Penetration Testing se zaměřením na Social Engineering: Testování lidského faktoru

Tato příručka poskytuje vše, co potřebujete k pochopení, rozsahu a provedení tohoto typu testování – s praktickými pokyny, které můžete okamžitě využít.

Proč testovat lidský faktor

Technologická opatření jsou silná pouze do té míry, do jaké s nimi lidé interagují. Sociální inženýrství – umění manipulovat s lidmi, aby prováděli akce, které ohrožují bezpečnost – představuje významné procento prvotních přístupových vektorů při narušení dat. Jen samotný phishing je zodpovědný za největší podíl narušení v odvětví zdravotnictví, financí a SaaS. Testování vaší lidské obrany je stejně důležité jako testování té technické.

Phishingové simulace

Nejběžnější test sociálního inženýrství simuluje phishingové útoky prostřednictvím e-mailu proti vašim zaměstnancům. Tester vytváří realistické phishingové e-maily – vydává se za dodavatele, vedoucí pracovníky, IT podporu nebo poskytovatele služeb – a měří míru prokliku, míru odesílání přihlašovacích údajů a míru hlášení. Výsledky identifikují, která oddělení jsou nejzranitelnější a kam by se mělo zaměřit školení.

Pretexting a hlasový phishing

Kromě e-mailu mohou testeři používat pretexting po telefonu (vishing) k získávání informací nebo manipulaci se zaměstnanci, aby prováděli akce – převáděli finanční prostředky, resetovali hesla, poskytovali přihlašovací údaje VPN. Tyto testy vyhodnocují, zda vaši zaměstnanci ověřují identitu volajícího a zda dodržují zavedené postupy pod tlakem.

Fyzické sociální inženýrství

U organizací s fyzickými prostory se testeři mohou pokusit získat neoprávněný přístup do budovy prostřednictvím tailgatingu, impersonace nebo pretextingu. Tím se testují systémy odznaků, postupy pro návštěvníky a ochota zaměstnanců zpochybňovat neznámé tváře.

Integrace s technickým testováním

Nejcennější testy sociálního inženýrství jsou integrovány s technickými Penetration Testing. Phishingový e-mail doručí payload; tester použije získané přihlašovací údaje pro přístup k interním systémům; technický Penetration Testing pokračuje zevnitř sítě. To demonstruje celý řetězec útoků od počátečního sociálního inženýrství přes technické zneužití až po přístup k datům.

Závěr

Technická opatření chrání systémy. Testy sociálního inženýrství chrání lidi, kteří tyto systémy používají. Nejdůkladnější programy bezpečnostního testování vyhodnocují obojí – protože útočníci to jistě udělají.

Často kladené otázky

Jak často bychom měli provádět phishingové simulace?

Čtvrtletně je běžná frekvence, s průběžným školením o povědomí mezi kampaněmi. Cílem je měřit zlepšení v průběhu času, nejen jednou někoho nachytat.

Budou testy sociálního inženýrství zaměstnance rozčilovat?

Pokud se s nimi zachází profesionálně – s jasnou podporou vedení, konstruktivním tónem a zaměřením na školení spíše než na tresty – testy sociálního inženýrství zlepšují bezpečnostní kulturu. Klíčem je považovat výsledky za příležitosti k učení, nikoli za disciplinární události.