Ответ
В рамках DevSecOps мы интегрируем проверки на фишинг в общий цикл безопасности. Вот как мы это делаем:
1. Планирование и симуляция
- Используем инструменты с API для автоматизации, например GoPhish или Microsoft 365 Attack Simulator.
- Создаем реалистичные сценарии, связанные с рабочим контекстом: уведомления о сбоях в CI/CD (типа "Jenkins pipeline failed"), запросы на проверку учетных данных для доступа к GitLab или артефактам в Nexus.
2. Техническая реализация кампании
# Пример конфигурации кампании в GoPhish (YAML-подобное представление)
campaign:
name: "CI/CD Credential Phishing Test"
template: "email_templates/jenkins_alert.html"
landing_page: "pages/credential_check"
targets: "employees.csv"
tracking: true # Отслеживаем открытия и клики3. Сбор метрик и анализ После кампании анализируем данные:
- Rate Click-Through (CTR): Какой процент перешел по ссылке.
- Credential Submission Rate: Сколько ввело данные на фишинговой странице.
- Time to First Click: Как быстро среагировали.
4. Интеграция с Security Stack
- Отправляем данные о «пойманных» пользователях в SIEM (например, Splunk) или тикет-систему (Jira) для автоматического создания задач на обязательное обучение.
- Настраиваем автоматические правила в почтовом шлюзе (Proofpoint, Mimecast) на основе выявленных паттернов.
5. Восстановление и обучение Для пользователей, которые «клюнули», автоматически запускается короткий интерактивный курс в LMS. Важно не наказывать, а давать немедленную обратную связь.
Итог: Регулярные фишинг-тесты — часть нашей security culture, позволяющая снизить человеческий фактор как вектор атаки на нашу инфраструктуру и исходный код.
