Testy sociálnym inžinierstvom

Testy sociálnym inžinierstvom

Naši odborníci majú bohaté skúsenosti s overovaním a vyhodnocovaním úrovne povedomia o informačnej bezpečnosti zamestnancov, či už prostredníctvom e-mailových kampaní s podvrhnutým testovacím kódom, distribúcie médií (USB, CD/DVD a pod.) s týmto kódom či prostredníctvom manipulatívnych telefonátov schváleným respondentom.

 

Náš príbeh
Lepšie raz zažiť než byť desaťkrát školený

Firma z oblasti finančného poradenstva potrebovala preveriť svojich zamestnancov, či dokážu čeliť kybernetickým útokom. Títo zamestnanci už za sebou mali niekoľko školení v oblasti bezpečnosti a test mal preveriť, či boli efektívne.

V AEC sme pripravili trojfázový test metódami sociálneho inžinierstva. Ten zahŕňal zaslanie simulovaného malvéru elektronickou poštou, pokusy o vylákanie citlivých informácií pomocou telefónu a e-mailu i fyzický prienik do vybraných lokalít spojený s podstrčením simulovaného škodlivého kódu na dátových nosičoch. Celé testovanie trvalo približne 2 mesiace.

Pripravený malvér sa nám podarilo dostať na počítače 28 % testovaných zamestnancov. 3 zo 4 používateľov nám dali po telefóne svoje prihlasovacie údaje behom prvej fázy. Na to však reagovalo IT oddelenie, ktoré o testovaní nevedelo, varovalo ostatných a začalo blokovať linku, z ktorej útočník volal. Pokračovanie testu tak už nebolo úspešné. I napriek tomu sa podarilo ešte získať e-mailom niekoľko interných dokumentov od ďalších používateľov. Nie nadarmo sa vraví, že lepšie raz zažiť, než byť desaťkrát školený.

Testy metódami sociálneho inžinierstva

Cieľom je prinútiť testovanú osobu, aby prezradila určitú informáciou (typicky login, heslo) alebo vykonala určitú činnosť (typicky spustila vírus).

Metódy testov:

  • E-mailový – testovaným osobám sa rozošle e-mail napríklad s vtipmi a v prílohe je „infikovaný“ súbor s testovacím kódom.
  • Telefonický – testovaným osobám sa volá pod najrôznejšími zámienkami, napr. že ich PC šíri vírus.
  • Fyzický – pokusy o prienik do chránených priestorov organizácie cez recepciu, dvere na kartu a pod. Rozšírenie "infikovaných" dátových médií po priestoroch organizácie.

 

 

Prínosy našich služieb

Vďaka testom metódami sociálneho inžinierstva a skúmaním sociálnych sietí získa klient reálnu predstavu, čoho sú jeho zamestnanci schopní a aké predstavujú riziko; získa argumenty pre stanovenie bezpečnostných pravidiel, napríklad pre školenia atď. Už samotná realizácia testov spravidla zvyšuje bezpečnostné povedomie zamestnancov organizácie (stávajú sa témou rozhovorov atď.).

Propagácia bezpečnosti, školení inf. bezpečnosti a implementácia do bezp. dokumentácie prinesú stanovenie povinností a zodpovedností používateľov IS organizácie. Všetci zamestnanci budú poznať konkrétne zodpovednosti a povinnosti pri práci s IS. Zvýši sa bezpečnostné povedomie používateľov o informačnej bezpečnosti. Zníží sa riziko úniku dát, napr. prostredníctvom e-mailovej komunikácie apod. Bude obmedzená „absolútna moc“ administrátorov a správcov. Stúpa význam role bezpečnostného manažéra.

 

 

Referencie

V tejto oblasti máme mnohoročné skúsenosti z implementácie radu projektov pre významné organizácie vo svojom obore, ako je napr.:
  • ING Management Services, s.r.o
  • Komerční pojišťovna, a.s.
  • ČEZ ENERGOSERVIS, spol. s r.o.
  • Ministerstvo práce a sociálních věcí ČR
  • Městský úřad Tábor