Социотехническое тестирование
Одним из наиболее распространенных и эффективных способов получения несанкционированного доступа к корпоративным информационным системам извне являются атаки, основанные на взаимодействии злоумышленника с сотрудниками компании – социальная инженерия. На первом этапе таких атак злоумышленник, как правило, тем или иным способом (по электронной почте, через социальные сети, по телефону и т.п.) выходит на контакт с сотрудником и побуждает его раскрыть какую-либо конфиденциальную информацию или может воспользоваться уязвимым приложением для просмотра переданных атакующим данных. Если сотрудники компании недостаточно осведомлены в области информационной безопасности, то даже при адекватной технической защите сетевого периметра, злоумышленник может получить доступ к ресурсам сети и конфиденциальной информации, например, через фишинг. Далее атакующий может развить атаку и получить несанкционированный доступ к критически важным для бизнеса ресурсам компании. Подобные атаки в случае успеха могут привести к реализации таких рисков как упущенная выгода вследствие вмешательства в бизнес-процессы (включая различные мошеннические действия от имени скомпрометированных сотрудников), потеря конкурентных преимуществ из-за утечки конфиденциальной информации, судебные разбирательства с партнерами и клиентами, а также иные репутационные, финансовые и операционные риски.
Для того, чтобы снизить вышеперечисленные риски, CyberSec предлагает провести оценку уровня осведомленности персонала компании Заказчика в области информационной безопасности, что позволит своевременно выявить пробелы в данной сфере и спланировать мероприятия по повышению уровня осведомленности сотрудников.
Оценка уровня осведомленности персонала представляет собой комплекс попыток получения несанкционированного доступа к рабочим станциям сотрудников или получения конфиденциальной информации (такой как пароли) средствами социальной инженерии со стороны сети Интернет.
Проверки в области социальной инженерии осуществляются с использованием одного или нескольких согласованных с Заказчиком каналов взаимодействия с сотрудниками: электронная почта, личное общение, социальные сети, системы мгновенных сообщений.
При проведении работ специалисты CyberSec используют методики анализа защищенности, разработанные на основе собственного многолетнего экспертного опыта, а также следуют рекомендациям лучших международных стандартов по анализу защищенности, таких как:
- ISECOM OSSTMM – Institute for Security and Open Methodologies Open Source Security Testing Methodology Manual
- PTES – Penetration Testing Execution Standard
Кроме того, при необходимости специалисты CyberSec осуществляют разработку дополнительных программных средств для демонстрации специфических уязвимостей, характерных для информационной системы Заказчика. В частности, средства проведения проверок с использованием социальной инженерии, разрабатываются индивидуально для информационной системы Заказчика.
В результате проведения социотехнического тестирования, будет получена объективная и независимая оценка эффективности предпринимаемых мер в компании по повышению осведомленности сотрудников в вопросах информационной безопасности.