Выполнение аудита социальной инженерии включает в себя подготовку в несколько основных этапов. Проанализируйте риски социальной инженерии, присущие вашей деятельности и вашей организации.
Первым шагом в проведении кампании социальной инженерии является выявление основных рисков и угроз, присущих деятельности или организации компании.
Этот анализ должен, прежде всего, учитывать сектор деятельности, процессы и критические ресурсы, необходимые для надлежащего выполнения деятельности компании. Затем, учитывая все эти аспекты, встанет вопрос выявления всех рисков, которые могут нанести ущерб целям конфиденциальности, целостности, доступности и отслеживаемости — мантре любого менеджера по кибербезопасности.
Таким образом, в зависимости от отрасли и типа организации, компания может столкнуться с разными угрозами социальной инженерии:
- Хищение
- Несанкционированный доступ к информационной системе
- Получение контроля над машинами или приложениями
- Доступ к конфиденциальным данным и документам
- Паралич информационной системы и деятельности
Этот анализ рисков облегчит определение целей для тестов социальной инженерии (все сотрудники или только выборка), выбор подхода (черный ящик или серый ящик), методов и сценариев атак (попытки инициировать мошеннический перевод, фишинг, рассылка вредоносных программ, клонов интерфейсов и т. д.).
Определение целей для тестирования социальной инженерии
Как правило, аудит социальной инженерии охватывает весь персонал компании. Однако отдельные люди или группы сотрудников, в отношении их функций и ролей в информационной системе, могут быть предметом особого внимания. Действительно, определенные риски связаны со всеми сотрудниками:
- Доступ к информационной системе. Цель с точки зрения злоумышленника будет состоять в том, чтобы найти путь, по крайней мере, через одного человека. Наиболее распространенной стратегией для этого является фишинговая атака на всю рабочую силу посредством доставки вредоносного ПО или использования клонов интерфейса.
- Паралич информационной системы. В этом случае с помощью фишинговых атак, злоумышленнику нужно только то, чтобы кто-то запустил вредоносное ПО.
Однако другие риски относятся к более конкретным группам рабочей силы:
- Хищение. Здесь стратегия злоумышленника будет заключаться в том, чтобы нацелиться на уполномоченных лиц, в большинстве случаев на бухгалтерско-финансовую функцию, например, для получения оплаты по мошенническому счету.
- Доступ к конфиденциальным данным и документам. Для злоумышленника получение определенной конфиденциальной информации (архитектурные документы, финансовые данные и т. д.) предполагает нацеливание на людей, занимающих ключевые должности (генеральный директор, финансовый директор, ИТ-директор). Для этого наиболее распространенными атаками также являются фишинг и, для самых «бескомпромиссных» злоумышленников, физическое вторжение.
- Определение цели (целей) аудита социальной инженерии является решающим шагом. Следует ли оценивать поведение всех сотрудников, группы сотрудников или только одного человека перед лицом определенных атак?
Для тестирования различных методов атак, а также более сложных сценариев, рекомендуется нацеливаться на определенные конкретные группы, даже если также можно действовать путем выборки с учетом масштаба проблем. Таким образом, подход, принятый для социально-инженерного аудита, облегчит определение целей, выбор техник и построение сценариев атак.
Провести аудит социальной инженерии методом черного или серого ящика
Социально-инженерный аудит можно проводить двумя способами: черный ящик или серый ящик. В «черном ящике» команда, отвечающая за аудит, будет полагаться только на информацию из открытых источников, касающуюся целевой компании, для построения сценариев атаки, поскольку речь идет о моделировании внешней угрозы.
Этот подход основан на этапе углубленной разведки, что позволяет собирать все виды информации о компании: численность персонала, организационная структура (люди на ключевых должностях), контактные данные (адреса электронной почты, номера телефонов), местонахождение и т. д. Хорошая разведка также фокусируется на поиске информации об используемом программном обеспечении и приложениях, IP-адресах, технологиях и компонентах инфраструктуры информационной системы.
В сером поле команда, отвечающая за проведение аудита, будет иметь доступ к более высокому уровню информации для разработки сценариев атаки. Действительно, здесь речь идет о имитации любой угрозы, в том числе исходящей от сотрудника или бывшего сотрудника компании.
В этом случае сценарии, как правило, более сложные. И хотя этот подход отличается от реальности атак социальной инженерии, он все же позволяет повысить осведомленность всех групп рабочей силы.
Чтобы быть ближе к реальной атаке или повысить осведомленность о наиболее распространенных угрозах, аудит черного ящика будет более подходящим.
Чтобы убедиться, что все сотрудники подвергаются тестам социальной инженерии с различными сценариями, аудит серого ящика будет более подходящим.
Для компаний с большим оборотом также лучше выбрать подход серого ящика.