Testy sociálního inženýrství

Pro zajištění bezpečnosti IT už nestačí mít své technické vybavení ve výborném stavu, protože také existuje možnost, že se útočník zaměří na zaměstnance používající dané vybavení. Uživatelé nebo správci systémů jsou pak vystaveni psychologickému nátlaku, kterému mohou podlehnout a útočníkovi sdělit požadované informace nebo provést požadovanou činnost. S metodami sociálního inženýrství se lze setkat v každé formě komunikace - v současnosti nejčastěji ve zprávách elektronické pošty (tzv. phishing). Testy sociálního inženýrství umožňují zjistit úroveň odolnosti zaměstnanců proti psychologickému nátlaku, prověřit interní postupy při reakci na masivní útok cílený na zaměstnance a také zlepšit schopnosti uživatelů rozpoznat podvodné zprávy a osvojit si správné reakce.

Výsledky testů sociálního inženýrství pomohou manažerům bezpečnosti a vedení organizace s vyhodnocením bezpečnostního povědomí uživatelů a optimalizací interních postupů.

Testy sociálního inženýrství jsou preventivní opatření, takže je lze předem plánovat plně dle potřeb zákazníka. V rámci testů sociálního inženýrství

• vám poskytneme úvodní konzultaci,
• otestujeme odolnost vašich uživatelů,
• vyhodnotíme průběh testů a
• výsledky shrneme v přehledné závěrečné zprávě.

Základním přínosem této služby je

• zjištění aktuálního stavu odolnosti uživatelů - vědomí, v jaké míře by uživatelé na různých pozicích odolali skutečnému útoku cíleného na organizaci a k jakým datům a systémům by se útočník mohl dostat, umožní lépe řídit bezpečnostní rizika a v případě opakování testů s časovým odstupem lze také vyhodnotit účinnost zavedených opatření,

• prověření interních postupů - cílený útok na desítky, stovky nebo dokonce tisíce uživatelů je obvykle velkým náporem na bezpečnostní tým a pracoviště uživatelské podpory, protože jsou dimenzovány na běžný provoz, výsledky lze použít k vylepšení stávajících postupů a dalšímu plánování,

• vzdělání uživatelů - chybující uživatelé mohou být ihned informováni (přesměrováním na webovou stránku nebo zobrazením informačního dialogu), jak měli podvod rozpoznat a na co si příště mají dávat pozor. Z tohoto důvodu jsou praktické testy sociálního inženýrství vhodným doplňkem teoretických školení na dané téma.

Testy sociálního inženýrství je vhodné jednou za čas zopakovat, typicky v rozsahu jedné samostatné sociálně-inženýrské kampaně v intervalu 12 měsíců. Opakování umožní vyhodnotit účinnost zavedených opatření, připomenou uživatelům neustále existující hrozbu, přičemž jsou uživatelé současně seznámeni s aktuálně používanými triky.

Pro lepší představu, jak tato služba funguje v praxi, můžete nahlédnout do případové studie tsi-cypherfix2018.

Zajímá vás, jak jsou vaši uživatelé odolní proti sociálnímu inženýrství, nebo chcete své uživatele vzdělávat cvičnými podvodnými zprávami? Kontaktujte nás a následně

1. poskytneme nezávaznou úvodní konzultaci,
2. společně připravíme technické zadání,
3. vyřídíme administrativní záležitosti (smlouva o dílo, NDA, apod.),
4. dohodneme vhodný termín realizace,
5. provedeme testy sociálního inženýrství dle dohodnutého zadání,
6. v závěrečné zprávě vyhodnotíme průběh testů a výsledky u vás odprezentujeme a
7. jsme i schopni proškolit vaše uživatele, jak rozpoznat podvodné zprávy.

Zde jsou uvedeny odpovědi na časté otázky týkající se testů sociálního inženýrství. Můžete si také přečíst otázky a odpovědi k dalším tématům.

Jeden z takový nástrojů vyvíjí a provozuje také sdružení CESNET pod názvem Phishingator.

Podvodná zpráva je obecnější termín používaný pro zprávy, které se obecně snaží adresáta podvést a zmanipulovat k nějaké činnosti - vyzrazení údajů, spuštění malware, objednání nekvalitních výrobků apod. Phishing je podmnožina podvodných zpráv, která má konkrétní cíl, a to získat přístupové údaje uživatele (jméno a heslo, případně e-mailovou adresu a heslo). U phishingu jsou kromě zpráv také často využívány webový stránky.

Testy sociálního inženýrství mají simulovat skutečný útok a obvykle také uživatele vzdělat, takže jsou při přípravě zpráv záměrně použity některé z typických příznaků běžných podvodů. Pozorný a proškolený uživatel by tedy měl být schopen všechny rozesílané zprávy identifikovat jako podvodné. Obtížnost rozpoznání je vždy nastavována po dohodě se zákazníkem.