Всем привет, на связи Илья Никифоров — специалист по повышению осведомленности по Информационной Безопасности, ну еще и культуру кибербезопасности развиваю в АШАН Ритейл Россия. Снова про фишинг, сложности, открытия и дела житейские.
В статье две части:
Часть 1 — про AWR-системы: зачем нужна платформа осведомлённости и что она автоматизирует;
Часть 2 — реальный кейс, где Google/Yandex «сломали» статистику фишинга, а в итоге у нас появились амбассадоры безопасности.
? Кому надо сразу мясо — перейти к кейсу →
Отвечу на вопрос “Для кого эта статья?”. Тут вариантов приличное количество: для тех, кто также как и я занимается развитием киберкультуры в своей компании; кто понимает, что работа с людьми не менее важна, чем передовые технологии; кто думает купить себе систему управления обучением по кибербезопасности; да и в целом для широкого круга читателей, у которых есть свободное время во время рабочего дня, чтобы погрузиться в чтиво.
Спойлер: это реальный инструмент, который может стать вашим помощником — сильно упростит и систематизирует жизнь. Кстати, написать статью мне помогали коллеги из компании «Start X». Мы пользуемся их платформой для повышения осведомленности сотрудников. Ребята не платили мне за рекламу — я просто предложил поделиться нашим опытом.
Ну что, поехали.
Awareness или не Awareness — вот в чём вопрос?
Security Awareness Training Platform — это система, которая помогает нам всем не облажаться, когда в ящик прилетает письмос темой «Ваша почта будет удалена через 24 часа» или «Премия за июль — срочно подпишите приказ».
Что делает это чудо дивное:
1. Фишинг, но не совсем
Эта система позволяет запускать фишинговые симуляции. Да-да, мы сами шлём вам фейковые письма.
Звучит странно? Возможно. Зато легально и с благими намерениями: натренировать мышцу подозрительности или, как говорят наши зарубежные коллеги, healthy paranoia (здоровую паранойю). Это как вакцина — учимся на тестах, чтобы потом не загреметь от настоящего вируса.
2. Показывает, кто не прошёл квест
Система собирает данные:
Кто открыл письмо;
Кто перешёл по ссылке;
Кто ввёл логин и пароль в форму;
Кто проигнорировал;
Кто написал в ИБ «пахнет фишингом».
По сути — строит такую «воронку боли». И вот ты смотришь на неё и понимаешь, что даже айтишники не вечны, и никакие системы не спасут от зевоты в понедельник утром.
3. Метрики, отчёты, воронки, драматургия
Можно выгрузить:
Отчеты по обучению и действиям во время учебных атак;
Отчет по уязвимостям — он собирает все уязвимости сотрудников в одном документе;
Отчет по планировщику — показывает подробную информацию о правилах — какие готовятся или уже были запущены, на каких сотрудников распространялись;
Отчет по обратной связи от сотрудников.
Эти отчеты помогают понять, кто стабильно распознает фишинг, а кто чаще всех попадается на атаки и остается стабильным клиентом на обучение.
Иногда смотришь эти графики, и всё внутри сжимается. А иногда — наоборот — восхищаешься людьми, которые первыми сообщили об атаке. Да, я реально пустил скупую мужскую слезу, когда сотрудник попался на фишинг, но сам написал, сознался, попросил личной встречи, чтобы разложить все по полочкам у себя в голове. Это ли не чудо?
4. Учим не словом, а …
После фейкового фишинга мы не просто молчим.
Тем, кто попался — автообучение;
Тем, кто молодец — похвала и почет;
Всем остальным — контент, постеры, рассылки, гайды, мемы, курсы и разбор симуляции.
Всё, чтобы цифровая осторожность стала не чем‑то внешним, а таким же рефлексом, как «Дверь закрыл?» или «Чайник выключил?»
Почему вообще важно?
Для бизнеса — это не просто «ещё один курс», а щит против человеческого фактора, из‑за которого, между прочим, случаются подавляющее число инцидентов (тренды социальной инженерии);
Для ИБ — это не попытка «найти виноватых», а шанс понять, где болит и кого лечить первым;
Для людей — это повышение насмотренности, которая пригодится в повседневной жизни.
Плюсы и Минусы таких систем
Плюсы:
Автоматизация фишинговых кампаний Запускаешь — и система сама шлёт «подозрительные» письма. Ты спишь, а она ловит наивных.
Метрики по отделам, ролям, должностям и душевной готовности Видно, где дыра в обороне: у бухгалтеров или у «ну я же в ИТ».
Обучение встроено прямо внутрь Ошибся — сразу курс. Без боли, но с выводами.
Обратная связь — молниеносная Письмо ушло → клик случился → в отчёт попал. Без бумажек, списков, дедлайнов «к пятнице».
Минусы:
Деньги, Карл. Это стоит денег;
Нужна своя инфраструктура и руки Хотите, чтобы оно летало? Придётся поднять сервер, завести технаря и где-то достать ещё одного ИБ-шника (удачи!). Или можно использовать сервис в инфраструктуре вендора — SaaS;
Придётся разговаривать с вендором/интегратором Да-да, если ты интроверт с аллергией на Zoom — будет больно. «Давай созвонимся», согласования и прочее корпоративное...
Что из себя представляют AWR-системы на примере Start AWR?
Сегодня многие компании сталкиваются с задачей не просто обучать сотрудников ИБ-гигиене, а делать это системно, с метриками, автоматизацией и защитой от ошибок. Именно для этого существуют AWR-системы (Awareness & Reporting). Они объединяют курсы, фишинговые симуляции, логи, отчётность и почтовые сервисы в одну управляемую экосистему.
Разберёмся, что это за зверь такой — на примере Start AWR.
Start AWR — это современная платформа для повышения осведомленности сотрудников в сфере информационной безопасности.
Ключевая цель — снизить риски инцидентов, связанных с человеческим фактором, и сформировать у сотрудников устойчивые навыки противодействия цифровым атакам. Важно научить распознавать киберугрозы, в первую очередь — фишинг.
Особое внимание в продукте уделяется развитию насмотренности (AWR = awareness). Это способность сотрудника уверенно отличать подозрительное письмо от легитимного даже при высоком уровне подделки.
Платформа построена с использованием современной контейнерной технологии Docker. Это обеспечивает:
Гибкость развёртывания — можно запуститься в любой ОС;
Масштабируемость — если изменить выделенные ресурсы, можно легко подстроиться под новые задачи;
Стабильность и изоляцию — каждый компонент системы работает в отдельном контейнере, что минимизирует риски сбоев и упрощает обновление.
Перспективы: куда движется индустрия
Следующий этап — серверлесс архитектура и event-driven взаимодействие. Уже сейчас часть задач может выноситься в лямбда-функции или отдельные очереди событий.
Также развивается направление auto-scaling на Kubernetes, но пока чаще применяется в крупных инсталляциях. Для большинства компаний Docker + Galera + HAProxy покрывают 90% нужд.
И да, будущее за модульными системами, где можно динамически подключать и отключать компоненты под задачи конкретной компании.
AWR-системы — это уже не просто «обучающие платформы». Это полноценные ИТ-продукты, которые требуют зрелой архитектуры, безопасности и производительности. И то, как вы их внедрите, будет определять не просто эффективность осведомлённости, а устойчивость всей вашей ИБ-модели.
Кейс: когда цифры врут, а люди — нет!
После очередной атаки часть коллег начала писать:
«Я не переходил. Ну правда. Не трогал. Просто письмо удалил.»
И вот тут можно было бы сказать — «лукавят», но у меня ещё осталась вера в людей. Я начал копать.
И что выяснилось:
Большая часть нелегитимных действий шла с хостов, представляющихся cache.google.com. Это сервис кэширования, который позволяет предварительно индексировать/проверять страницы и класть их в кэш, чтобы, при необходимости, с ними можно было оперировать быстрее и без фактической загрузки (на случай, если хост недоступен).
Однако, помимо этой полезной функции, есть и скрытая. Она используется в целях безопасности и помимо кэширования самих страниц проверяет контент, проходит по ссылкам, открывая/разрушая одноразовые записки. Кейсы наших зарубежных коллег можно посмотреть здесь:
Также было немало запросов, идущих от Яндекса, у которого есть схожий с Гуглом механизм кэширования.
Были и токены, которые открывались только ботами (что даёт false-positive на открытие письма). Будем пытаться заблокировать их по User-Agent'у.
То есть ситуация такая: бот открывает письмо, более с письмом действий не происходит, но его открытие засчитывается. В логах это все фиксируется, при этом не все они ограничивались только ботом. Были и такие, когда впоследствии письмо открывал и пользователь. Оперативно вычислить их возможным не представляется. Это исключительно ручная работа, надо сравнивать все токены. Но в атаке отметились.
YandexBot
YandexImageResizer
Отмечу, что иногда боты умышленно скрывают свой User-Agent с тем, чтобы проверить нет ли на странице т. н. «клоакинга», когда реальным пользователям и роботам отдаётся разный контент. Это (скрытие UA) случается нечасто, но бывает. Здесь уже только в ручном режиме отлавливать.
Что после такой занимательной истории мы сделали:
Отфильтровали «ботовские» переходы и вычистили все данные по атаке;
Настроили исключения;
Добавили user-agent анализ;
-
Сохранили веру в человечество.
Вывод: если у вас статистика вдруг пошла в разнос — не бейте сотрудников сразу. Возможно, дело в Яндексе или Гугле.
Но нет худа без добра!
Эта история с фишингом, которая поначалу казалась простой рутиной, неожиданно дала крутой росток: мы запустили программу амбассадоров.
Причём люди сами вызвались. Не по приказу, не за плюшки — просто потому что им не всё равно.
Они сказали: «Если уж я попался, значит, и другие могут. Чем смогу — помогу!»
Это про зрелость. Про ответственность. Про то самое «вместе», из‑за которого всё вообще имеет смысл.
И это — очень круто.
Нужна AWR-система или нет?
Каждый решает сам. Но если по фактам:
— Без таких систем вы не знаете, кто именно у вас жмёт «Открыть» на письма от «Бухгалтера Эрена Йегера» и радостно вводит свои данные в форму с логотипом, нарисованным в Paint;
— Без обучения у сотрудников в голове будет не healthy paranoia, а вечный TikTok с котиками и скидками на алике;
— Без метрик вы никогда не поймёте, это осознанность выросла или просто все ушли в отпуска и не открыли письмо.
Можно всё делать руками — рассылки, таблицы, курсы, фишинги.
Можно.
Но надо понимать, какой это объём трудозатрат, и какого качества это всё получится. Как и обещал, ничего не рекламирую, ни к чему не призываю. Решение всегда остается за вами.