IT bezpečnostní služby

Sociální inženýrství představuje netechnickou formu prolomení bezpečnostních postupů a opatření, nakolik jde o útok založený na schopnosti ovlivňování a manipulace lidí. Sociální inženýrství těží z potenciálního selhání lidského faktoru, který je nedílnou součástí informační bezpečnosti a hlavním cílem útočníka je narušit vnitřní prostředí organizace nebo získat citlivé a důvěrné informace s využitím různých psychologických her, manipulace či dokonce výhružek.

Potřebujete sociální inženýrství?
Motivace sociálního inženýra k uskutečnění útoku sociálním inženýrstvím může být různá a předmětem motivace může být například finanční zisk, osobní zájmy či úmyslné poškození. Protože sociální inženýr využívá přirozenou tendenci jednotlivce uvěřit, být vstřícný a altruistický, může být takový útok realizován i útočníkem, který nedisponuje hlubokými technickými znalostmi.
Z tohoto důvodu je třeba při zvyšování bezpečnosti organizace realizovat i testování sociálním inženýrstvím souběžně s testováním IT infrastruktury a webových aplikací, protože takový test dokáže odhalit bezpečnostní slabiny v zabezpečení, které by testování IT infrastruktury a webových aplikací nikdy neodhalilo.

Průběh testu sociálního inženýrství
Minimální délka testu sociálním inženýrstvím je 5 dní.

Délka testu	5 dní	6-7 dní	8-10 dní
Realizované techniky	Pasivní sociální inženýrství Simulace phishingu	Pasivní sociální inženýrství Simulace phishingu Získání citlivých a důverných informací	Pasivní sociální inženýrství Simulace phishingu Získání citlivých a důverných informácí Aktivní sociální inženýrství
Manažerské shrnutí	Ano	Ano	Ano

Během testování používáme různé sociotechnické triky, například spoofing emailových zpráv, Caller-ID či Sender-ID u SMS zpráv a telefonních hovorech, zneužití identity zaměstnance testované organizace, vydávání se za nového zaměstnance nebo další psychologické metody – jako prosba o pomoc, vyhrožování či nátlak. Testy sociálního inženýrství je možné provést následujícími způsoby a technikami nebo jejich vzájemnou kombinací a následně doplňovat, protože znalost informací je přidanou hodnotou a zvyšuje důvěryhodnost u testovaných zaměstnanců při realizaci útoků sociálním inženýrstvím.

Výstup a vyhodnocení

Všechny odhalené bezpečnostní incidenty, selhání bezpečného chování a získané citlivé informace jsou zaznamenány a ve výsledné zprávě detailně popsány.

Popis technik využívaných během testování

Pasivní sociální inženýrství představuje shromažďování a přezkoumání informací, konkrétně jde o techniky:

• prověření veřejně dostupných informací o testované organizaci
• prohledávání a získávání informací či údajů z nalezených zranitelností při předchozím penetračním testování například IT infrastruktury – získání přístupu k emailovým účtům

Cíl: Získat informace, jejichž znalost může napomoci při realizaci sofistikovanějších útoků založených na sociálním inženýrství.

Simulace phishingu, která je zaměřena na vybranou skupinu zaměstnanců a této skupině je zaslána speciálně zkonstruovaná emailová zpráva.
Cíl: Prostřednictvím phishingu navést zaměstnance ke kliknutí na podvržený odkaz, jehož pomocí je možné zanést do PC speciálně vytvořený malware a získat kontrolu nad tímto PC, nebo navést zaměstnance na podvrženou doménu a získat od nich citlivé informace.

Získání citlivých a důvěrných informací je realizováno pomocí těchto technik:

• kontaktování vybraných nebo náhodných zaměstnanců testované organizace pomocí telefonu nebo formou SMS s možností využití podvržené Caller ID identity
• kontaktování vybraných nebo náhodných zaměstnanců testované organizace prostřednictvímsociálních sítí, IM nebo VoIP komunikace

Cíl: Získat citlivé informace, které lze zneužít (například informace o zaměstnanecké hierarchii, infrastruktuře a používaných softwarových metodách, zabezpečení technické podpory nebo získat přístupová hesla do emailových schránek). Dále také co nejpřesvědčivější ovlivnit rozhodnutí zaměstnance ve prospěch úspěšnosti testu (jakékoliv selhání bezpečného chování).

Aktivní sociální inženýrství, v jehož rámci se realizuje:

• fyzický průnik do prostorů organizace při němž dochází ke kontaktu se zaměstnanci testované organizace
• test s přenosnými médii, kde je zaměstnancem podvržené elektronické přenosné médium – USB klíč nebo optický disk
• prohledávání odpadků (trashdiving / dumpster diving)

Cíl: Získat přístup a kontrolu nad PC prostřednictvím infikovaného malware, při pohybu po budově získat citlivé a důvěrné informace, které mohou být položeny / umístěny v různých místech budovy (na stole, v koši, atd..) nebo získat přístup do intranetu pomocí aktivního prvku umístěného v síti.