Этап построения сценария атаки является ключевым этапом аудита социальной инженерии. Это будет результатом выявленных рисков, установленных целей и подхода, принятого для испытаний.
Моделирование внешней атаки «черный ящик»
В рамках аудита методом «черного ящика» цель будет состоять в том, чтобы выявить наиболее критические недостатки, чтобы сделать человека или группу сотрудников осведомленными о наиболее распространенных рисках социальной инженерии.
Для этого необходимо разработать заслуживающий доверия сценарий атаки. Здесь команда, отвечающая за аудит социальной инженерии, в роли внешнего злоумышленника обычно строит сценарии, основанные на взаимодействии с внешним по отношению к компании лицом. Действительно, в этом сценарии выдать себя за сотрудников компании сложнее (но не невозможно) с учетом «предполагаемого» низкого уровня знаний организации при внешней атаке.
Оценка внутренних угроз «серого ящика»
В рамках аудита серого ящика цель будет заключаться в том, чтобы все или некоторые сотрудники были осведомлены о различных типах угроз.
Для этого необходима реализация более изощренных сценариев атак. Стандартные сценарии также могут быть разработаны для оценки рисков. Здесь команда, отвечающая за аудит, в роли внутреннего злоумышленника или сообщника — следовательно, с высоким уровнем информации — обычно строит очень сложные сценарии, связанные с внутренними новостями.
Выбор техники атаки
Выбор методов атаки, как правило, зависит от выбранных сценариев или цели аудита социальной инженерии, в частности, если речь идет о подверженности целей различным атакам.
Поскольку фишинговые атаки являются наиболее распространенными, их следует выбирать в первую очередь. Чтобы укрепить доверие и увеличить шансы на успех, следует серьезно рассмотреть возможность целевого фишинга, включающего ссылки на клоны интерфейса или вложения вредоносного ПО.
Однако для оценки всех рисков и, соответственно, повышения осведомленности о внешних угрозах можно проводить вишинг-атаки. Кроме того, учитывая организацию компании и важность определенных процессов или ресурсов, необходимо учитывать методы физического вторжения.
Интернализация или аутсорсинг аудита
Существуют SaaS-приложения для настройки и запуска фишинговых кампаний. Эти инструменты используют различные функции для управления отправкой электронной почты, отслеживания открытий и кликов по ссылкам или загрузки вложений. Таким образом, внедрение этого типа инструмента управления кампанией социальной инженерии является одним из вариантов, а использование компании, специализирующейся на наступательной безопасности, — другим.
Как использовать результаты социально-инженерного аудита?
Любой социально-инженерный аудит, помимо успешности или неуспешности атак, должен предоставлять индикаторы поведения целевых сотрудников в данный момент времени, позволять измерять их развитие во времени и применять адаптированные меры.
Каковы ключевые показатели после фишинговой кампании?
- Открытие электронных писем: этот индикатор ненадежен, потому что чтение электронной почты не представляет никакого риска, если после этого не предпринимаются никакие другие действия.
- Нажатие на ссылку или вложение: этот индикатор надежен и сообщает очень важную информацию, которую необходимо принять во внимание. Даже если пользователь не вводит свои учетные данные или не запускает файл, щелчок остается рискованным поведением, которое необходимо устранять с помощью соответствующих превентивных мер.
- Рискованное действие (ввод ваших идентификаторов или выполнение полезной нагрузки): этот показатель является ключевыми данными. Это является доказательством критического или важного недостатка и, следовательно, отсутствия осведомленности о рисках тех, кто клюнул на приманку. По сути, это ключевой показатель в контексте аудита социальной инженерии.
- Отчеты об атаках: этот показатель также очень важен, поскольку он дает уроки о способности пользователей делиться информацией об их успехах в выявлении атаки, не попадая в ловушку, что во всех случаях помогает защитить бизнес. Действительно, чем больше целевых людей сообщают об атаках, тем больше они участвуют в распространении культуры кибербезопасности в своей компании.
Кроме того, особенно рекомендуется связать индикатор отчетности с индикатором рискованных действий, потому что человек, ставший жертвой атаки и дающий предупреждение о ней, позволяет компании быстро и эффективно реагировать на опасность.