Социотехническое тестирование
КОНСУЛЬТАЦИЯ
Самое слабое звено любой системы защиты - человеческий фактор
Социотехническое тестирование позволяет получить данные об уровне осведомленности сотрудников организации в вопросах обеспечения информационной безопасности.

В процессе тестирования наши эксперты моделируют различные атаки с использованием методов социальной инженерии, такие как:
- фишинговые рассылки по электронной почте с квази-вредоносными вложениями или ссылками;
- распространение "зараженных" носителей информации (USB) на территории вашей организации;
- телефонные звонки с предварительно заготовленными сценариями (например, звонки от службы поддержки или безопасности);
- сбор информации из открытых источников ("OSINT") и поиск утечек чувствительной информации в специализированных базах данных.
> 90%
успешных компьютерных атак происходит по вине человеческого фактора
Основные задачи:
Оценка уровня осведомленности сотрудников в вопросах обеспечения информационной безопасности и подготовки к выявлению и реагированию на компьютерные атаки, связанные с социальной инженерией
Анализ эффективности реализованных механизмов защиты чувствительной информации при успешном осуществлении социотехнических атак
Оценка возможности воздействия на отдельных "ключевых" сотрудников организации, обрабатывающих конфиденциальную информацию (например, коммерческую тайну) или управляющих финансовыми активами
Оценка отдельных сотрудников или групп по различным метрикам: лояльность к организации, небрежное отношение к рабочим процессам и политикам безопасности и т.д.
Методы социальной инженерии
Мы готовы предложить проведение социотехнического тестирования для любой категории сотрудников вашей организации с использованием следующих методов:
Претекстинг
– атака, в которой эксперт представляется другим человеком (например, специалистом службы безопасности) и по заранее подготовленному сценарию узнает конфиденциальную информацию: обычно через электронную почту или телефонный звонок
Фишинг
– атака, которая заключается в отправлении электронного письма с заманчивой для получателя причиной посетить определенный сайт и прямой ссылкой на него, которая лишь имеет сходство с ожидаемым сайтом, но является вредоносным ресурсом, либо скачать и открыть/запустить файл во вложении: финансовый отчет, новый регламент для ознакомления, "случайно" отправленное письмо от руководства и т.п.
"Дорожное яблоко"
– атака представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Эксперты подбрасывают "вредоносные" USB носители в местах общего доступа, где эти носители могут быть легко найдены, такими как: туалеты, парковки, столовые, или на рабочем месте атакуемого сотрудника
Сбор чувствительной информации
– метод сбора "интересной" для потенциального злоумышленника информации о тестируемых сотрудниках, используя как открытые источники, так и специализированные базы данных утечек: аутентификационной информации, персональных данных, адресов, ФИО, родственников и контактов, социальных сетей и т.д.
Что является результатом тестирования?
Результатом проведенного тестирования на проникновение является отчет по его результатам, содержащий как минимум следующую информацию:
Данные об экспертах, выполняющих социотехническое тестирование
Вывод для руководства, содержащий общую оценку результатов тестирования
Описание используемых методик, сценариев и атак
Обнаруженная (в сети общего пользования Интернет) чувствительная информация по тестируемым сотрудникам
Перечень и описание выявленных нарушений в обеспечении социотехнической и информационной безопасности со стороны тестируемых сотрудников вашей организации
Элементы информационной инфраструктуры, к которым удалось получить доступ по результатам социотехнических воздействий
Рекомендации по повышению устойчивости к социальной инженерии для вашей организации
Подробная информация об эффективности и особенностях услуги, дополнительных вариантах проведения или иные вопросы
Подробная информация об эффективности и особенностях услуги, дополнительных вариантах проведения или иные вопросы
В общем случае, порядок оказываемых услуг следующий:
1
Заключение NDA
заключение соглашения о неразглашении конфиденциальной информации между Исполнителем и Заказчиком
2
Получение исходных данных
получение предварительной информации о тестируемых сотрудниках: имена, должности, контактная и иная информация
3
Согласование ожидаемой методики и результатов
согласование методики и границ тестирования, желаемых результатов и сроков на исполнение
4
Сбор чувствительной информации (при необходимости)
сбор информации о сотрудниках организации из сети Интернет
5
Социальная инженерия
проведение атак с использованием отдельных или комбинированных методов социальной инженерии
6
Сбор откликов и мониторинг
анализ взаимодействий тестируемых сотрудников с "наживкой"
7
Пост-эксплуатация (при необходимости)
проведение атак на информационную инфраструктуру организации при успешном перехвате управления компьютером пользователя
8
Формирование отчёта и рекомендаций
формирование и согласование отчёта по результатам социотехнического тестирования