Социално инженерство

Какво е Социално инженерство?

Социално инженерство е всяка техника, използвана от участник в заплахата, която се фокусира върху хората и процесите, а не върху технологията. Целта на атаката за социално инженерство обикновено включва манипулиране на хората с цел разкриване на поверителна информация или извършване на дейност, която е от полза за нападателя, без жертвите да го осъзнават. Често срещано изискване на програмите за информационна сигурност е включване на атаки за социалното инженерство в редовни тестове за проникване.

Тестването на сигурността никога няма да бъде точна наука, където може да се дефинира пълен списък на всички възможни проблеми, които трябва да бъдат тествани. Всъщност тестването на сигурността е подходяща техника за тестване на сигурността при определени обстоятелства. Нашият екип за тестване на проникване ще изтласка вашата система до нейните предели в поредица от симулирани кибератаки, откривайки всяка възможна уязвимост, така че Вие да получите пълна картина на състоянието на киберсигурността си и 100% от вашите данни да са в безопасност.

Защо теста за социалното инженерство е важен?

Хората често са по-податливи на компромиси в сравнение с технологиите, а те от своя страна представляват директна входна точка в целевата мрежа. Така злонамерените хакери и криминални лица често постигат успех, когато се насочват към хора и процеси. Междувременно е обичайно организациите да се фокусират върху осигуряването на своите технологии. Въпреки че технологията е много важна, тя не представлява цялата повърхност за атака на дадена организация. Включването на тестове за социално инженерство в информационната сигурност дава по-пълна сигурност срещу заплахите от реалния свят.

Успешното тестване за проникване чрез социално инженерство има добре дефинирани цели и обхваща няколко подхода. Те включват дистанционни техники, като използване на имейл, текстово съобщение, телефонно обаждане и дори публикация. За пълно покритие трябва да се провеждат и присъствени техники, които постигат физически достъп. Когато всички тези подходи бъдат включени в теста за социално инженерство, започва да се появява истинска картина на силните и слабите страни по отношение на хората.
Предимства на тестовете на социално инженерство включват:

  • Идентифициране на уязвимости, свързани с атаки, които използват хора и процеси.
  • Разбиране вероятното въздействие на нападателя, използващ социално инженерство.
  • Получавате представа за това, кои защити за хора и процеси в момента работят добре.
  • Уверявате се, че отчитате реалните рискове от заплахи, като например фишинг.

Организациите, които включват тестове за социално инженерство в своята програма за осигуряване на сигурност получават по-добра представа за цялостната си ситуация за информационна сигурност. Става все по-разпространено в програмите за сигурност хората и процесите да бъдат редовно тествани, тъй като това е към което се насочват и злонамерените нападатели и престъпници.

В близкото минало беше обичайно нападателите да се фокусират върху ИТ инфраструктура, достъпна от интернет, за своите атаки. Техниката не беше добре защитена и фокусирането върху нея беше с нисък риск и висока възвращаемост за повечето цели на атакуващите. Времената се промениха. Техниката обикновено е по-добре защитена и нападателите постигат повече успех, когато се насочват към хора и процеси. Тази промяна е настъпила, но много организации не са успели да обновят своята прогрма за киберсигурност.

Знаете ли, че:

  • Атаки за социално инженерство са довели до кражба на над 12 млрд. долара по целия свят за последните три години.
  • 55% от всички имейли са спам.
  • 97% от всички атаки използват една или друга форма на социално инженерство!

Очевидно е, че социалното инженерство представлява реална заплаха. Влиянието и вероятността за това, че подобна атака ще успее срещу организацията трябва да бъдат разбрани. Тестът за социално инженерство предоставя тези знания и помага да се изгради стабилна стратегия за киберсигурност.

30000 +
Часа опит в областта на сигурността

Необходими са 10 000 часа, за да станете експерт от световна класа. При нас стана възможно, защото обожаваме работата си.

120 +
Доволни клиенти

Ние сме предпочитан доставчик на услуги и продукти в областта на киберсигурността. Повишената киберсигурност е източник на по-високи приходи в бъдеще.

300 +
Тестове за проникване

Открили сме повече от хиляда уязвими уеб сайта, приложения и устройства.

1000 +
Защитени

Повече от хиляда уебсайта, приложения и устройства сме защитили от престъпници и атаки на зловреден софтуер.

Вземете безплатна оферта

Съществува широк спектър от техники за социално инженерство. Атаките могат да бъдат извършени чрез електронна поща (фишинг), телефон или физическо проникване. Те обикновено се основават на набор от различни техники, съчетаващи ИТ и съпътстващи умения: фишинг, представяне под чужда самоличност, манипулация и убеждаване, злонамерен софтуер, злонамерени устройства, клониране на интерфейси, подправяне на телефонни номера, търсене в боклук и т.н.

Фишинг и спиар фишинг тестове

Фишингът е най-често срещаният вид атака. Той е едновременно лесен за изпълнение и потенциално много ефективен.

Това е атака по имейл, която може да бъде изпратена до голям брой хора (фишинг) или до много по-малък брой цели (спиар фишинг). Фишинг имейлите обикновено съдържат връзки, които пренасочват получателя към фалшиви уеб страници (клонинги) или злонамерен софтуер, които могат да бъдат изпратени като прикачен файл или връзка за изтегляне.

Най-сложните фишинг имейли са персонализирани, за да бъдат достоверни: реалистична ситуация за целите на имейла, кражба на самоличност, за да се преструва атакуващият на надежден човек, телефонно обаждане, придружаващо имейла, за да се подсили легитимното представяне и т.н.

Одитът по социално инженерство може да включва различни фишинг сценарии с прогресивна трудност, за да обучи служителите да разобличават все по-сложни заплахи.

Тест за вишинг

Vishing (гласов фишинг) - това е телефонен еквивалент на фишинг. Този тип атаки обикновено не е насочена към голям брой хора, но той може да предостави поверителна информация, която жертвата обикновено не се съгласява да предава по електронна поща (например потребителски имена и пароли).

Основният принцип е да се установи връзка на доверие чрез разговор. Това изисква нападателят да има способности за слушане, аргументация и убеждаване. Най-сложните атаки се основават на кражба на самоличност, както и на подправяне на номера на лицето, което нападателят твърди, че е.

Одитът на социалното инженерство може да включва вишинг, за да допълни фишинг атаките. Това прави служителите наясно с други видове заплахи, които са по-коварни и по-трудни за откриване. Фишинг и вишинг атаките са коварна заплаха, защото могат да бъдат извършени от голям брой нападатели, тъй като не изискват физически достъп.

Тестове за физическо проникване

Физическото проникване е още по-сложна форма на атака от нападател, който е готов да отдели повече време и да поеме повече рискове, за да се насочи към компанията.

При този тип атаки принципът е да се проникне във фирмата, като хакерът се представя за легитимен посетител: техник, доставчик на услуги, служител и т.н. След това нападателят се стреми да получи поверителна информация по различни начини: кражба на машини, свързване към вътрешната мрежа, разпространение на зловреден софтуер от флашка, манипулиране на служители, достъп до сървърна стая и т.н.

При одит на сигурността, тестовете за физическо проникване могат да се използват за оценка на системите за физически достъп, процедурите за контрол, информационните бариери и реакцията на служителите, когато се сблъскат с непознато лице.

Байтинг (примамка)

Това е атака, при която потребителят е привлечен да направи нещо за нападателя въз основа на примамка. Например USB флаш може да бъде оставена на паркинг с очакването, че целевият служител ще я вземе и ще я включи в лаптопа си. Флашката може да бъде с висока стойност и да съдържа интересно изглеждащи файлове, които всъщност да са прикрит злонамерен софтуер. По-целенасочена версия на може да бъде изпращане по куруер с подходящ претекст и от преструващ се хакер за човек, който познава.

Неспазване на дистанция

Това е една от многото форми на физическо социално инженерство. Физическото социално инженерство често има за цел да въведе нещо злонамерено в сграда, като злонамерен софтуер, или да изнесе нещо ценно, като например чувствителни документи. Може да представлява изчакване на упълномощено лице за достъп до зона с ограничен достъп и влизане след него докато вратата не се е затворила.

Има много други форми на социално инженерство и те са предназначени да се даде представа за това, което правят обикновено злонамерените нападатели.
Тестът за социално инженерство използва една или повече техники от описаните, за да тества защитите, осигурени не само за машините, но също и за хората и процесите. Трябва да има ясни цели и правила за ангажиране и да се изпълнява от реномирана фирма, която разбира на риска и е запозната с местните закони.

Какви са етапите при пенетрейшън тест?

Чрез тест за проникване може проактивно да се идентифицират най-опасните слабости в сигурността, преди някой друг да го направи. Тестването за проникване е задълбочен, добре обмислен проект, който се състои от няколко фази:

1

Планиране и подготовка

Преди да започне пен тест, етичните хакери и техните клиенти трябва да съгласуват целите на теста, така че той да бъде с подходящ обхват и завършен правилно. Специалистите по проникване трябва да знаят какви видове тестове е нужно да изпълнят, кой ще наясно, че тестът се изпълнява, с колко информация и достъп ще трябва да се започне, и други важни подробности, които ще гарантират качеството на теста.

2

Откриване

На този етап екипа изпълнява различни видове разузнаване на системата. От техническа страна, информация като IP адрес, може да помогне за идентифициране на информация за защитни стени и други. Що се отнася до личните данни, тези прости данни, като имена, длъжност, електронна поща, могат да бъдат полезни в следващите етапи.

3

Опит за проникване и експлоатация

Вече разполагащи с информация за целта, експертите по проникване могат да започнат с проникването, като използват слаби места в системата за сигурност и демонстрират, колко дълбоко могат да се промъкнат.

4

Анализ и отчетност

На този етап екипът на KiK по пенетрейшън тестове създава доклад, съдържащ подробна информация за всяка стъпка от процеса, описвайки методите за успешно проникване, какви слабостите в сигурността са били открити, друга полезна информация и препоръки за отстраняване.

5

Почистване и възстановяване

Професионалистите не трябва да оставят следи и трябва да премахнат всички следи от извършеният тест, за да не могат да бъдат използвани в последствие от злонамерен хакер. След това организацията може да започне да прави необходимите поправки, за да затвори дупките в своята сигурност.

6

Повторно тестване

Най-добрият начин да се уверите в ефективността на мерките за подобряване на ситуацията в организацията е да се проведе повторно тестване. Освен това, ИТ средата и методите, използвани за атаки непрекъснато се развиват, затова трябва да се следи за появата на нови слабости.

Какви са различните видове тестове за проникване?

ТЕСТ ЧЕРНА КУТИЯ
ТЕСТ ЧЕРНА КУТИЯ

Също известен като сляп тест. Изисква нулево познаване за активите на компанията. Тестващите специалисти по проникване извършват пълна фаза на разузнаване, за да разкрият активите на компанията и да изберат свой собствен път за заобикаляне контрола за сигурност, както и да изпълнят собствена стратегия.

ТЕСТ СИВА КУТИЯ
ТЕСТ СИВА КУТИЯ

В тестовете от този тип, етичните хакери знаят ролята на системата и нейните функции. Знаят (макар и не толкова подробно) вътрешните механизми (вътрешната структура на данните и използваните алгоритми). Въпреки това, нямат достъп до изходния код.

ТЕСТ БЯЛА КУТИЯ
ТЕСТ БЯЛА КУТИЯ

Първоначално терминът се е ползвал за преглед на функционирането на дадено приложение и неговата вътрешна структура и процеси. Основната работа на тестващият специалист са всички вътрешни компоненти на софтуера и преглед на изходния код. Същият принцип може да се прилага и към други области на преглед, като например тестване за социално инженерство

Обикновено препоръчваме методологията на "бялата кутия", ако никога преди не сте имали тест за проникване чрез социалното инженерство. Това позволява първо да оценим вашата технология и да направим матрица на успеха на различните атаки спрямо различните части на вашата защитна технология. Така ще сте наясно какво е възможно на теория. Като изключим това, ние прилагаме теорията на практика и използваме известни слабости срещу хората. Неразумно е да мислите за хората, процесите и технологиите като несвързани. С помощта на подхода получавате сигурност върху трите като едно цяло. Този тип подход обикновено дава по-задълбочени нива на сигурност.

За организации, които са по-притеснени какво може да направи злонамерен хакер без никакви предварителни или вътрешни познания, подходът на "черната кутия" може да бъде по-подходящ. Той може да ви даде по-малко информация в края на ангажимента, но ще имитира по-точно външна заплаха.

Нашите предимства

Нашият екип за киберсигурност ще изтласка вашата система до нейните предели в поредица от симулирани кибератаки, откривайки всяка възможна уязвимост, така че организацията Ви да получи пълна картина на киберсигурността и 100% от вашите данни да са в безопасност.

  • Отлични умения и опит
  • Добра репутация
  • Конкурентни цени
  • Резултати, предназначени за реални решения

Намерете рисковете. Разберете последствията. Спете спокойно.