Проверка уровня ИБ грамотности сотрудников
Технические средства делают многие процессы ведения бизнеса более эффективными, но без управления техникой человеком не обойтись. И именно человеческий фактор зачастую становится слабым звеном в системе корпоративной безопасности.
Причина утечки данных компании по вине человека происходит из-за неосведомленности, рассеянности, любопытства и жажды наживы. В сравнении с этими факторами уязвимость оборудования и программного обеспечения занимает второе место.
01
Согласование
Ответственные с вашей стороны: начальство и служба безопасности должны четко понимать правила игры. Мы получаем разрешение на проведение проверочных работ, вместе определяем сроки и методику действий.
02
Планирование
Мы сами можем назначить жертв, и это будет вполне репрезентативная выборка. Но еще лучше, если целевые группы определите вы сами. Вы лучше знаете, какова ситуация в компании, от кого зависит особенно много, и чья компетентность вызывает сомнения. На этом же этапе выбираем каналы коммуникации для атак: почту, соцсети, мессенджеры.
03
Сбор информации
Здесь в игру вступает социальная инженерия – комплекс мер по созданию таких условий вокруг цели, в которых она выполнит нужное нам действие. Для этого мы узнаем из соцсетей, форумов, сайта компании и прочих открытых источников все, что может понадобиться: от структуры и списка сотрудников до актуальных судебных исков и заключенных контрактов.
04
Подготовка инструментария
Во-первых, это сообщения с «вредоносными» файлами и ссылками, использующими стандартные уязвимости операционных систем и ПО. Во-вторых, фишинговые сайты, позволяющие выудить у пользователя учетные данные. В-третьих, якобы потерянные рядом с офисом USB-накопители с «вредоносным» ПО. Как показывает практика, почти 50% сотрудников вставляют найденные «случайно» флешки в рабочие ПК.
05
Контакт
Делим будущих жертв атаки на группы в зависимости от сферы деятельности и прочих аспектов. У них будут разные отправители, темы писем и названия вложенных файлов. Некоторых ждет еще и контрольный звонок от «адресата», подталкивающий совершить целевое действие.
06
Заражение и эксплуатация
Мы берем распространенные в хакерской среде эксплойты, избавляем их код от вредоносной части и дополняем собственным инструментом для сбора статистики.
07
Составление отчета
Мы фиксируем все случаи попадания жертв в ловушку: переход по ссылке, скачивание данных с фальшивого сайта, открытие вложенных файлов, а также ввод данных на нашем фишинговом ресурсе. В отчете изложим использованную методику социальной инженерии, оценку защищенности информационной системы и компетентности персонала, а также рекомендации по исправлению недочетов.