Социотехническое тестирование
КОНСУЛЬТАЦИЯ
Самое слабое звено любой системы защиты - человеческий фактор
Социотехническое тестирование позволяет получить данные об уровне осведомленности сотрудников организации в вопросах обеспечения информационной безопасности.
В процессе тестирования наши эксперты моделируют различные атаки с использованием методов социальной инженерии, такие как:
- фишинговые рассылки по электронной почте с квази-вредоносными вложениями или ссылками;
- распространение "зараженных" носителей информации (USB) на территории вашей организации;
- телефонные звонки с предварительно заготовленными сценариями (например, звонки от службы поддержки или безопасности);
- сбор информации из открытых источников ("OSINT") и поиск утечек чувствительной информации в специализированных базах данных.
В процессе тестирования наши эксперты моделируют различные атаки с использованием методов социальной инженерии, такие как:
- фишинговые рассылки по электронной почте с квази-вредоносными вложениями или ссылками;
- распространение "зараженных" носителей информации (USB) на территории вашей организации;
- телефонные звонки с предварительно заготовленными сценариями (например, звонки от службы поддержки или безопасности);
- сбор информации из открытых источников ("OSINT") и поиск утечек чувствительной информации в специализированных базах данных.
> 90%
успешных компьютерных атак происходит по вине человеческого фактора
Основные задачи:
- Оценка уровня осведомленности сотрудников в вопросах обеспечения информационной безопасности и подготовки к выявлению и реагированию на компьютерные атаки, связанные с социальной инженерией
- Анализ эффективности реализованных механизмов защиты чувствительной информации при успешном осуществлении социотехнических атак
- Оценка возможности воздействия на отдельных "ключевых" сотрудников организации, обрабатывающих конфиденциальную информацию (например, коммерческую тайну) или управляющих финансовыми активами
- Оценка отдельных сотрудников или групп по различным метрикам: лояльность к организации, небрежное отношение к рабочим процессам и политикам безопасности и т.д.
Методы социальной инженерии
Мы готовы предложить проведение социотехнического тестирования для любой категории сотрудников вашей организации с использованием следующих методов:
Претекстинг
– атака, в которой эксперт представляется другим человеком (например, специалистом службы безопасности) и по заранее подготовленному сценарию узнает конфиденциальную информацию: обычно через электронную почту или телефонный звонок
Фишинг
– атака, которая заключается в отправлении электронного письма с заманчивой для получателя причиной посетить определенный сайт и прямой ссылкой на него, которая лишь имеет сходство с ожидаемым сайтом, но является вредоносным ресурсом, либо скачать и открыть/запустить файл во вложении: финансовый отчет, новый регламент для ознакомления, "случайно" отправленное письмо от руководства и т.п.
"Дорожное яблоко"
– атака представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Эксперты подбрасывают "вредоносные" USB носители в местах общего доступа, где эти носители могут быть легко найдены, такими как: туалеты, парковки, столовые, или на рабочем месте атакуемого сотрудника
Сбор чувствительной информации
– метод сбора "интересной" для потенциального злоумышленника информации о тестируемых сотрудниках, используя как открытые источники, так и специализированные базы данных утечек: аутентификационной информации, персональных данных, адресов, ФИО, родственников и контактов, социальных сетей и т.д.
Что является результатом тестирования?
Результатом проведенного тестирования на проникновение является отчет по его результатам, содержащий как минимум следующую информацию:
- Данные об экспертах, выполняющих социотехническое тестирование
- Вывод для руководства, содержащий общую оценку результатов тестирования
- Описание используемых методик, сценариев и атак
- Обнаруженная (в сети общего пользования Интернет) чувствительная информация по тестируемым сотрудникам
- Перечень и описание выявленных нарушений в обеспечении социотехнической и информационной безопасности со стороны тестируемых сотрудников вашей организации
- Элементы информационной инфраструктуры, к которым удалось получить доступ по результатам социотехнических воздействий
- Рекомендации по повышению устойчивости к социальной инженерии для вашей организации
Подробная информация об эффективности и особенностях услуги, дополнительных вариантах проведения или иные вопросы
Нажимая на кнопку, вы даете согласие на обработку персональных данных
Подробная информация об эффективности и особенностях услуги, дополнительных вариантах проведения или иные вопросы
Нажимая на кнопку, вы даете согласие на обработку персональных данных
В общем случае, порядок оказываемых услуг следующий:
1
Заключение NDA
заключение соглашения о неразглашении конфиденциальной информации между Исполнителем и Заказчиком
2
Получение исходных данных
получение предварительной информации о тестируемых сотрудниках: имена, должности, контактная и иная информация
3
Согласование ожидаемой методики и результатов
согласование методики и границ тестирования, желаемых результатов и сроков на исполнение
4
Сбор чувствительной информации (при необходимости)
сбор информации о сотрудниках организации из сети Интернет
5
Социальная инженерия
проведение атак с использованием отдельных или комбинированных методов социальной инженерии
6
Сбор откликов и мониторинг
анализ взаимодействий тестируемых сотрудников с "наживкой"
7
Пост-эксплуатация (при необходимости)
проведение атак на информационную инфраструктуру организации при успешном перехвате управления компьютером пользователя
8
Формирование отчёта и рекомендаций
формирование и согласование отчёта по результатам социотехнического тестирования