Magyarország

Social Engineering vizsgálatok 

 

Az alkalmazottak félrevezethetősége az egyik legsúlyosabb nem-technikai jellegű információbiztonsági kockázat a szervezetek életében. Ez természetesen igaz informatikai szempontból is, a hacker támadások jelentős hányada használ social engineering eszközöket is.

A sikeres social engineering támadás sokkal inkább művészet, mintsem tisztán tudományos megközelítés, éppen ezért nem célravezető a formális módszertanok használata ezen a területen – így megközelítésünket is ennek mentén alakítottuk ki. Leginkább a célok és az engedélyezett módszerek pontos meghatározására fókuszálunk, és hagyjuk, hogy e keretrendszeren belül a tesztelést végző kollégáink kreatívan érvényesíthessék képességeiket. Általános szabály azonban, hogy olyan módszereket nem használunk, amelyek emberi sérülést, vagy az eszközökben kárt okoznának.

Néhány példa a tesztelési módszerekre:

  • Hamis email-ek vagy félrevezető telefonbeszélgetések során próbálunk felhasználói azonosító adatokat szerezni, vagy kártékony programokat futtatni rendszerhozzáférés megszerzése érdekében
  • Tail-gating / piggybacking (jogosult belépők mögötti besurranás) módszerével zárt informatikai területekre való bejutás
  • A biztonsági őrök és recepciósok szabálykövetésének és éberségének tesztelése
  • Az alkalmazottak figyelmének és tettrekészségének tesztelése az épületben közlekedő idegen kapcsán

A social engineering tesztek kivitelezését mindig gondosan megtervezzük, és az ügyfél felelőseivel együtt figyelemmel kísérjük azok végrehajtását.