На одном из проектов по оценке защищённости для логистической компании с 1200 сотрудниками мы запустили фишинговую кампанию через GoPhish - письмо от имени "службы кадров" с просьбой подтвердить данные для нового ДМС-полиса. Результат за первые 4 часа: 42% открыли письмо, 31% перешли по ссылке, 19% ввели корпоративные учётные данные на поддельной странице. При этом компания за полгода до этого провела "обучение сотрудников информационной безопасности" - двухчасовой вебинар с презентацией в 40 слайдов. Формально галочка стоит. Реально - каждый пятый сотрудник сдал пароль атакующему.
Почему стандартный security awareness тренинг проваливается
Люди не глупые. Проблема в другом: awareness-программы строят HR-отделы или compliance-офицеры, а не те, кто реально атакует. Ежегодный вебинар с картинками про "не открывайте подозрительные вложения" не формирует навык - он формирует иллюзию. Сотрудник прослушал, поставил галочку, забыл через неделю.По данным Verizon DBIR 2025, 68% утечек связаны с non-malicious human element - ошибки, социальная инженерия. Согласно IBM X-Force Threat Intelligence Index 2025, генерация фишингового письма через GenAI занимает в 11.4 раза меньше времени, чем ручное написание, при сопоставимом качестве. CrowdStrike Global Threat Report 2025 фиксирует удвоение вредоносного использования GenAI для социальной инженерии и фишинга за 2024 год. А 75% вторжений в 2024 году использовали действительные учётные данные - те самые, которые сотрудники вводят на фишинговых страницах.
Пентестер видит это с другой стороны: он знает, какие претексты работают, какие отделы кликают чаще, в какое время суток эффективность фишинга максимальна. Именно эти данные превращают абстрактную "культуру кибербезопасности в компании" в измеримый процесс.
Маппинг awareness-программы на MITRE ATT&CK
Когда пентестер проводит фишинговую симуляцию, он работает с конкретными техниками из MITRE ATT&CK, а не с абстрактными угрозами. SOC-команда и руководство получают единую таксономию для оценки рисков.
Техники, которые awareness-программа должна закрывать на уровне пользователя:
| MITRE ATT&CK ID | Техника | Что тренируем у сотрудника | Что детектирует SOC |
|---|---|---|---|
| T1566.001 (Spearphishing Attachment) | Spearphishing Attachment | Не открывать вложения от неизвестных, проверять отправителя | Sandbox-детонация вложений, YARA-правила на макросы |
| T1566.002 (Spearphishing Link) | Spearphishing Link | Проверять URL перед кликом, сообщать о подозрительных письмах | URL-репутация в email gateway, алерты на переходы по новым доменам |
| T1204.001 (Malicious Link) | Malicious Link | Не вводить учётные данные на незнакомых страницах | Корреляция DNS-запросов к свежезарегистрированным доменам |
| T1204.002 (Malicious File) | Malicious File | Не запускать файлы из непроверенных источников | EDR-алерты на запуск из temp-директорий |
| T1598 (Phishing for Information) | Phishing for Information | Не раскрывать внутреннюю информацию по телефону/почте | Мониторинг утечки метаданных через email headers |
| T1684.001 (Impersonation) | Impersonation | Верифицировать личность звонящего через обратный звонок | Детекция spoofed caller ID через телеком-интеграции |
Такой маппинг закрывает три вопроса разом: пентестер знает, что тестировать; SOC знает, что детектировать; руководство видит, какие TTP закрыты на уровне людей, а какие - только техническими средствами.
Pipeline: от фишинг-симуляции до измеримого изменения поведения
Ниже - воспроизводимый процесс, который я использую на проектах. Он не требует бюджета на enterprise-платформы - GoPhish бесплатен (последний релиз: июнь 2023, но проект активен, форки живут), а основная работа - в аналитике результатов.Фаза 1: Baseline - замер текущего состояния
Перед любым обучением запускается "тихая" фишинговая кампания без предупреждения сотрудников. Цель - получить baseline-метрики:- Open rate - процент открытий письма (проходит ли письмо фильтры и вызывает ли интерес)
- Click rate - процент кликов по ссылке (доверие к претексту)
- Credential harvest rate - процент введённых учётных данных (критический провал)
- Report rate - процент сотрудников, сообщивших о подозрительном письме в SOC (зрелость культуры)
В GoPhish создаётся кампания с реалистичным претекстом. Из практики - лучше всего работают письма, имитирующие внутренние процессы: "Обновление политики отпусков", "Новый порядок начисления премий", "Уведомление от IT: смена пароля". Претексты от внешних сервисов (банки, доставка) работают хуже - сотрудники менее склонны вводить корпоративные креды на "внешних" страницах.
Место в kill chain: это initial access через T1566.002. Если credential harvest проходит - атакующий получает foothold с валидными учётными данными (T1078), дальше lateral movement через SMB/RDP и при удаче - эскалация до доменного админа.
Фаза 2: Targeted training на основе данных пентеста
После baseline запускается обучение, но не одинаковое для всех. Данные из GoPhish дают сегментацию:Группа A (ввели учётные данные) - интенсивный модуль с разбором конкретного письма, которое они получили. Показываем: вот что вы открыли, вот куда утекли ваши данные, вот что атакующий мог бы сделать дальше - lateral movement, доступ к файловым шарам, эскалация до доменного админа.
Группа B (кликнули, но не ввели данные) - средний модуль: распознавание URL-индикаторов, проверка сертификата страницы.
Группа C (не кликнули) - лёгкий модуль: поддержание навыка, новые типы атак (вишинг, QR-фишинг).
Ключевой момент: обучение строится на реальных артефактах из пентеста, а не на абстрактных примерах. Когда бухгалтер видит скриншот письма, которое она сама открыла два дня назад, и рядом - таймлайн того, что атакующий мог бы сделать за следующие 15 минут, эффект несравнимо сильнее слайда с иконкой замочка.
Фаза 3: Повторная симуляция и замер дельты
Через 30-45 дней запускается вторая кампания с другим претекстом, но аналогичной сложностью. Сравнение метрик с baseline показывает эффективность обучения.Целевые показатели после первого цикла:
- Click rate: снижение на 40-75% от baseline
- Credential harvest rate: снижение на 60-80%
- Report rate: рост до 15-25%
Фаза 4: Непрерывный цикл
Фишинг-симуляции переходят в регулярный режим - раз в 4-6 недель, с ротацией претекстов. Каждый квартал меняется вектор: email-фишинг -> вишинг (телефонные звонки) -> физический претекстинг (попытка tailgating, подброс USB-носителей).Ограничение метода: регулярные симуляции работают против массового фишинга. Против целевого spearphishing на топ-менеджмент (whaling) нужен отдельный трек с индивидуальными сценариями - стандартный GoPhish-pipeline тут не вытянет.
Detection-чеклист: что SOC отслеживает параллельно с awareness-программой
Security awareness программа без detection-компоненты - половина работы. SOC должен детектировать и реальные атаки, и измерять поведение пользователей. Ниже - чеклист корреляционных правил, которые дополняют awareness-программу.
Правила для email-фишинга:
- Алерт на переход по URL с доменом, зарегистрированным менее 30 дней назад - коррелировать DNS-запросы из proxy/firewall логов с данными WHOIS через threat intelligence feed
- Алерт на множественный ввод учётных данных на одном внешнем URL за короткий период (3+ сотрудников за 1 час) - индикатор активной фишинговой кампании
- Алерт на отправку email с внутреннего адреса, где Display Name совпадает с реальным сотрудником, но SMTP-домен отличается - индикатор Impersonation (T1684.001)
- Корреляция: успешный вход в корпоративный VPN/SSO с нового IP-адреса в течение 1 часа после зафиксированного перехода по подозрительной ссылке
- Алерт на аномальную геолокацию: вход с IP, расположенного в стране, откуда сотрудник ранее не подключался, при наличии активной сессии из основной локации
- Дашборд: количество обращений сотрудников в SOC с пометкой "подозрительное письмо" - тренд по неделям (рост = программа работает)
- Корреляция: время от получения фишингового письма до репорта в SOC - метрика скорости реакции персонала
destination.domain и source.ip. В KUMA от Kaspersky подход похож, но синтаксис корреляционных правил свой - придётся адаптировать.Insider threat: когда скомпрометирован легитимный пользователь
Awareness-программа не закрывает один критический сценарий: сотрудник, который уже скомпрометирован. По данным CrowdStrike, 75% вторжений в 2024 году использовали действительные учётные данные. Атакующий уже внутри периметра - с валидным токеном, легитимным хостом и правами реального пользователя.Что пентестер должен включить в awareness-программу для SOC-команды:
Обучение аналитиков SOC распознавать аномалии в поведении легитимных учётных записей: нетипичное время входа, доступ к ресурсам вне обычного scope, массовое скачивание файлов. Звучит просто - на практике без baseline это нереально.
Baseline поведения пользователей - без него невозможно отличить скомпрометированную учётную запись от легитимной. UEBA-модуль в SIEM строит профиль: обычные часы работы, типичные сетевые назначения, объём данных. В MaxPatrol SIEM модуль UEBA доступен из коробки, в Elastic нужен Platinum-уровень подписки.
Playbook на скомпрометированный хост: если EDR фиксирует Cobalt Strike beacon (или Sliver, или Havoc - сейчас зоопарк C2-фреймворков растёт) на рабочей станции сотрудника - немедленная изоляция хоста, сброс учётных данных, ревью всех действий за последние 72 часа. В CrowdStrike Falcon изоляция хоста - один клик в консоли. В Kaspersky EDR Expert - аналогично через "Сетевая изоляция" в карточке хоста.
Awareness-программа не заменяет технический контроль. Если сотрудник сдал пароль, а MFA не настроен - никакой тренинг не спасёт. Поэтому pipeline от пентестера включает и технические рекомендации: принудительный MFA на всех внешних точках входа, conditional access policies, ограничение TTL сессий.
Финансовый и правовой контекст
📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Последние два года я вижу одну и ту же картину: компании покупают дорогие платформы для автоматизированного awareness-обучения, прогоняют через них сотрудников и считают задачу решённой. А потом на пентесте выясняется, что 25% по-прежнему кликают.
Корневая проблема - awareness-программа отделена от offensive-практики. Обучение, которое не опирается на данные реальных фишинговых кампаний, проведённых против конкретной организации с конкретными претекстами - это compliance-галочка, а не снижение риска. Пентестер в роли архитектора awareness-программы - не модная позиция, а необходимость: только тот, кто знает, как атакует противник, может научить защищаться. И пока security awareness тренинг не станет data-driven процессом с квартальным циклом замеров и конкретными TTP в основе - человеческий фактор останется самым дешёвым вектором входа. На форуме codeby.net коллеги разбирают конкретные сценарии awareness-кампаний с метриками эффективности и шаблонами GoPhish-претекстов - если выстраиваете свой pipeline, полезно сверить подход.
Последнее редактирование модератором: