Социальные исследования: тесты на проникновение в вашу человеческую сеть

Что было главной проблемой безопасности вашей организации в 2016 году? А что будет в 2017 году?

Если ваша компания похожа на большинство, нарушения, которые приводят к скомпрометации данных, находятся в верхней части списка. Конечно, проблемы непрерывности всегда вызывают беспокойство, но ничто так не заставляет нас дрожать, как нарушения. На протяжении многих лет взломы были на первом месте в списке проблем безопасности ИТ-директора. А в статье Wired о самых больших угрозах безопасности 2016 года четыре из пяти основных проблем были связаны с скомпрометированными данными и несанкционированным доступом.

Эксперты по безопасности знают, что до тех пор, пока есть кто-то с доступом к компьютеру и со злым умыслом, взломы будут главной проблемой для компаний.

Конечно, это не сногсшибательная информация. Именно по этой причине компании тратят время и ресурсы как на обучение пользователей, так и на тестирование на проникновение.

Ваши тесты на проникновение проверяют наличие уязвимостей в вашей сети, ваших системах и даже в вашем программном обеспечении, разработанном внутри компании, до его развертывания. И ваша группа ИТ-безопасности активно затыкает эти дыры до того, как они будут обнаружены внешним миром.

В то же время, тестирование осведомленности пользователей делает именно это — информирует пользователей вашей организации об угрозах, с которыми они могут столкнуться, и о важности осмотрительности. Защита физической информации обычно является частью обучения, но большая его часть сосредоточена на противодействии тактикам социальной инженерии и фишинговым схемам.

И не зря. Исследования показывают, что средняя крупная компания ежегодно тратит 3,7 миллиона долларов на борьбу с фишинговыми атаками и их устранение. Но действительно ли это обучение работает? Или он работает только часть времени или только с некоторыми сотрудниками? Как вы можете сказать?

Как и в случае с вашими сетями и системами, вам также следует подумать о тестировании на проникновение вашей человеческой сети. И хотя есть компании, которые проведут для вас пентесты социальной инженерии, вы можете начать с тестирования низко висящих плодов самостоятельно.

Уязвимости для тестирования

У вас может не быть ресурсов и времени, чтобы провести сложное и тщательное социально-инженерное пен-тестирование, но вы можете достичь больших результатов с минимальными затратами времени и усилий, и эти три обеспечат вам наибольшую отдачу от затраченных средств.

Некоторые из них обсуждаются в нашей статье «Социальная инженерия: почему люди представляют собой величайшую угрозу» как одни из наиболее распространенных средств социальной инженерии. Это хорошая причина, чтобы начать с них. Убедившись, что ваше обучение эффективно устраняет наиболее распространенные угрозы, вы знаете, что можете перейти к повышению осведомленности о менее распространенных, но более неприятных тактиках.

Фишинг и целевой фишинг

Фишинг — одна из самых больших угроз, с которыми сталкивается ваша организация, хотя бы с точки зрения объема. По оценкам Phishing.org, половина пользователей Интернета получает как минимум одно фишинговое письмо в день. Настройка тестирования на фишинг в вашей организации может потребовать немного больше усилий, чем в некоторых других сценариях, но из-за объема стоит потратить дополнительное время, чтобы убедиться, что ваша организация бдительна и осведомлена об опасностях.

Есть два типа фишинговых эксплойтов, которые могут быть добавлены в ваш график пентестинга в человеческой сети. Первая — это общая атака, которая навязывается широкому кругу людей в вашей компании. Вот что вы делаете: вы отправляете электронное письмо с сообщением, целью которого является побудить получателя щелкнуть ссылку на веб-страницу, созданную вашей командой ИТ-безопасности. По этическим причинам эта веб-страница не должна записывать личную информацию. Вместо этого вы просто хотите подсчитать количество людей, которые нажали на ссылку, чтобы вы могли сравнить это с количеством целевых получателей.

Второй тест касается целевого фишинга. Это узконаправленные атаки, целью которых является получение информации, а не просто доступ к системе. При целевом фишинге цель получает электронное письмо, которое кажется отправленным кем-то, кого они знают, от компании, с которой они вели дела, или от кого-то, кто ссылается на предполагаемого общего знакомого или другую информацию, которая заставляет злоумышленника выглядеть заслуживающим доверия.

Поскольку этот второй тип атаки является более целенаправленным, чем обычный фишинг, этот тип тестирования должен быть тщательно спланирован и хорошо продуман, чтобы имитировать реальный сценарий. По этим причинам вы можете отложить этот тип тестирования до тех пор, пока у вас не будет времени оценить, кто будет наиболее ценным целевым объектом в вашей организации, и не проработаете соответствующие внутренние каналы, чтобы получить все необходимые утверждения.

Предлог по телефону

Предлог — это форма социальной инженерии, при которой злоумышленник лжет цели, чтобы получить конфиденциальную информацию или даже физический доступ к безопасным местам. Злоумышленник может использовать ряд тактик, чтобы завоевать доверие, запугать или создать у цели чувство срочности и необходимости.

Наиболее вероятным вектором атаки в этом случае является телефонный звонок, поэтому вам следует сосредоточить свое тестирование на этом типе атаки. В то время как телефонные предлоги требуют некоторого таланта, может быть проще дозвониться до кого-то по телефону с кратким изложением сценария, чем заставить их попытаться солгать лично.

Подобно тесту на фишинг, описанному выше, тест на этический предлог не должен пытаться получить личную информацию, такую как номера социального страхования или корпоративные секреты. Вместо этого в крупной компании рассмотрите возможность добавления фиктивных учетных записей и посмотрите, сможете ли вы изменить пароль к этой учетной записи или информацию о фиктивном сотруднике.

травля

Приманка — это атака, позволяющая людям оставаться людьми. Для приманки некоторые физические носители, такие как USB-накопитель или компакт-диск, доставляются или оставляются в офисе или рядом с ним. Любопытство, а иногда даже жадность могут взять верх над пользователем, и он подберет брошенный носитель и попытается его использовать.

Как и тест на фишинг, этот требует некоторого времени и усилий для подготовки. В идеале вы настроите физический носитель с полезной нагрузкой, которая позволит вам узнать машину, которая использовалась для просмотра носителя. Идентификация машины будет иметь важное значение, поскольку впоследствии вы захотите «очистить» тест и убедиться, что вы непреднамеренно не оставили дыру в системе.

Организация ваших тестов

Маловероятно, что все эти тесты потребуются вашей организации немедленно, особенно если вы никогда раньше не тестировали атаки социальной инженерии. Внимательно изучите каждый сценарий и посмотрите, какие конкретные политики или проблемы в вашей организации вы пытаетесь понять. Например, в качестве вынужденного примера, если у вас нет физических местоположений, которые нужно было бы защитить, не было бы причин использовать предварительный тест лицом к лицу.

После того, как вы составили список социально-инженерных тестов, которые, по вашему мнению, будут наиболее эффективными, расставьте приоритеты в списке по наибольшей угрозе для вашей организации. Вы можете не получить финансирование или одобрение, чтобы сделать все, что хотите, сразу, поэтому наличие этого списка под рукой для следующего шага повысит ваши шансы двигаться вперед с наиболее важными из предложенных вами тестов.

Имея запланированные тесты и расставив приоритеты, пришло время поговорить с заинтересованными сторонами. На данный момент я предполагаю, что ваш CSO или менеджер по безопасности знают о ваших усилиях, но теперь вам нужно сообщить им подробности. На этом этапе другими заинтересованными сторонами, которых вы захотите зациклить, являются, как минимум, лидеры в области управления персоналом и ИТ.

HR должен быть вовлечен, чтобы убедиться, что тесты получили одобрение и все идет вверх и вперед. ИТ-руководители должны быть в курсе по двум причинам: им, вероятно, потребуется одобрить тесты, и они могут обеспечить прикрытие с воздуха, если один из тестов выявит серьезные проблемы. Очевидно, что из-за деликатного характера тестирования вы захотите, чтобы круг доверия был узким. Но без поддержки нужных людей в вашей организации вы можете оказаться на минном поле.

Что теперь?

Итак, вы запланировали свои тесты, вы получили одобрение и получили свои результаты. Что дальше?

Не поддавайтесь желанию немедленно обвинить конечных пользователей. Тест с плохими результатами может потребовать небольшого самоанализа со стороны групп по ИТ-безопасности и обучению. Любые широко распространенные дыры указывают на необходимость лучшего и более эффективного образования.

Просмотрите свои учебные материалы, охватывающие темы, по которым возникли проблемы во время тестирования. Затем спросите себя — достаточно ли ясны материалы? Все ли понимают риски? Вы сделали последствия взлома чем-то, что они понимают лично?

Спланируйте свою стратегию обновления учебных материалов и запланируйте следующий курс повышения осведомленности. Просмотр материалов, их обновление и редактирование, а также администрирование обучения потребует времени. Как только этот процесс завершится — протестируйте снова. Сравните свои результаты. И продолжайте совершенствоваться.

Когда вы тестируете системы и сети с помощью пера, вы не делаете это один раз, а затем останавливаетесь. Поскольку системы организации постоянно находятся в состоянии изменения, с установкой нового программного обеспечения, обновлениями системы и изменениями в сети, вы регулярно тестируете, чтобы убедиться, что ни одно из изменений не создало новую дыру.

То же самое верно и для тестирования вашей человеческой сети. Добавляются новые сотрудники; людям предоставляется разный уровень доступа. Таким образом, ваше социально-инженерное тестирование также должно повторяться, чтобы убедиться, что изменения в персонале не привели к изменению вашего уровня риска.

Когда вы будете готовы приступить к социально-инженерному пен-тестированию, выполните описанные здесь шаги. Знать наиболее распространенные виды социальной инженерии. Изучите свою компанию и ее политику, чтобы определить самые большие угрозы. Получите поддержку от заинтересованных сторон организации. А затем обязательно примените то, что вы узнали из теста, чтобы улучшить обучение. Наконец, убедитесь, что все сотрудники знают, насколько они важны для обеспечения безопасности данных компании.