Testy sociálním inženýrstvím

Testy sociálním inženýrstvím

Naši odborníci mají bohaté zkušenosti s ověřováním a vyhodnocováním úrovně povědomí o informační bezpečnosti zaměstnanců, ať už prostřednictvím emailových kampaní s podvrženým testovacím kódem, distribucí médií (USB, CD/DVD apod.) s tímto kódem či prostřednictvím manipulativních telefonátů schváleným respondentům.

 

Náš příběh
Lépe jednou zažít než být desetkrát školen

Firma z oblasti finančního poradenství potřebovala prověřit své zaměstnance, zda dokáží čelit kybernetickým útokům. Tito zaměstnanci již za sebou měli několik školení v oblasti bezpečnosti a test měl prověřit, zda byla efektivní.

V AEC jsme připravili třífázový test metodami sociálního inženýrství. Ten zahrnoval zaslání simulovaného malwaru elektronickou poštou, pokusy o vylákání citlivých informací pomocí telefonu a e-mailu i fyzický průnik do vybraných lokalit spojený s podstrčením simulovaného škodlivého kódu na datových nosičích. Celé testování trvalo přibližně 2 měsíce.

Připravený malware se nám podařilo dostat na počítače 28 % testovaných zaměstnanců. 3 ze 4 uživatelů nám dali po telefonu své přihlašovací údaje během první fáze. Na to však reagovalo IT oddělení, které o testování nevědělo, varovalo ostatní a začalo blokovat linku, ze které útočník volal. Pokračování testu tak již nebylo úspěšné. I přesto se podařilo ještě získat emailem několik interních dokumentů od dalších uživatelů. Ne nadarmo se říká, že lepší jednou zažít, než být desetkrát školen.

Testy metodami sociálního inženýrství

Cílem je přimět testovanou osobu, aby prozradila určitou informaci (typicky login, heslo) nebo vykonala určitou činnost (typicky spustila virus).

Metody testů:

  • E-mailový – testovaným osobám se rozešle e-mail například s vtipy a v příloze je „infikovaný“ soubor s testovacím kódem.
  • Telefonický – testovaným osobám se volá pod nejrůznějšími záminkami, např. že jejich PC šíří virus.
  • Fyzický – pokusy o průnik do chráněných prostor organizace přes recepci, dveře na kartu apod. Rozšíření "infikovaných" datových médií po prostorách organizace.

 

 

Přínosy našich služeb

Díky testům metodami sociálního inženýrství a zkoumáním sociálních sítí získá klient reálnou představu, čeho jsou jeho zaměstnanci schopni a jaké představují riziko; získá argumenty pro stanovení bezpečnostních pravidel, například pro školení atp. Již samotná realizace testů zpravidla zvyšuje bezpečnostní povědomí zaměstnanců organizace (stávají se tématem hovoru atd.).

Propagace bezpečnosti, školení inf. bezpečnosti a implementace do bezp. dokumentace přinesou stanovení povinností a odpovědností uživatelů IS organizace. Všichni zaměstnanci budou znát konkrétní odpovědnosti a povinnosti při práci s IS. Zvýší se bezpečnostní povědomí uživatelů o informační bezpečnosti. Sníží se riziko úniku dat, např. prostřednictvím e-mailové komunikace apod. Bude omezena "absolutní moc" administrátorů a správců. Stoupá význam role bezpečnostního manažera.

 

 

Reference?

V této oblasti máme mnohaleté zkušenosti z implementací řady projektů pro významné organizace ve svém oboru, jako jsou:
  • ING Management Services, s.r.o
  • Komerční pojišťovna, a.s.
  • ČEZ ENERGOSERVIS, spol. s r.o.
  • Ministerstvo práce a sociálních věcí ČR
  • Městský úřad Tábor