Penetration Testing so zameraním na Social Engineering: Testovanie ľudského faktora

Táto príručka poskytuje všetko, čo potrebujete na pochopenie, určenie rozsahu a vykonanie tohto typu testovania – s praktickými radami, ktoré môžete okamžite použiť.

Prečo Testovať Ľudský Faktor

Technologické zabezpečenia sú len také silné ako ľudia, ktorí s nimi interagujú. Sociálne inžinierstvo – umenie manipulácie s ľuďmi, aby vykonávali činnosti, ktoré ohrozujú bezpečnosť – predstavuje významné percento prvotných prístupových vektorov pri narušení dát. Samotný phishing je zodpovedný za najväčší podiel narušení v zdravotníctve, finančníctve a SaaS. Testovanie vašej ľudskej obrany je rovnako dôležité ako testovanie vašej technickej obrany.

Phishingové Simulácie

Najbežnejší test sociálneho inžinierstva simuluje útoky založené na e-mailovom phishingu proti vašim zamestnancom. Testeri vytvárajú realistické phishingové e-maily – vydávajú sa za dodávateľov, vedúcich pracovníkov, IT podporu alebo poskytovateľov služieb – a merajú mieru preklikov, mieru odoslania prihlasovacích údajov a mieru hlásení. Výsledky identifikujú, ktoré oddelenia sú najzraniteľnejšie a na ktoré by sa malo zamerať školenie.

Pretexting a Hlasový Phishing

Okrem e-mailu môžu testeri používať telefonický pretexting (vishing) na získanie informácií alebo manipuláciu so zamestnancami, aby vykonávali činnosti – prevod peňazí, resetovanie hesiel, poskytovanie VPN prihlasovacích údajov. Tieto testy vyhodnocujú, či vaši zamestnanci overujú totožnosť volajúceho a či dodržiavajú zavedené postupy pod tlakom.

Fyzické Sociálne Inžinierstvo

Pre organizácie s fyzickými priestormi sa testeri môžu pokúsiť získať neoprávnený prístup do budovy prostredníctvom tailgatingu, impersonácie alebo pretextingu. Toto testuje systémy prístupových kariet, postupy pre návštevníkov a ochotu zamestnancov konfrontovať neznáme tváre.

Integrácia s Technickým Testovaním

Najcennejšie testy sociálneho inžinierstva sú integrované s technickými Penetračnými Testami. Phishingový e-mail doručí payload; tester použije získané prihlasovacie údaje na prístup k interným systémom; technický Penetračný Test pokračuje zvnútra siete. Toto demonštruje celý reťazec útoku od prvotného sociálneho inžinierstva cez technické zneužitie až po prístup k dátam.

Záver

Technické kontroly chránia systémy. Testy sociálneho inžinierstva chránia ľudí, ktorí tieto systémy používajú. Najkomplexnejšie programy bezpečnostného testovania vyhodnocujú oboje – pretože útočníci to určite urobia.

Často Kladené Otázky

Ako často by sme mali robiť phishingové simulácie?

Štvrťročne je bežná frekvencia s nepretržitým školením o povedomí medzi kampaňami. Cieľom je merať zlepšenie v priebehu času, nielen raz niekoho chytiť.

Rozruší testovanie sociálnym inžinierstvom zamestnancov?

Ak sa s nimi zaobchádza profesionálne – s jasným záštitou vedenia, konštruktívnym tónom a zameraním sa na školenie, a nie na trest – testy sociálneho inžinierstva zlepšujú bezpečnostnú kultúru. Kľúčom je považovať výsledky za príležitosti na učenie, nie za disciplinárne udalosti.