Testy sociálním inženýrstvím

Nejste si jisti, zda vaši uživatelé dokážou odolat útokům založených na aplikaci sociálního inženýrství? Tak si je vyzkoušejte pomocí simulací reálných útoků ze strany specialistů AEC.

Provádění testů zaměřených na sociální inženýrství je vhodné provádět v rámci vnějších i vnitřních penetračních testů, případně samostatně jako ověření správných návyků uživatelů IS, např. po školení uživatelů o informační bezpečnosti.

Jako sociální inženýrství označujeme soubor technik, s jejichž pomocí lze efektivně útočit na nejslabší článek informačního systému, kterým je člověk, resp. uživatel. Metody sociálního inženýrství dokáží lidi přimět, aby udělali to, co útočník chce, a nepřemýšleli, zda je to správné nebo ne.

K testování pomocí metod sociálního inženýrství používáme tyto základní scénáře:

  • přinucení uživatele spustit soubor (např. trojského koně), typicky pomocí e-mailu nebo webového odkazu;
  • přinucení uživatele k prozrazení přístupových informací (login a heslo), typicky prostřednictvím telefonu;
  • podstrčení škodlivého obsahu uživateli, typicky na podstrčených médiích;
  • a další dle individuálních přání klienta.


V rámci těchto scénářů se využívají různé stresové situace a záminky, jako je například podezření na virovou nákazu, nutnost okamžité změny nastavení počítače apod. K provedení simulovaného útoku je zapotřebí poměrně kvalitní příprava. Snažíme se zjistit podrobnosti o prostředí firmy, informačního systému, struktuře sítě, jména konkrétních lidí, telefonní čísla a emailové adresy zaměstnanců apod. Shromážděním často i poměrně nedůležitých údajů může potenciální útočník odvodit spoustu zajímavých poznatků, které do značné míry usnadňují provedení útoku.

Mezi hlavní přínosy těchto testů patří:

  • získáte reálnou představu, čeho jsou vaši uživatelé schopni a jaké představují riziko;
  • získáte argumenty na podporu stanovení bezpečnostních pravidel pro uživatele, školení ke zvýšení bezpečnostního povědomí atp.;
  • již samotná realizace testů zpravidla samovolně zvyšuje bezpečnostní povědomí zaměstnanců organizace (stávají se tématem hovoru…).


Materiály ke stažení:

AEC-Bezpecnost_koncovych_uzivatelu.pdf (453K)



Reference:

ČEZ ENERGOSERVIS, spol. s r.o.     ING Management Services     Komerční pojišťovna, a.s.

Městský úřad Tábor     Poštová banka, a.s.     Statutární město České Budějovice

Kontakt:

Kontaktní osoba pro další informace o testech sociálním inženýrstvím:
Jan Poduška, tel: +420 541 235 466
E-mailové adresy v AEC jsou ve tvaru: jmeno.prijmeni@aec.cz