Pro zajištění bezpečnosti IT už nestačí mít své technické vybavení ve výborném stavu, protože také existuje možnost, že se útočník zaměří na zaměstnance používající dané vybavení. Uživatelé nebo správci systémů jsou pak vystaveni psychologickému nátlaku, kterému mohou podlehnout a útočníkovi sdělit požadované informace nebo provést požadovanou činnost. S metodami sociálního inženýrství se lze setkat v každé formě komunikace - v současnosti nejčastěji ve zprávách elektronické pošty (tzv. phishing). Testy sociálního inženýrství umožňují zjistit úroveň odolnosti zaměstnanců proti psychologickému nátlaku, prověřit interní postupy při reakci na masivní útok cílený na zaměstnance a také zlepšit schopnosti uživatelů rozpoznat podvodné zprávy a osvojit si správné reakce.
Výsledky testů sociálního inženýrství pomohou manažerům bezpečnosti a vedení organizace s vyhodnocením bezpečnostního povědomí uživatelů a optimalizací interních postupů.
Testy sociálního inženýrství jsou preventivní opatření, takže je lze předem plánovat plně dle potřeb zákazníka. V rámci testů sociálního inženýrství
Základním přínosem této služby je
Testy sociálního inženýrství je vhodné jednou za čas zopakovat, typicky v rozsahu jedné samostatné sociálně-inženýrské kampaně v intervalu 12 měsíců. Opakování umožní vyhodnotit účinnost zavedených opatření, připomenou uživatelům neustále existující hrozbu, přičemž jsou uživatelé současně seznámeni s aktuálně používanými triky.
Pro lepší představu, jak tato služba funguje v praxi, můžete nahlédnout do případové studie tsi-cypherfix2018.
Zajímá vás, jak jsou vaši uživatelé odolní proti sociálnímu inženýrství, nebo chcete své uživatele vzdělávat cvičnými podvodnými zprávami? Kontaktujte nás a následně
Zde jsou uvedeny odpovědi na časté otázky týkající se testů sociálního inženýrství. Můžete si také přečíst otázky a odpovědi k dalším tématům.
Jeden z takový nástrojů vyvíjí a provozuje také sdružení CESNET pod názvem Phishingator.
Podvodná zpráva je obecnější termín používaný pro zprávy, které se obecně snaží adresáta podvést a zmanipulovat k nějaké činnosti - vyzrazení údajů, spuštění malware, objednání nekvalitních výrobků apod. Phishing je podmnožina podvodných zpráv, která má konkrétní cíl, a to získat přístupové údaje uživatele (jméno a heslo, případně e-mailovou adresu a heslo). U phishingu jsou kromě zpráv také často využívány webový stránky.
Testy sociálního inženýrství mají simulovat skutečný útok a obvykle také uživatele vzdělat, takže jsou při přípravě zpráv záměrně použity některé z typických příznaků běžných podvodů. Pozorný a proškolený uživatel by tedy měl být schopen všechny rozesílané zprávy identifikovat jako podvodné. Obtížnost rozpoznání je vždy nastavována po dohodě se zákazníkem.
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
Tel: +420 234 680 222
Fax: +420 224 320 269
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
Fax: +420 224 313 211
support@cesnet.cz