Вебинары раз в полгода, дорогие видеокурсы, геймификация с баллами и мультики про злобных хакеров — всё это не работает. Могло бы работать, если бы встраивалось в системную программу security awareness. И если бы симуляции отвечали реальным угрозам, а не воспроизводили шаблоны десятилетней давности.
Учебные симуляции не дают эффекта, потому что реальные риски никто не оценивал, а атаки давно не ограничиваются массовыми рассылками типа «Срочно переведи деньги! Некогда объяснять».
Из этого возникает несколько вопросов. Как понять, что именно нужно тестировать? Какие сценарии важны для конкретной компании? Что имеет смысл заказывать у внешних подрядчиков? Чтобы ответить на них, обратимся к международным стандартам. Эти стандарты появились не для галочки — за ними стоит анализ реальных инцидентов и лучших практик.
Что дают стандарты
Международные стандарты — это одновременно и карта, и компас: они показывают, где компания находится и куда ей двигаться дальше. С ними не нужно изобретать велосипед — можно строить программу противодействия фишингу по проверенной логике.
SANS Security Awareness Maturity Model отвечает на вопрос: «Насколько зрелая у нас ИБ-программа?».
NIST SP 800-53 указывает, какие конкретные процессы и контроли нужно внедрить, чтобы программа работала.
ISO/IEC 27001/27002 фиксирует, что awareness — обязательный элемент системы менеджмента ИБ.
Проще говоря, SANS дает стратегическую рамку, NIST — чек-лист контролей, а ISO — системность. В этой статье сосредоточимся на первых двух.
Модель зрелости SANS
SANS оценивает зрелость программы ИБ по пятибалльной шкале (Security Awareness Maturity Model).
Nonexistent: обучения по ИБ нет или оно эпизодическое. Сотрудники не осведомлены.
Compliance-Focused: обучение проводится ради соответствия требованиям. Основной фокус на формальном прохождении курсов.
Promoting Awareness & Behavior Change: программа регулярная, используются тесты, фишинг-симуляции, метрики. Цель — изменить поведение сотрудников и повысить их осведомленность относительно актуальных угроз.
Long-Term Sustainment & Culture Change: ИБ интегрирована в бизнес-процессы, метрики показывают актуальное состояние осведомленности в организации. Формируется культура безопасности.
Metrics-Driven & Adaptive: программа гибкая, основана на данных и постоянно адаптируется под новые угрозы. Учения разрабатываются, исходя из метрик и актуальных угроз.
Ключевой вывод SANS в том, что зрелость ИБ-программ определяется не количеством материалов, а их реальным влиянием на поведение людей. Причем большинство компаний зависает где-то между вторым и третьим уровнем.
В случае антифишинговых программ проблема обычно кроется в хаотичном и формальном подходе к тренингам.
Кипы статичных материалов, которые не обновляются годами.
Практических тренировок либо нет, либо они оторваны ��т реальности. На деле про инциденты часто умалчивают и совершенно напрасно: каждый из них показывает вектор атаки злоумышленников.
Специфику компании и роли сотрудников не учитывают, а ведь у разных ролей — разные риски. Топ-менеджмент атакуют через whaling: точечный фишинг, где злоумышленник тщательно готовится и бьет по конкретному руководителю. При социотехнических тестированиях такие сценарии часто пропускают — слишком деликатная тема. У HR и бухгалтерии свои угрозы: претекстинг, когда атакующий выдает себя за коллегу или подрядчика, и мошенничество с платежными реквизитами. У ИТ-специалистов болевые точки — технические учетные записи и избыточные права доступа.
Метрики поведения сотрудников вообще никто не собирает.
Контроли NIST: что конкретно делать
Если SANS задает глобальную рамку и стратегическую цель — развитие от compliance к устойчивой культуре безопасности, то NIST SP 800-53 формализует эти подходы в конкретные контроли, применимые без больших бюджетов.
Разберем семейство AT (Awareness and Training), которое отвечает на три вопроса — кого обучать, чему обучать и как проверить, что обучение работает.
Контроли AT-1, AT-2 и AT-3 предполагают, что сотрудники проходят начальное и регулярное обучение, в том числе с учетом опыта реальных атак.
У AT-2(1) и AT-3(3) есть запрос как на теорию, так и на практику. Сюда входят учебные фишинговые атаки и симуляции социальной инженерии (без предупреждения, чтобы проверить реальную готовность сотрудников). Результаты нужно анализировать и документировать. Иначе непонятно, чему учить людей дальше.
AT-2(3) расширяет программу обучения. Сотрудники должны научиться распознавать разные техники: классический фишинг, претекстинг, перехват переписки (thread-jacking, когда злоумышленник встраивается в существующую цепочку писем) и атаки через соцсети.
AT-4 и AT-6 отвечают за метрики. Нужно фиксировать, кто прошел обучение, кто кликнул по тестовой ссылке, кто сообщил в ИБ-службу, как быстро среагировали. Эти данные показывают, работает ли программа и где в ней слабые места.
PM-15 и PM-16 связывают обучение с реальностью. Они требуют интеграции актуальных данных об угрозах и обмена информацией с внешними источниками — чтобы сценарии учений отражали, что происходит прямо сейчас, а не полгода назад.
Таким образом, SANS задает стратегическую рамку (модель зрелости показывает, на каком уровне находится программа security awareness и куда двигаться дальше), а NIST 800-53 работает на уровень ниже. Этот стандарт представляет собой набор конкретных контролей, которые превращают абстрактные цели в измеримые действия.
Оба подхода сходятся в главном: обучение — не разовое мероприятие и не ежегодная галочка, а непрерывный цикл. Провели тренинг, измерили результат, нашли слабые места, скорректировали программу, повторили.
Внедряем HADI-цикл
Со стандартами разобрались, но что делать на практике?
Для внедрения лучших практик стоит использовать так называемый HADI-цикл — Hypothesis, Action, Data, Insights. Эта методика пришла из маркетинга, где её применяют для быстрого тестирования гипотез, но она также отлично ложится на любые итеративные процессы.
В нашем случае HADI поможет выстроить программу security awareness так, чтобы она соответствовала требованиям NIST и при этом постоянно улучшалась на основе реальных данных.
Hypothesis
Сначала формулируем гипотезы о том, какие сценарии атак сработают против наших сотрудников.
Вот с чего можно начать.
Первое — проверка базового уровня. Пусть это будет поддельное письмо от известного сервиса или ссылка на фейковую страницу авторизации. Гипотеза проста: «Сотрудники не распознают типовой фишинг». Если конверсия высока — много кликов, введенных паролей, скачанных вложений — начинать нужно с основ. Важно донести до сотрудников: такие письма могут прийти любому, и выглядят они очень убедительно.
Второе — гипотезы из разведки. Посмотрите на свою организацию глазами атакующего. Допустим, в вакансиях компании постоянно мелькают слова «конференции», «обучение» и «профессиональный рост». Гипотеза: «Приглашение на отраслевую конференцию с просьбой зарегистрироваться даст высокую конверсию».
Третье — ролевые гипотезы. Разные подразделения несут различные риски. HR регулярно получает резюме незнакомцев, поэтому вредоносное вложение «Резюме_Иванов.docx» не вызовет у кадровиков подозрений. Точно так же, как письмо с исправленным счетом во вложении усыпит бдительность бухгалтерии. IT-специалисты доверяют техническим уведомлениям вроде «истекает сертификат сервера, обновите по ссылке», а топ-менеджмент — цель для whaling-атак с тщательной подготовкой (например, письмо якобы от совета директоров или ключевого партнера). Для каждой группы нужна своя гипотеза и, соответственно, отдельный сценарий проверки. Например, это может выглядеть так.
Гипотеза 1 с вредоносным вложением в виде резюме для HR-отдела:
«HR-специалисты, вероятнее всего, откроют вложение „резюме“, особенно если оно связано с активной вакансией».
Обоснование:
HR открывают вложения «по определению»;
HR работают под высокой загрузкой → меньше проверок;
HR получают файлы от незнакомых людей — это норма процесса.
Метрики:
attachment-open rate;
forwarding-rate (передача резюме коллегам).
Четвертое — гипотезы из внешних источников. Контроли PM-15 и PM-16 требуют, чтобы организация обменивалась информацией об угрозах с ИБ-сообществом, и это очень важный канал новых сценариев атак для тестирования.
PM-15 — конкретные кейсы и инциденты из других организаций. Коллеги из отрасли столкнулись с новой схемой? Проверьте, сработает ли она на ваших сотрудниках. PM-16 дает более широкую картину: тренды, тактики, статистику по атакам. Пример гипотезы: «По данным отраслевого ISAC, в этом квартале резко выросло число атак с QR-кодами. Проверяем, как сотрудники реагируют на QRishing — фишинговые письма со ссылкой в виде QR-кода».
Action
На этапе Action проверяем гипотезы на практике — запускаем учебные атаки. Главное — упражнение должно соответствовать гипотезе и работать на конкретную цель обучения.
Вот несколько форматов упражнений для разных гипотез.
Массовый фишинг. Классика жанра — рассылка одинаковых писем на весь департамент или компанию. Проверяем базовые техники: стандартный фишинг со ссылкой на поддельную страницу, триггеры срочности («Ваш доступ истекает через 2 часа», «Требуется немедленное подтверждение»). Цель — измерить общий уровень осведомленности и понять, сколько сотрудников ведутся на столь очевидные уловки.
Вишинг — голосовой фишинг. Звонки по заготовленным сценариям. Атакующий представляется сотрудником IT-поддержки и просит продиктовать пароль, изображает службу безопасности банка или выдает себя за коллегу из другого офиса. Цель — проверить, как сотрудники реагируют на давление в реальном времени, когда нет возможности собраться с мыслями.
QRishing — фишинг через QR-коды. QR-код ведет на фишинговую страницу, но выглядит безобидно: «Отсканируйте для подключения к Wi-Fi», «Меню столовой», «Регистрация на корпоратив». Коды размещают в письмах или физически — на плакатах, наклейках, в переговорных. Цель — проверить, доверяют ли сотрудники QR-кодам по умолчанию и смотрят ли, куда ведет ссылка, прежде чем вводить данные.
Data
На этапе Data собираем результаты: сколько человек кликнули по ссылке, ввели учетные данные, сообщили в ИБ-службу, как быстро они среагировали. Без этих метрик фишинговые симуляции превращаются в разовые акции без продолжения.
Записи дают материал для аналитики. Какие подразделения ошибаются чаще? Как меняется устойчивость после повторного обучения? Где узкие места — например, отдел продаж стабильно игнорирует тренинги? Ответы на эти вопросы формируют инсайты для следующего этапа, а из инсайтов рождаются новые гипотезы. Цикл замыкается.
Здесь HADI пересекается с требованиями NIST в части контроля AT-4. Контроль AT-4 из SP 800-53 обязывает вести записи и отслеживать метрики эффективности обучения. И правильно: без данных нельзя понять, снижает ли программа реальные риски.
И здесь же проходит граница между уровнями зрелости в модели SANS. Уровень 2 (Compliance Focused) — программы, существующие для галочки: обучение проводится, отчеты сдаются, но никто не анализирует результаты. Чтобы перейти на уровень 3 и реально менять поведение сотрудников, нужно выйти за рамки формальной отчетности. Измерять не факт прохождения тренинга, а изменения в реакциях на атаки.
Insights
На этапе Insights превращаем данные в выводы. Не просто «20% сотрудников кликнули», а конкретные решения: что менять, для кого, какими инструментами.
Пример первый. Сценарий с компрометацией деловой переписки между бухгалтерией и топ-менеджментом показал самую высокую конверсию. Вывод: нужен отдельный обучающий модуль для руководителей по требованиям AT-3 и регулярные симуляции whale-phishing по AT-3(3).
Пример второй. HR-отдел массово открыл вложение «Резюме_кандидат.docx». Вывод: этот бизнес-процесс — слепая зона, нужны модуль по претекстингу и тренировки на зараженных вложениях.
Такие инсайты возвращаются в программу обучения — и здесь снова работает NIST. Контроль AT-2 требует обновлять материалы после инцидентов и учитывать извлеченные уроки. Фишинговая симуляция, которая выявила проблему, становится основой для следующего тренинга. Цикл HADI замыкается, и всё начинается заново, но уже с учетом реальных данных.
От внутренних симуляций к внешнему аудиту
Когда внутренние фишинговые кампании отлажены, HADI-циклы работают, а показатели кликов приближаются к минимуму — пора звать внешних аудиторов.
Зачем это нужно, если внутренняя команда сама справляется? Во-первых, HADI-циклы помогают как повышать устойчивость сотрудников, так и понимать, какие сценарии тестировать дальше, а на что бюджет тратить не стоит. Во-вторых, внешний фишинг ближе к реальной атаке: он проводится в формате black box, когда подрядчик ничего не знает об организации и строит атаку только на данных из открытых источников.
Результаты внешнего аудита часто удивляют. Даже при ограниченной информации профессиональная команда находит новые уязвимые точки и использует актуальные фишинговые техники. Такие специалисты не ограничиваются рассылкой писем: зачастую в ход идут вишинг, повторные письма, переписка с жертвой. Сотрудника затягивает в воронку социальной инженерии, из которой сложно выбраться, и именно это проверяет реальную готовность.
Проводить внешние учения стоит хотя бы раз в полгода-год. Это дает актуальную картину, с которой потом работает внутренняя команда.
Заключение
Фишинг — это не техническая проблема, которую можно закрыть одним инструментом или ежегодным вебинаром. Это человеческий фактор, и работать с ним стоит системно.
Хорошая новость в том, что можно и даже нужно начинать с малого. Не спешите генерировать дипфейки и придумывать сложные многоходовые сценарии. Достаточно одной гипотезы, одной тестовой рассылки и честного разбора результатов. Главное — не застревать на уровне «провели тренинг, сдали отчет». Цель — изменить поведение людей, а это требует времени, данных и готовности пересматривать подходы.
Превратите хаотичные тренинги в управляемый процесс с понятными метриками. Формулируете гипотезу, проверяете на практике, собираете данные, делаете выводы — и запускаете следующую итерацию. С каждым циклом сотрудники становятся устойчивее, а вы лучше понимаете, где риски реальны, а где ресурсы можно и не тратить. Тогда усилия начнут приносить результат.
Если у вас есть опыт внедрения подобных программ — делитесь в комментариях. Интересно узнать, какие сценарии сработали, а какие провалились.
PURP — Telegram-канал, где кибербезопасность раскрывается с обеих сторон баррикад
t.me/purp_sec — инсайды и инсайты из мира этичного хакинга и бизнес-ориентированной защиты от специалистов Бастиона
