социотехническое_тестирование_3

Содержание

Слайд 2

С чего начинается социотехническое тестирование?

С чего начинается социотехническое тестирование?

Слайд 3

Для чего и как проводить такое тестирование?

Социотехническое тестирование может проводиться для установления:
•уровня

Для чего и как проводить такое тестирование? Социотехническое тестирование может проводиться для
осведомленности сотрудников и их практических навыков в распознавании социотехнических атак
•эффективности функционирования систем обеспечения информационной безопасности
•уровня подготовки сотрудников ИТ- и ИБ-отделов к выявлению и реагированию на социотехнические атаки (уровень осведомленности в вопросах безопасности данных сотрудников выше, что повышает сложность тестирования)
•возможности компрометации инфраструктуры (социотехническое тестирование может применяться для тестирования на проникновение)

Слайд 4

Соотношение цели социотехнического тестирования (социальная инженерия или СИ) и других его составляющих

Соотношение цели социотехнического тестирования (социальная инженерия или СИ) и других его составляющих

Слайд 5

Различные ошибки и просто любопытные моменты

Ошибки, влияющие на результаты тестирования.

Различные ошибки и просто любопытные моменты Ошибки, влияющие на результаты тестирования.

Слайд 6

Форматы социотехнического тестирования

В проектах использовались следующие форматы социотехнического тестирования:
рассылка фишинговых писем со

Форматы социотехнического тестирования В проектах использовались следующие форматы социотехнического тестирования: рассылка фишинговых
ссылкой на поддельный ресурс — 52%
рассылка фишинговых писем с исполняемым вложением — 36%
телефонные звонки (вишинг) — 12%

Слайд 7

Высокая результативность вишинга объясняется следующими моментами:

Заранее известна информация, которую нужно получить
Большой объем

Высокая результативность вишинга объясняется следующими моментами: Заранее известна информация, которую нужно получить
работ по сбору информации о сотрудниках и компании, которая используется для формирования легенды и сценария разговора
В разговоре используется информация, которая указывает на осведомленность эксперта во внутренних процессах компании
Эксперт демонстрирует эмоциональную заинтересованность в сложившейся ситуации или схожие интересы, чтобы притупить внимание собеседника

Слайд 8

Кейс №1

Цель: получить информацию разной степени критичности (компания определила информацию, которую считала конфиденциальной). Легенда: сотрудника

Кейс №1 Цель: получить информацию разной степени критичности (компания определила информацию, которую
уведомляют об инциденте ИБ — его пропуск использовали для несанкционированного прохода через СКУД в хранилище М. Служба безопасности расследует инцидент и звонит, чтобы узнать текущее местоположение пропуска, где находился пропуск в рабочее время, существуют ли альтернативные способы для прохождения СКУД. Звонят в нерабочее время (выходной день). Эксперт должен убедить сотрудника проверить доменную учетную запись на факт компрометации — сотрудника просят аутентифицироваться на резервном портале (фишинговый ресурс).
Количество участников и инфраструктура под спойлером
Количество участников: 50 человек. Инфраструктура: поддельный домен, поддельный корпоративный портал, который при вводе учетных данных перенаправлял сотрудника на оригинальный портал.
Вернемся к Татьяне Игоревне и информации, которую она предоставила за время разговора:
использует пропуск и специальный браслет для прохождения СКУД
пропуск и браслет находятся дома
использует корпоративную электронную почту дома
предоставила свои учетные данные, введя их на фишинговом ресурсе: 02.03.2020 13:48:25#0.2.0.2#ida****:rsa****55#Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.121 YaBrowser/19.3.1.828 Yowser/2.5 Safari/537.36

Компания остановила тестирование сотрудников после того как:

•29 телефонных взаимодействий было нами произведено;
•23 сотрудника раскрыли конфиденциальную информацию различного уровня критичности.

Слайд 9

Какие могут быть результаты

Какие могут быть результаты

Слайд 10

Кейс №2

Цель: оценить осведомленность сотрудников в вопросах информационной безопасности.
Легенда: ознакомиться с новой

Кейс №2 Цель: оценить осведомленность сотрудников в вопросах информационной безопасности. Легенда: ознакомиться
системой премирования. К письму прилагался документ «Премии.xls».
Количество участников и инфраструктура под спойлером
Количество участников: 75 человек.
Инфраструктура: поддельный домен, поддельный почтовый адрес (якобы принадлежащий отделу по работе с персоналом), вредоносная нагрузка, которая выполнялась в ОС удаленного компьютера, обеспечивала соединение с ним и собирала данные о конфигурации ОС.
За время тестирования удалось успешно подключиться к компьютерам 11 сотрудников (14% участников). Столкнувшись якобы с проблемой в работе документа, сотрудники вступали в переписку с экспертами — в том числе и не заявленные в тестировании сотрудники.

ПРИМЕР ПЕРЕПИСКИ

Слайд 11

Возвращаемся к тенденциям

Возвращаемся к тенденциям

Слайд 12

Легенды

Ниже представлены основные примеры легенд:
• Изменение в графике работы
• Изменение в IT-системах
• Система премирования
• Скидки и

Легенды Ниже представлены основные примеры легенд: • Изменение в графике работы •
бонусы
• События в компании

Слайд 13

Кейс №3

Цель: оценить осведомленность сотрудников в вопросах информационной безопасности. Легенда: проверить сервис удаленного доступа, поскольку

Кейс №3 Цель: оценить осведомленность сотрудников в вопросах информационной безопасности. Легенда: проверить
сотрудники переходят на удаленную работу из-за COVID-19. Для проверки доступа надо ввести учетные данные от рабочего компьютера на фишинговой странице, которая копировала страницу входа на VPN-портал.
Количество участников и инфраструктура под спойлером
Количество участников: 150 человек. Инфраструктура: поддельный домен, поддельный почтовый адрес (якобы принадлежащий ИТ-отделу), поддельная страница входа на VPN-портал.

Слайд 15

Кейс №4

Компания М время от времени организовывала социотехническое тестирование своих сотрудников. Какого-то

Кейс №4 Компания М время от времени организовывала социотехническое тестирование своих сотрудников.
ощутимого прогресса в знаниях основ информационной безопасности не наблюдалось: сотрудники продолжали переходить по ссылкам, вступать в переписку и выполнять просьбы. Чтобы продемонстрировать, что положительная динамика возможна только при регулярном тестировании, решили провести четыре социотехнических тестирования в течение года (в начале каждого квартала). Все тестирования проводились в одном формате, но под разными легендами, а участвовали в них сотрудники одного подразделения. Результат регулярного тестирования оказался таким же, как и у нерегулярного: сотрудники переходили по ссылкам, вступали в переписку и раскрывали конфиденциальную информацию. Результативность отдельного тестирования в большей степени определялась актуальностью легенды. В 3 квартале легенда с COVID-19 заставила людей забыть о тренингах, наставлениях и рекомендациях.

Слайд 16

Кейс №5

В этом примере демонстрируем, как выявленное на ранних этапах социотехническое тестирование

Кейс №5 В этом примере демонстрируем, как выявленное на ранних этапах социотехническое
оказалось результативным только из-за того, что сотрудники, распознавшие тестирование, не оповестили о нем коллег. Цель: получить валидные учетные данные сотрудников. Легенда: проверить наличие доступа к новому корпоративному порталу.
Количество участников и инфраструктура под спойлером
Количество участников: 200 человек. Инфраструктура: поддельный домен, поддельный почтовый адрес (якобы принадлежащий отделу техподдержки), поддельный корпоративный портал, который при вводе учетных данных перенаправлял сотрудника на оригинальный портал.
Активная фаза социотехнического тестирования началась 11 февраля 2020 года в 13:30 (МСК). Первые учетные данные мы получили через 4 минуты:

Слайд 17

Кейс №5

Кейс №5

Слайд 18

Итоги, проблемы и рекомендации

Следует помнить о:
•регулярном обучении и опросе сотрудников
•понятной поставке материалов

Итоги, проблемы и рекомендации Следует помнить о: •регулярном обучении и опросе сотрудников
и гайдов (Вики-страницы, видео и т.п.)
•обязательной двухфакторной аутентификации
•разграничении доступа и минимизации прав пользователей
•хорошей фильтрации электронной почты
•средствах защиты от целенаправленных атак
Имя файла: социотехническое_тестирование_3.pptx
Количество просмотров: 51
Количество скачиваний: 0