Распечатанный отчёт о фишинговой симуляции на кремовой бумаге с барным графиком и показателями кликов. Перьевая ручка лежит наискось, мягкий дневной свет падает слева на светлый дубовый стол.


На одном из проектов по оценке защищённости для логистической компании с 1200 сотрудниками мы запустили фишинговую кампанию через GoPhish - письмо от имени "службы кадров" с просьбой подтвердить данные для нового ДМС-полиса. Результат за первые 4 часа: 42% открыли письмо, 31% перешли по ссылке, 19% ввели корпоративные учётные данные на поддельной странице. При этом компания за полгода до этого провела "обучение сотрудников информационной безопасности" - двухчасовой вебинар с презентацией в 40 слайдов. Формально галочка стоит. Реально - каждый пятый сотрудник сдал пароль атакующему.

Почему стандартный security awareness тренинг проваливается​

Люди не глупые. Проблема в другом: awareness-программы строят HR-отделы или compliance-офицеры, а не те, кто реально атакует. Ежегодный вебинар с картинками про "не открывайте подозрительные вложения" не формирует навык - он формирует иллюзию. Сотрудник прослушал, поставил галочку, забыл через неделю.

По данным Verizon DBIR 2025, 68% утечек связаны с non-malicious human element - ошибки, социальная инженерия. Согласно IBM X-Force Threat Intelligence Index 2025, генерация фишингового письма через GenAI занимает в 11.4 раза меньше времени, чем ручное написание, при сопоставимом качестве. CrowdStrike Global Threat Report 2025 фиксирует удвоение вредоносного использования GenAI для социальной инженерии и фишинга за 2024 год. А 75% вторжений в 2024 году использовали действительные учётные данные - те самые, которые сотрудники вводят на фишинговых страницах.

Пентестер видит это с другой стороны: он знает, какие претексты работают, какие отделы кликают чаще, в какое время суток эффективность фишинга максимальна. Именно эти данные превращают абстрактную "культуру кибербезопасности в компании" в измеримый процесс.

Маппинг awareness-программы на MITRE ATT&CK

1783619654809.webp

Когда пентестер проводит фишинговую симуляцию, он работает с конкретными техниками из MITRE ATT&CK, а не с абстрактными угрозами. SOC-команда и руководство получают единую таксономию для оценки рисков.

Техники, которые awareness-программа должна закрывать на уровне пользователя:

MITRE ATT&CK IDТехникаЧто тренируем у сотрудникаЧто детектирует SOC
T1566.001 (Spearphishing Attachment)Spearphishing AttachmentНе открывать вложения от неизвестных, проверять отправителяSandbox-детонация вложений, YARA-правила на макросы
T1566.002 (Spearphishing Link)Spearphishing LinkПроверять URL перед кликом, сообщать о подозрительных письмахURL-репутация в email gateway, алерты на переходы по новым доменам
T1204.001 (Malicious Link)Malicious LinkНе вводить учётные данные на незнакомых страницахКорреляция DNS-запросов к свежезарегистрированным доменам
T1204.002 (Malicious File)Malicious FileНе запускать файлы из непроверенных источниковEDR-алерты на запуск из temp-директорий
T1598 (Phishing for Information)Phishing for InformationНе раскрывать внутреннюю информацию по телефону/почтеМониторинг утечки метаданных через email headers
T1684.001 (Impersonation)ImpersonationВерифицировать личность звонящего через обратный звонокДетекция spoofed caller ID через телеком-интеграции

Такой маппинг закрывает три вопроса разом: пентестер знает, что тестировать; SOC знает, что детектировать; руководство видит, какие TTP закрыты на уровне людей, а какие - только техническими средствами.

Pipeline: от фишинг-симуляции до измеримого изменения поведения​

Ниже - воспроизводимый процесс, который я использую на проектах. Он не требует бюджета на enterprise-платформы - GoPhish бесплатен (последний релиз: июнь 2023, но проект активен, форки живут), а основная работа - в аналитике результатов.

Фаза 1: Baseline - замер текущего состояния​

Перед любым обучением запускается "тихая" фишинговая кампания без предупреждения сотрудников. Цель - получить baseline-метрики:
  • Open rate - процент открытий письма (проходит ли письмо фильтры и вызывает ли интерес)
  • Click rate - процент кликов по ссылке (доверие к претексту)
  • Credential harvest rate - процент введённых учётных данных (критический провал)
  • Report rate - процент сотрудников, сообщивших о подозрительном письме в SOC (зрелость культуры)
По опыту проектов и данным отраслевых отчётов, baseline в компаниях без awareness-программы: open rate 50-60%, click rate 25-35%, credential harvest 15-25%, report rate 2-5%.

В GoPhish создаётся кампания с реалистичным претекстом. Из практики - лучше всего работают письма, имитирующие внутренние процессы: "Обновление политики отпусков", "Новый порядок начисления премий", "Уведомление от IT: смена пароля". Претексты от внешних сервисов (банки, доставка) работают хуже - сотрудники менее склонны вводить корпоративные креды на "внешних" страницах.

Место в kill chain: это initial access через T1566.002. Если credential harvest проходит - атакующий получает foothold с валидными учётными данными (T1078), дальше lateral movement через SMB/RDP и при удаче - эскалация до доменного админа.

Фаза 2: Targeted training на основе данных пентеста​

После baseline запускается обучение, но не одинаковое для всех. Данные из GoPhish дают сегментацию:

Группа A (ввели учётные данные) - интенсивный модуль с разбором конкретного письма, которое они получили. Показываем: вот что вы открыли, вот куда утекли ваши данные, вот что атакующий мог бы сделать дальше - lateral movement, доступ к файловым шарам, эскалация до доменного админа.

Группа B (кликнули, но не ввели данные) - средний модуль: распознавание URL-индикаторов, проверка сертификата страницы.

Группа C (не кликнули) - лёгкий модуль: поддержание навыка, новые типы атак (вишинг, QR-фишинг).

Ключевой момент: обучение строится на реальных артефактах из пентеста, а не на абстрактных примерах. Когда бухгалтер видит скриншот письма, которое она сама открыла два дня назад, и рядом - таймлайн того, что атакующий мог бы сделать за следующие 15 минут, эффект несравнимо сильнее слайда с иконкой замочка.

Фаза 3: Повторная симуляция и замер дельты​

Через 30-45 дней запускается вторая кампания с другим претекстом, но аналогичной сложностью. Сравнение метрик с baseline показывает эффективность обучения.

Целевые показатели после первого цикла:
  • Click rate: снижение на 40-75% от baseline
  • Credential harvest rate: снижение на 60-80%
  • Report rate: рост до 15-25%
Если дельта меньше - проблема либо в качестве обучающего контента, либо обучение прошло формально (тот самый "вебинар с галочкой").

Фаза 4: Непрерывный цикл​

Фишинг-симуляции переходят в регулярный режим - раз в 4-6 недель, с ротацией претекстов. Каждый квартал меняется вектор: email-фишинг -> вишинг (телефонные звонки) -> физический претекстинг (попытка tailgating, подброс USB-носителей).

Ограничение метода: регулярные симуляции работают против массового фишинга. Против целевого spearphishing на топ-менеджмент (whaling) нужен отдельный трек с индивидуальными сценариями - стандартный GoPhish-pipeline тут не вытянет.

Detection-чеклист: что SOC отслеживает параллельно с awareness-программой​

1783619693489.webp

Security awareness программа без detection-компоненты - половина работы. SOC должен детектировать и реальные атаки, и измерять поведение пользователей. Ниже - чеклист корреляционных правил, которые дополняют awareness-программу.

Правила для email-фишинга:
  1. Алерт на переход по URL с доменом, зарегистрированным менее 30 дней назад - коррелировать DNS-запросы из proxy/firewall логов с данными WHOIS через threat intelligence feed
  2. Алерт на множественный ввод учётных данных на одном внешнем URL за короткий период (3+ сотрудников за 1 час) - индикатор активной фишинговой кампании
  3. Алерт на отправку email с внутреннего адреса, где Display Name совпадает с реальным сотрудником, но SMTP-домен отличается - индикатор Impersonation (T1684.001)
Правила для credential harvesting:
  1. Корреляция: успешный вход в корпоративный VPN/SSO с нового IP-адреса в течение 1 часа после зафиксированного перехода по подозрительной ссылке
  2. Алерт на аномальную геолокацию: вход с IP, расположенного в стране, откуда сотрудник ранее не подключался, при наличии активной сессии из основной локации
Правила для оценки эффективности awareness:
  1. Дашборд: количество обращений сотрудников в SOC с пометкой "подозрительное письмо" - тренд по неделям (рост = программа работает)
  2. Корреляция: время от получения фишингового письма до репорта в SOC - метрика скорости реакции персонала
Реализация зависит от SIEM-стека. В MaxPatrol SIEM правило на множественный credential harvest строится через корреляцию событий веб-прокси (HTTP POST на внешний URL) с группировкой по destination URL и порогом в 3 уникальных source IP за 60 минут. В Elastic SIEM 8.x+ аналогичная логика - через detection rule с threshold aggregation по destination.domain и source.ip. В KUMA от Kaspersky подход похож, но синтаксис корреляционных правил свой - придётся адаптировать.

Insider threat: когда скомпрометирован легитимный пользователь​

Awareness-программа не закрывает один критический сценарий: сотрудник, который уже скомпрометирован. По данным CrowdStrike, 75% вторжений в 2024 году использовали действительные учётные данные. Атакующий уже внутри периметра - с валидным токеном, легитимным хостом и правами реального пользователя.

Что пентестер должен включить в awareness-программу для SOC-команды:

Обучение аналитиков SOC распознавать аномалии в поведении легитимных учётных записей: нетипичное время входа, доступ к ресурсам вне обычного scope, массовое скачивание файлов. Звучит просто - на практике без baseline это нереально.

Baseline поведения пользователей - без него невозможно отличить скомпрометированную учётную запись от легитимной. UEBA-модуль в SIEM строит профиль: обычные часы работы, типичные сетевые назначения, объём данных. В MaxPatrol SIEM модуль UEBA доступен из коробки, в Elastic нужен Platinum-уровень подписки.

Playbook на скомпрометированный хост: если EDR фиксирует Cobalt Strike beacon (или Sliver, или Havoc - сейчас зоопарк C2-фреймворков растёт) на рабочей станции сотрудника - немедленная изоляция хоста, сброс учётных данных, ревью всех действий за последние 72 часа. В CrowdStrike Falcon изоляция хоста - один клик в консоли. В Kaspersky EDR Expert - аналогично через "Сетевая изоляция" в карточке хоста.

Awareness-программа не заменяет технический контроль. Если сотрудник сдал пароль, а MFA не настроен - никакой тренинг не спасёт. Поэтому pipeline от пентестера включает и технические рекомендации: принудительный MFA на всех внешних точках входа, conditional access policies, ограничение TTL сессий.

Финансовый и правовой контекст​

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Последние два года я вижу одну и ту же картину: компании покупают дорогие платформы для автоматизированного awareness-обучения, прогоняют через них сотрудников и считают задачу решённой. А потом на пентесте выясняется, что 25% по-прежнему кликают.

Корневая проблема - awareness-программа отделена от offensive-практики. Обучение, которое не опирается на данные реальных фишинговых кампаний, проведённых против конкретной организации с конкретными претекстами - это compliance-галочка, а не снижение риска. Пентестер в роли архитектора awareness-программы - не модная позиция, а необходимость: только тот, кто знает, как атакует противник, может научить защищаться. И пока security awareness тренинг не станет data-driven процессом с квартальным циклом замеров и конкретными TTP в основе - человеческий фактор останется самым дешёвым вектором входа. На форуме codeby.net коллеги разбирают конкретные сценарии awareness-кампаний с метриками эффективности и шаблонами GoPhish-претекстов - если выстраиваете свой pipeline, полезно сверить подход.
 
Последнее редактирование модератором:
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →

Популярный контент

🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab