Социотехническое тестирование
Главная | Услуги
Социотехническое тестирование позволяет получить данные об уровне осведомленности сотрудников организации в вопросах обеспечения информационной безопасности.
Социотехническое тестирование позволяет получить данные об уровне осведомленности сотрудников организации в вопросах обеспечения информационной безопасности.
>90% успешных компьютерных атак происходит по вине человеческого фактора
Основные задачи
Оценка уровня осведомленности сотрудников в вопросах обеспечения информационной безопасности и подготовки к выявлению и реагированию на компьютерные атаки, связанные с социальной инженерией
Анализ эффективности реализованных механизмов защиты чувствительной информации при успешном осуществлении социотехнических атак
Оценка возможности воздействия на отдельных "ключевых" сотрудников организации, обрабатывающих конфиденциальную информацию (например, коммерческую тайну) или управляющих финансовыми активами
Оценка отдельных сотрудников или групп по различным метрикам: лояльность к организации, небрежное отношение к рабочим процессам и политикам безопасности и т.д.
Методы социальной инженерии
Мы готовы предложить проведение социотехнического тестирования для любой категории сотрудников вашей организации с использованием следующих методов:
Претекстинг
атака, в которой эксперт представляется другим человеком (например, специалистом службы безопасности) и по заранее подготовленному сценарию узнает конфиденциальную информацию: обычно через электронную почту или телефонный звонок
Фишинг
атака, которая заключается в отправлении электронного письма с заманчивой для получателя причиной посетить определенный сайт и прямой ссылкой на него, которая лишь имеет сходство с ожидаемым сайтом, но является вредоносным ресурсом, либо скачать и открыть/запустить файл во вложении: финансовый отчет, новый регламент для ознакомления, "случайно" отправленное письмо от руководства и т.п.
"Дорожное яблоко"
атака представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Эксперты подбрасывают "вредоносные" USB носители в местах общего доступа, где эти носители могут быть легко найдены, такими как: туалеты, парковки, столовые, или на рабочем месте атакуемого сотрудника.
Сбор чувствительной информации
метод сбора "интересной" для потенциального злоумышленника информации о тестируемых сотрудниках, используя как открытые источники, так и специализированные базы данных утечек: аутентификационной информации, персональных данных, адресов, ФИО, родственников и контактов, социальных сетей и т.д.
Что является результатом тестирования?
Результатом проведенного тестирования на проникновение является отчет по его результатам, содержащий как минимум следующую информацию:
Что является результатом тестирования?
Результатом проведенного тестирования на проникновение является отчет по его результатам, содержащий как минимум следующую информацию:
  • Данные об экспертах, выполняющих социотехническое тестирование
  • Вывод для руководства, содержащий общую оценку результатов тестирования
  • Описание используемых методик, сценариев и атак
  • Обнаруженная (в сети общего пользования Интернет) чувствительная информация по тестируемым сотрудникам
  • Перечень и описание выявленных нарушений в обеспечении социотехнической и информационной безопасности со стороны тестируемых сотрудников вашей организации
  • Элементы информационной инфраструктуры, к которым удалось получить доступ по результатам социотехнических воздействий
  • Рекомендации по повышению устойчивости к социальной инженерии для вашей организации
Получить подробную информацию о данной услуге
Нажимая кнопку «Отправить», Вы выражаете свое согласие на обработку персональных данных в соответствии с Политикой в отношении обработки персональных данных.
В общем случае, порядок оказываемых услуг следующий:
01
Заключение NDA
заключение соглашения о неразглашении конфиденциальной информации между Исполнителем и Заказчиком
02
Получение исходных данных и объектов тестированиям
получение предварительной информации о тестируемых сотрудниках: имена, должности, контактная и иная информация
03
Согласование ожидаемой методики и результатов
согласование методики и границ тестирования, желаемых результатов и сроков на исполнение
04
Сбор чувствительной информации
сбор информации о сотрудниках организации из сети Интернет (при необходимости)
05
Социальная инженерия
проведение атак с использованием отдельных или комбинированных методов социальной инженерии
06
Сбор откликов и мониторинг
анализ взаимодействий тестируемых сотрудников с "наживкой"
07
Пост-эксплуатация
проведение атак на информационную инфраструктуру организации при успешном перехвате управления компьютером пользователя (при необходимости)
08
Формирование отчёта и рекомендаций
формирование и согласование отчёта по результатам социотехнического тестирования