Testování pomocí metod sociálního inženýrství

Jedním z pilířů naší nabídky služeb je ofenzivní testování odolnosti organizace vůči metodám sociálního inženýrství, vyhodnocení odhalených zranitelností a navazující školení s cílem tato rizika eliminovat.

Sociální inženýrství je soubor psychologických metod a technických postupů, jejichž kombinací dokáže útočník získat přístup k chráněným informacím cílové organizace. Využívá zejména technické neznalosti, nedůslednosti a sklonu k chybnému rozhodování jednotlivců ve vypjatých situacích.

V praxi obvykle sociální inženýrství slouží zejména ke zmapování cílů v prvotní fázi útoku na data a zdroje organizace. Nezřídka se však útočníkovi podaří už v tomto bodě velmi efektivně zasáhnout citlivá místa organizace a získat velmi hodnotné informace pro další postup. Řetězec zdánlivě banálních lidských chyb tak může počínající útok katapultovat do fáze, jejíž dosažení by při využití jiných technik vyžadovalo mnohonásobně více zdrojů a času.

Kdo jsme a jak pracujeme

EO-SECURITY s.r.o. je nezávislá česká společnost s transparentní vlastnickou strukturou. Od roku 2016 působíme v oborech ochrany proti odposlechu, kybernetické bezpečnosti a datové bezpečnosti. Díky našemu týmu expertů ve zmíněných oblastech, jejichž hranice se nutně překrývají, dokážeme klientům poskytnout komplexní služby. Od analýzy a testování stávajícího zabezpečení až po návrh a realizaci nového.

Jsme držiteli prestižních průmyslových bezpečnostních certifikací:

Přínosy testování odolnosti vůči útoku metodami sociálního inženýrství

Metodami sociálního inženýrství dokážeme odhalit širokou škálu zranitelností vaší organizace. Testy prokážou, nakolik jsou vaši zaměstnanci obezřetní a odolní vůči praktikám, které jsou často a úspěšně využívány při reálných útocích. Odhalí i to, zda vyhovují současná nastavení oprávnění a autentizace ve vašich systémech.

Testováním metodami sociálního inženýrství lze zodpovědět následující otázky:

  • Jaké množství zneužitelných údajů o vaší organizaci poskytují veřejně dostupné zdroje.
  • Nakolik jsou zaměstnanci obeznámeni se strukturou organizace. Zejména pak, zda si důsledně ověřují, s kým ve skutečnosti vedou komunikaci, a zda jsou si vědomi možností autentizace protistrany.
  • Do jaké míry koresponduje způsob, jakým nakládají vaši zaměstnanci s určitými informacemi, se stupněm jejich důvěrnosti.
  • Jak obtížné je vmanipulovat vaše zaměstnance do pozice, kdy vyzradí citlivou informaci, aby unikli z nepříjemné, stresující situace, nebo naopak získali osobní prospěch.
  • Jak dobře odolává vaše současná struktura zabezpečení pečlivě cíleným útokům na jednotlivce.
  • Nakolik narůstají sklony k rizikovému chování (například obcházení interních bezpečnostních předpisů) u zaměstnanců s příslibem urychlení/usnadnění jejich práce v období vysokého vytížení.

Získejte jasnou představu o tom, s jak velkým úsilím dosáhne útočník bez vazeb na vaši organizaci, disponující pouze kusými informacemi o ní, na vaše citlivá data. Využijte možnosti zlepšit reakce a návyky svých zaměstnanců dříve, než jejich nepřipravenosti využije někdo jiný.

Pochybení zaměstnanců velmi často pramení právě z jejich silných stránek – snahy pomoci klientovi, schopnosti rychle vyřešit nenadálé problémy a vrátit se zpět k hlavní pracovní náplni… Naším cílem je především zvýšit jejich ostražitost a připravit je na situace, kdy se bude těchto vlastností útočník snažit využít.

Průběh testování pomocí sociálního inženýrství

Testování v naší režii probíhá tak, aby co možná nejdokonaleji imitovalo reálný útok. Zásadní rozdíl je pouze v tom, že jste v tomto případě o výsledcích vaší organizace informováni právě vy, nikoliv profitující třetí strana. Test samozřejmě probíhá v utajení, bez vědomí testovaných subjektů, pokud si nebudete přát jinak.

1. Cíl testu

Cílem testování je stanovit míru zranitelnosti organizace vůči útoku metodami sociálního inženýrství. Prověření schopnosti zaměstnanců rozpoznat takovýto útok a reagovat na něj tak, aby nebyla ohrožena bezpečnost chráněných informací. Obecně jde o testování průchodnosti infrastruktury vaší organizace z pozice neoprávněné osoby.

2. Testované subjekty

Test lze realizovat na skupině osob s určitým stupněm oprávnění, na konkrétním člověku, nebo na celé organizaci bez bližší specifikace. Častými cíli reálných útoků jsou například řadoví zaměstnanci (ale i vedoucí pracovníci) účetního či personálního oddělení.

3. Povolené metody a scénáře

Dohodneme se na tom, jaké druhy útoku si přejete otestovat, od phishingu až po fyzické vniknutí do prostor vaší organizace. Podrobné představení jednotlivých metod pak obsahuje nabídka testování pomocí metod sociálního inženýrství, kterou vám v případě zájmu vypracujeme.

Naší specializací je vývoj a distribuce malware ušitého na míru vaší organizaci. Tato technika je velmi efektivní a v praxi hojně využívaná k útokům na významné cíle. Konkrétní scénář testu však samozřejmě přizpůsobíme vašim potřebám.

4. Časové rozvržení projektu a podpis souhlasu s provedením testu

Získáte detailní časový plán testu a podrobnou specifikaci dílčích úkonů, které budeme provádět. Smluvně se zavážeme k dodržování souboru pravidel, která zajistí naprostou bezpečnost celého testu, dat vaší organizace a osobních údajů testovaných subjektů.

5. Rešerše s využitím Open Source Intelligence (OSINT)

Z dat z veřejně dostupných zdrojů (ať už v clear, deep či dark netu) zkonstruujeme model vaší organizace, který nám poslouží jako zdroj informací potřebných k provedení útoku. Čím méně údajů máme na začátku od vás, tím vyšší je vypovídací hodnota testu. Prodlužuje se však doba potřebná k provedení rešerší.

6. Testování a shromažďování dat

V časovém okně, které jsme si odsouhlasili, provedeme veškeré povolené kroky testu. Detailně zaznamenáme jak všechny interakce se subjekty, tak v průběhu vzniklá metadata o testování. Shromáždíme informace o pohybu ve vaší infrastruktuře, získaných datech, přístupech atd.

7. Závěrečná zpráva s doporučením

Výstupem testování je detailní analytická zpráva o provedených úkonech a odhalených zranitelnostech. Součástí zprávy jsou i doporučená řešení pro eliminaci odhalených slabých míst vaší organizace, a to jak ta technická, tak v rámci edukace zaměstnanců.

8. Školení personálu

S přihlédnutím k závěrům zprávy můžeme zpracovat školení zaměstnanců proti útokům technikami sociálního inženýrství. Toto školení reflektuje konkrétní pochybení a zranitelnosti odhalené v průběhu testu. Zaměstnanci mají možnost vyzkoušet si praktické příklady použití sociálního inženýrství, a to navíc z jim dobře známého prostředí. Naše zkušenost s opakovaným testováním jednoznačně prokazuje, že je takové školení mnohonásobně účinnější než jakýkoliv obecný seminář.

9. Opakované testování

Po stanovené době od prvotního testu a proškolení zaměstnanců (běžně po 3, 6 či 12 měsících) je vhodné test odolnosti vůči útoku metodami sociálního inženýrství zopakovat. Opakovaný test může být proveden v plném rozsahu, nebo zaměřen pouze na zranitelnosti identifikované během původního testování.

Periodické testování a školení se jeví jako jediná funkční strategie prevence těchto útoků – jak z důvodu fluktuace zaměstnanců, tak kvůli postupnému poklesu jejich ostražitosti.

Máte zájem o testování pomocí metod sociálního inženýrství?

V případě zájmu nás kontaktujte na e-mailu office@eo-security.com

Uveďte prosím:

  • Jméno a pozici ve firmě
  • Telefonní kontakt
  • Název firmy
  • Stručný popis toho, co poptáváte

Další služby

Penetrační testování infrastruktury

Penetrační testování webových aplikací

Skenování zranitelností webových aplikací a interní infrastruktury

Konzultace IT bezpečnosti

Testování Wi-Fi sítí

Menu