää hyökkäyssimulaatiokoulutusta tässä artikkelissa kuvatulla tavalla. Hyökkäyssimulaatiokoulutus ei ole vielä käytettävissä DoD-ympäristöissä.

Huomautus

Hyökkäyssimulaatiokoulutus tarjoaa E3-asiakkaille osajoukon ominaisuuksia kokeiluversiona. Kokeiluversiotarjous sisältää mahdollisuuden käyttää tunnistetietojen sadonkorjuun hyötykuormaa ja mahdollisuuden valita ISA-tietojenkalastelu- tai joukkomarkkinoiden tietojenkalastelukoulutuskokemuksia. Mikään muu ominaisuus ei ole osa E3-kokeiluversiotarjousta.

Simulaatiot

Hyökkäyssimulaatiokoulutuksen simulaatio on yleinen kampanja, joka toimittaa käyttäjille realistisia mutta vaarattomia tietojenkalasteluviestejä. Simuloinnin peruselementit ovat seuraavat:

  • Kuka saa simuloidun tietojenkalasteluviestin ja millä aikataululla.
  • Koulutus, jonka käyttäjät saavat simuloidun tietojenkalasteluviestin toiminnon tai toiminnon puuttumisen perusteella (sekä oikeille että virheellisille toimille).
  • Tiedot, joita käytetään simuloidussa tietojenkalasteluviestissä (linkki tai liite) ja tietojenkalasteluviestin koostumus (esimerkiksi toimitettu paketti, tilisi ongelma tai voitit palkinnon).
  • Käytetty sosiaalinen tekniikka . Hyötykuorma ja sosiaalinen suunnittelutekniikka liittyvät läheisesti toisiinsa.

Hyökkäyssimulaatiokoulutuksessa on käytettävissä useita erilaisia sosiaalisen suunnittelun tekniikoita. Ohjeopasta lukuun ottamatta nämä tekniikat kuratoitiin MITRE ATT&CK® -kehyksestä. Eri hyötykuormat ovat saatavilla eri tekniikoille.

Saatavilla ovat seuraavat sosiaalisen suunnittelun tekniikat:

  • Tunnistetietojen kerääminen: Hyökkääjä lähettää vastaanottajalle viestin, joka sisältää URL-osoitteen. Kun vastaanottaja napsauttaa URL-osoitetta, hänet viedään verkkosivustoon, jossa näkyy yleensä valintaikkuna, jossa käyttäjältä kysytään käyttäjänimeä ja salasanaa. Yleensä kohdesivu on teema, joka edustaa tunnettua verkkosivustoa, jotta käyttäjään voidaan luottaa.

  • Haittaohjelmaliite: Hyökkääjä lähettää vastaanottajalle viestin, joka sisältää liitteen. Kun vastaanottaja avaa liitteen, käyttäjän laitteessa suoritetaan mielivaltainen koodi (esimerkiksi makro), joka auttaa hyökkääjää asentamaan lisäkoodia tai pitämään itse lisäasennuksen.

  • Linkki liitteenä: Tämä tekniikka on tunnistetietojen keräämisen yhdistelmä. Hyökkääjä lähettää vastaanottajalle viestin, joka sisältää liitteen url-osoitteen. Kun vastaanottaja avaa liitteen ja napsauttaa URL-osoitetta, hänet viedään verkkosivustoon, jossa näkyy yleensä valintaikkuna, jossa käyttäjältä kysytään käyttäjänimeä ja salasanaa. Yleensä kohdesivu on teema, joka edustaa tunnettua verkkosivustoa, jotta käyttäjään voidaan luottaa.

  • Linkki haittaohjelmistoon: Hyökkääjä lähettää vastaanottajalle viestin, joka sisältää linkin liitetiedostoon tunnetulla tiedostojen jakamisen sivustolla (esimerkiksi SharePoint Online tai Dropbox). Kun vastaanottaja napsauttaa URL-osoitetta, liite avautuu ja käyttäjän laitteessa suoritetaan mielivaltainen koodi (esimerkiksi makro), joka auttaa hyökkääjää asentamaan lisäkoodia tai vakiinnuttamaan itsensä.

  • Drive-by-URL: Hyökkääjä lähettää vastaanottajalle viestin, joka sisältää URL-osoitteen. Kun vastaanottaja napsauttaa URL-osoitetta, hänet viedään verkkosivustoon, joka yrittää suorittaa taustakoodia. Tämä taustakoodi yrittää kerätä tietoja vastaanottajasta tai ottaa mielivaltaisen koodin käyttöön laitteessa. Yleensä kohdesivusto on tunnettu verkkosivusto, joka on vaarantunut, tai tunnetun verkkosivuston klooni. Sivuston tunteminen auttaa vakuuttamaan käyttäjän siitä, että linkkiä on turvallista napsauttaa. Tätä tekniikkaa kutsutaan myös kastelureikähyökkäykseksi.

  • OAuth-suostumuksen myöntäminen: Hyökkääjä luo pahantahtoisen Azure-sovelluksen, joka pyrkii käyttämään tietoja. Sovellus lähettää sähköpostipyynnön, joka sisältää URL-osoitteen. Kun vastaanottaja napsauttaa URL-osoitetta, sovelluksen suostumusavustusmekanismi pyytää tietojen käyttöä (esimerkiksi käyttäjän Saapuneet-kansio).

  • Toimintaohje: Opetusopas, joka sisältää ohjeita käyttäjille (esimerkiksi tietojenkalasteluviestien raportoimiseen).

Hyökkäyssimulaatiokoulutuksessa käytettävät URL-osoitteet on lueteltu seuraavassa taulukossa:

     
https://www.attemplate.com https://www.exportants.it https://www.resetts.it
https://www.bankmenia.com https://www.exportants.org https://www.resetts.org
https://www.bankmenia.de https://www.financerta.com https://www.salarytoolint.com
https://www.bankmenia.es https://www.financerta.de https://www.salarytoolint.net
https://www.bankmenia.fr https://www.financerta.es https://www.securembly.com
https://www.bankmenia.it https://www.financerta.fr https://www.securembly.de
https://www.bankmenia.org https://www.financerta.it https://www.securembly.es
https://www.banknown.de https://www.financerta.org https://www.securembly.fr
https://www.banknown.es https://www.financerts.com https://www.securembly.it
https://www.banknown.fr https://www.financerts.de https://www.securembly.org
https://www.banknown.it https://www.financerts.es https://www.securetta.de
https://www.banknown.org https://www.financerts.fr https://www.securetta.es
https://www.browsersch.com https://www.financerts.it https://www.securetta.fr
https://www.browsersch.de https://www.financerts.org https://www.securetta.it
https://www.browsersch.es https://www.hardwarecheck.net https://www.shareholds.com
https://www.browsersch.fr https://www.hrsupportint.com https://www.sharepointen.com
https://www.browsersch.it https://www.mcsharepoint.com https://www.sharepointin.com
https://www.browsersch.org https://www.mesharepoint.com https://www.sharepointle.com
https://www.docdeliveryapp.com https://www.officence.com https://www.sharesbyte.com
https://www.docdeliveryapp.net https://www.officenced.com https://www.sharession.com
https://www.docstoreinternal.com https://www.officences.com https://www.sharestion.com
https://www.docstoreinternal.net https://www.officentry.com https://www.supportin.de
https://www.doctorican.de https://www.officested.com https://www.supportin.es
https://www.doctorican.es https://www.passwordle.de https://www.supportin.fr
https://www.doctorican.fr https://www.passwordle.fr https://www.supportin.it
https://www.doctorican.it https://www.passwordle.it https://www.supportres.de
https://www.doctorican.org https://www.passwordle.org https://www.supportres.es
https://www.doctrical.com https://www.payrolltooling.com https://www.supportres.fr
https://www.doctrical.de https://www.payrolltooling.net https://www.supportres.it
https://www.doctrical.es https://www.prizeably.com https://www.supportres.org
https://www.doctrical.fr https://www.prizeably.de https://www.techidal.com
https://www.doctrical.it https://www.prizeably.es https://www.techidal.de
https://www.doctrical.org https://www.prizeably.fr https://www.techidal.fr
https://www.doctricant.com https://www.prizeably.it https://www.techidal.it
https://www.doctrings.com https://www.prizeably.org https://www.techniel.de
https://www.doctrings.de https://www.prizegiveaway.net https://www.techniel.es
https://www.doctrings.es https://www.prizegives.com https://www.techniel.fr
https://www.doctrings.fr https://www.prizemons.com https://www.techniel.it
https://www.doctrings.it https://www.prizesforall.com https://www.templateau.com
https://www.doctrings.org https://www.prizewel.com https://www.templatent.com
https://www.exportants.com https://www.prizewings.com https://www.templatern.com
https://www.exportants.de https://www.resetts.de https://www.windocyte.com
https://www.exportants.es https://www.resetts.es
https://www.exportants.fr https://www.resetts.fr

Huomautus

Tarkista simuloidun tietojenkalastelun URL-osoitteen saatavuus tuetuissa verkkoselaimissa, ennen kuin käytät URL-osoitetta tietojenkalastelukampanjassa. Lisätietoja on artikkelissa Tietojenkalastelusimulaatioiden URL-osoitteet, jotka Google Safe Browsing on estänyt.

Simulaatioiden luominen

Katso ohjeet simulaatioiden luomiseen ja käynnistämiseen artikkelista Tietojenkalasteluhyökkäyksen simulointi.

Simulaation aloitussivulle käyttäjät menevät avatessaan hyötykuorman. Kun luot simulaation, valitset käytettävän aloitussivun. Voit valita valmiita aloitussivuja, mukautettuja aloitussivuja, jotka olet jo luonut, tai voit luoda uuden aloitussivun käytettäväksi simuloinnin luonnin aikana. Katso aloitussivujen luominen artikkelista Hyökkäyssimulaatiokoulutuksen aloitussivut.

Simuloinnissa olevat loppukäyttäjän ilmoitukset lähettävät käyttäjille säännöllisiä muistutuksia (esimerkiksi harjoitustehtävät ja muistutusilmoitukset). Voit valita sisäisistä ilmoituksista, jo luomistasi mukautetuista ilmoituksista tai voit luoda uusia ilmoituksia käytettäväksi simuloinnin luomisen aikana. Jos haluat luoda ilmoituksia, katso Käyttäjän ilmoitukset hyökkäyssimulaatiokoulutuksesta.

Vihje

Simulointiautomaatio tarjoaa seuraavat parannukset perinteisiin simulointeihin nähden:

  • Simulointiautomaatio voi sisältää useita sosiaalisen suunnittelun tekniikoita ja niihin liittyviä hyötykuormia (simuloinnit sisältävät vain yhden).
  • Simulointiautomaatio tukee automaattisia ajoitusvaihtoehtoja (enemmän kuin vain alkamis- ja päättymispäivämäärää simuloinneissa).

Lisätietoja on artikkelissa Hyökkäyssimulaatiokoulutuksen simuloinnit.

Payloads

Vaikka hyökkäyssimulaatio sisältää monia sisäisiä hyötykuormia käytettävissä oleville sosiaalisen suunnittelun tekniikoille, voit luoda mukautettuja hyötykuormia, jotka sopivat paremmin yrityksesi tarpeisiin, mukaan lukien olemassa olevan hyötykuorman kopiointi ja mukauttaminen. Voit luoda hyötykuormat milloin tahansa ennen simuloinnin luomista tai simuloinnin luomisen aikana. Jos haluat luoda hyötykuormia, katso Mukautetun hyötykuorman luominen hyökkäyssimulaatioiden harjoittamista varten.

Simulaatioissa, jotka käyttävät tunnistetietojen korjuuta tai linkkiä liitetiedostojen sosiaalisen suunnittelun tekniikoissa, kirjautumissivut ovat osa valitsemaasi hyötykuormaa. Kirjautumissivu on verkkosivu, jolla käyttäjät syöttävät tunnistetietonsa. Jokainen käytettävissä oleva hyötykuorma käyttää oletuskirjautumissivua, mutta voit muuttaa käytettyä kirjautumissivua. Voit valita sisäänrakennettuja kirjautumissivuja, mukautettuja kirjautumissivuja, jotka olet jo luonut, tai voit luoda uuden kirjautumissivun, jota käytetään simuloinnin tai hyötykuorman luonnin aikana. Jos haluat luoda kirjautumissivuja, katso Kirjautumissivut hyökkäyssimulaatiokoulutuksessa.

Simuloitujen tietojenkalasteluviestien paras koulutuskokemus on tehdä niistä mahdollisimman lähellä organisaatiosi mahdollisesti kohtaamia tietojenkalasteluhyökkäyksiä. Entä jos voisit siepata ja käyttää microsoft 365:ssä havaittujen reaalimaailman tietojenkalasteluviestien harmittomia versioita ja käyttää niitä simuloiduissa tietojenkalastelukampanjoissa? Voit hyödyntää hyötykuorman automaatioita (kutsutaan myös hyötykuorman sadonkorjuuksi). Lisätietoja hyötykuorma-automaatioiden luomisesta on artikkelissa Hyökkäyssimulaatiokoulutuksen hyötykuorma-automaatiot.

Raportit ja merkitykselliset tiedot

Kun olet luonut ja käynnistänut simulaation, sinun on nähtävä, miten se menee. Esimerkki:

  • Saivatko kaikki sen?
  • Kuka teki mitä simuloidulle tietojenkalasteluviestille ja sen sisältämälle tietomäärälle (poista, ilmoita, avaa tiedot, anna tunnistetiedot jne.).
  • Kuka suoritti määritetyn koulutuksen.

Hyökkäyssimulaatiokoulutuksen saatavilla olevat raportit ja merkitykselliset tiedot on kuvattu kohdassa Merkitykselliset tiedot ja raportit hyökkäyssimulaatioiden harjoittamista varten.

Ennustettu kompromissiprosentti

Simuloitua tietojenkalastelukampanjaa on usein räätälöitävä tietyille yleisöille. Jos tietojenkalasteluviesti on liian lähellä täydellistä, se huijaa lähes kaikkia. Jos se on liian epäilyttävää, se huijaa häntä. Lisäksi tietojenkalasteluviestejä, joita joidenkin käyttäjien on vaikea tunnistaa, pidetään muiden käyttäjien helppoina tunnistaa. Miten siis saavutat tasapainon?

Ennustettu vaarantumisaste (PCR) ilmaisee mahdollisen tehokkuuden, kun hyötykuormaa käytetään simuloinnissa. PcR käyttää Microsoft 365:n älykkäitä historiallisia tietoja ennustaakseen niiden ihmisten prosenttiosuuden, jotka hyötykuormat vaarantavat. Esimerkki:

  • Tietojen sisältö.
  • Koostetut ja nimettömät kompromissinopeudet muista simulaatioista.
  • Tietojen metatiedot.

PCR:n avulla voit verrata tietojenkalastelusimulaatioiden ennustettuja ja todellisia napsautusnopeuksia. Näiden tietojen avulla voit myös nähdä, miten organisaatiosi suoriutuu ennustettuihin tuloksiin verrattuna.

Hyötykuorman PCR-tiedot ovat käytettävissä aina, kun tarkastelet ja valitset hyötykuormat sekä seuraavissa raporteissa ja merkityksellisissä tiedoissa:

Vihje

Attack Simulator käyttää Turvallisia linkkejä Defender for Office 365:ssä seuratakseen turvallisesti URL-osoitteen napsautustietoja tietojenkalastelukampanjan kohdennetuille vastaanottajille lähetetyssä hyötykuormaviestissä, vaikka Jäljitä käyttäjän napsautuksia -asetus Turvalliset linkit -käytännöissä olisi poistettu käytöstä.

Harjoittelu ilman temppuja

Perinteiset tietojenkalastelusimulaatiot esittävät käyttäjille epäilyttäviä viestejä ja seuraavat tavoitteet:

  • Hanki käyttäjät ilmoittamaan viestistä epäilyttäväksi.
  • Anna koulutusta sen jälkeen, kun käyttäjä napsauttaa tai käynnistää simuloidun haitallisen hyötykuorman ja antaa tunnistetietonsa.

Joskus et kuitenkaan halua odottaa, että käyttäjät ryhtyvät oikeiden tai virheellisten toimien tekoihin, ennen kuin annat heille koulutusta. Hyökkäyssimulaatiokoulutus tarjoaa seuraavat ominaisuudet, jotka ohittavat odotuksen ja menevät suoraan koulutukseen:

  • Koulutuskampanjat: Koulutuskampanja on vain koulutustehtävä kohdennetuille käyttäjille. Voit määrittää koulutuksen suoraan ilman, että käyttäjät testataan simulointia. Koulutuskampanjoiden avulla on helppo järjestää oppimisistuntoja, kuten kuukausittaista kyberturvallisuustietoisuuskoulutusta. Lisätietoja on kohdassa Kampanjat hyökkäyssimulaatiokoulutuksessa.

  • Toimintaohjeet simulaatioissa: Sosiaalisen suunnittelun ohjetekniikkaan perustuvat simulaatiot eivät yritä testata käyttäjiä. Toimintaohje on kevyt oppimiskokemus, jota käyttäjät voivat tarkastella suoraan Saapuneet-kansiossaan. Saatavilla ovat esimerkiksi seuraavat sisäiset ohjetiedot , ja voit luoda omasi (mukaan lukien olemassa olevien tietojen kopiointi ja mukauttaminen):

    • Opetusopas: Tietojenkalasteluviestien raportointi
    • Opetusopas: QR-tietojenkalasteluviestien tunnistaminen ja raportoiminen