人员风险:如何为社会工程测试做准备
Written by RedTeam
Categorised Social
Engineering
Translate HawooSec_Lab
最好的网络安全防御系统仍然有一个共同的弱点--人为错误。知道这一点,网络安全坏角色(cybersecurity
bad actors)经常利用社会工程来攻击你的员工的脆弱性。然而,通过社会工程测试,公司能够测试员工对被游说说服或操纵的敏感性。
社会工程风险
您的员工是企业组织的生命线,但是当他们忙于帮助您的公司竞争而产生收入时,他们可能容易出错。在社会工程活动中有三种常见的方法:
§ Email phishing(电子邮件钓鱼)
§ Vishing (利用电话来获取信息)
§ Overt physical pretexting(公开的物理托辞)
也被称为“人民黑客”的社会工程攻击常见于那些使用恶意电话,电子邮件,或个人被窃取密码或机密数据,安装恶意软件,损害公司的声誉,或非法获利。
只有约3%的恶意软件旨在利用技术缺陷。其他97%使用社会工程。
如何准备社会工程测试
社会工程测试的第一条规则是“保持沉默”。不要告诉任何你不需要告诉的人。为什么?RedTeam安全顾问和社会工程专家Marco Cardacci说,人们对于测试的了解越少越好。
如果有人提前发一份备忘录说“我们很快就要进行社会工程测试了!”这让人们警觉起来。这不是一个准确的测试!
这个规则并不意味着没有人应该知道测试。一个CIO决定测试每个人,而不让任何其他人知道,也可能导致问题。在整个过程中,它有助于“超级交际”。
社会工程团队将与客户选定的少数知情人士讨论目标。开始的碰头会议的目标是确定哪些资产和数据被认为最有价值,以及客户害怕发生什么。这有助于安全团队量身定制,为你获取最有价值的信息。给测试人员尽可能多的信息。
“透明度越高越好,”Cardacci说。
理想情况是,客户以前没有受到过攻击,他们只是担心要怎样保证安全,Cardacci 说到。但是,当如果以前有某些攻击的发生,它则有助于这一点。测试人员可以尝试模拟已经发生的事情,以确保人们知道应该以不同的方式应对攻击,并且程序和政策在新的攻击下是有效的。或者,如果在您的行业中存在常见的特定类型的攻击,那么将它们传递给测试团队也是有帮助的,以便测试团队能够适当地编造他们的测试托辞。
向测试团队提供目标人员的电子邮件和电话信息的列表也很有用。毕竟,安全团队可以使用公开资源找到所有这些信息,它节省了客户方提前提供这些信息花费的时间和金钱。正如Cardacci所说,“问题不在于我们是否能够找到它(弱点),而在于我们需要多长时间才能找到它。”
通常,客户方也将预先批准测试团队的攻击模式。在测试的那天,应该有人监视发生着什么(例如,打开了多少漏洞,点击了多少电子邮件)。最后,重要的是,在测试期间,需要知道测试团队的人随时可能发起攻击测试——是的,甚至在凌晨1点。如果试图以身体不适为借口的团队被抓住漏洞,而客户方人员没有拿起电话(通知或报警),那么在警察或安全方面,事情可能会变得有点棘手!
预防是关于人、过程、程序的
处于不同成熟度级别的公司已经有了一些人员、过程和程序来应对社会工程攻击。例如,安全操作团队可能有一个已建立的协议,用于将恶意漏洞推入沙箱(一个安全的空间,在该空间中它不会损坏网络或系统,但是该团队可以进一步测试该漏洞意味着什么,或者攻击会走多远,甚至可能向联邦调查局报告)。
或者,在第一个人报告发现钓鱼电子邮件之后,已经有一个计划来获取电子邮件中的链接,并阻止网络上任何人访问该网页。此外,一个发送警报的计划可能会在全公司范围内发布,告诉每个人攻击企图已经失败。
这显然比看到员工在办公室里转发钓鱼邮件,每个人都点击链接要好得多!这些员工用户可能会进入钓鱼网站,输入登录凭据,然后存储用户名和密码以便以后使用此网站,或者启用附件,当打开该附件时,该附件允许隐匿攻击者访问和控制员工的计算机。
社会工程成功率
一个好的测试团队将会有很高的成功率来让客户方妥协接受。这对你来说并不是一件坏事。毕竟,测试团队的报告应该为您提供后续讨论、培训,并帮助您的组织从一个安全意识的方面来提高或加强其未来的社会工程战略。
RedTeam Security在社会工程测试方面拥有丰富的经验。 《Business
Insider》在一次社会工程活动期间嵌入了我们,并发表了一篇关于它的重要报道。公司创始人Jeremiah Talamantes是《The
Social Engineer’s Playbook: A Practical Guide to Pretexting》实用指南的作者。
我们希望运用我们的专业知识来帮助您加强组织的安全性。
发表评论 取消回复