Социотехнический тест (PHISHING)

Тест на проникновение проводится с использованием методов социальной инженерии (Social Engineering). Основной целью проведения теста является выявление уровня осведомленности персонала заказчика о требованиях по информационной безопасности. В процессе проведения тестирования определяется реакция пользователей и персонала ответственного за информационную безопасность на организационные методы проникновения, используемые злоумышленниками.

Методы социальной инженерии достаточно часто используются злоумышленниками и направлены, как правило, на конечных пользователей. В результате успешной атаки злоумышленник может получить контроль над рабочими станциями, получить конфиденциальные документы заказчика, использовать ресурсы заказчика для организации атак на системы других компаний, рассылки спама и пр.

Организационные аспекты ИБ являются важнейшей составляющей системы защиты и, часто, обычные пользователи являются самым слабым звеном. Данная услуга позволит выявить те организационные аспекты ИБ, на которые заказчику следует обратить внимание в первую очередь.

Результаты, полученные в ходе оказания данной услуги, могут стать основой для разработки Программы повышения осведомленности (Security Awareness Program), максимально ориентированной на проблемные области, выявленные в ходе тестирования. Данная услуга также может быть полезна для проверки эффективности действующей Программы осведомленности заказчика.

В общем случае порядок проведения работ следующий:

С заказчиком согласовываются методы социальной инженерии, которые будут использованы при проведении теста. Могут быть использованы следующие методы:

• Рассылка почтовых/IM сообщений от имени анонимных пользователей и сотрудников заказчика, содержащих ссылки на веб-ресурсы с исполняемым кодом, содержащие исполняемый код в теле письма, содержащие просьбу сменить пароли, переслать пароли или свою персональную информацию и пр.
• Выборочная проверка исполнения политики "чистого стола" (стикеры с паролями, незаблокированные в отсутствие пользователя консоли, наличие конфиденциальных документов в офисе, доступных посетителям, оставленные без присмотра сотовые телефоны и КПК);
• Звонки пользователям от имени ИТ и ИБ персонала с просьбами получения/смены пароля, пересылки конфиденциальных документов и пр.
• Выбор целевых групп пользователей и определение методов тестирования для каждой из групп.
• Анализ и консолидация результатов различных тестов.

Результатом работы будет являться отчет, содержащий:

• Выводы для руководства, содержащие общую оценку уровня осведомленности пользователей.
• Методику проведения теста.
• Перечень основных проблемных областей (включая информацию по всем действиям пользователей в каждой целевой группе).
• Рекомендации по устранению выявленных уязвимостей.