социотехническое_тестирование_3

Март 17, 2021

Главная
Разное
социотехническое_тестирование_3

Содержание

2. С чего начинается социотехническое тестирование?
3. Для чего и как проводить такое тестирование? Социотехническое тестирование может проводиться для установления: •уровня осведомленности сотрудников
4. Соотношение цели социотехнического тестирования (социальная инженерия или СИ) и других его составляющих
5. Различные ошибки и просто любопытные моменты Ошибки, влияющие на результаты тестирования.
6. Форматы социотехнического тестирования В проектах использовались следующие форматы социотехнического тестирования: рассылка фишинговых писем со ссылкой на
7. Высокая результативность вишинга объясняется следующими моментами: Заранее известна информация, которую нужно получить Большой объем работ по
8. Кейс №1 Цель: получить информацию разной степени критичности (компания определила информацию, которую считала конфиденциальной). Легенда: сотрудника
9. Какие могут быть результаты
10. Кейс №2 Цель: оценить осведомленность сотрудников в вопросах информационной безопасности. Легенда: ознакомиться с новой системой премирования.
11. Возвращаемся к тенденциям
12. Легенды Ниже представлены основные примеры легенд: • Изменение в графике работы • Изменение в IT-системах •
13. Кейс №3 Цель: оценить осведомленность сотрудников в вопросах информационной безопасности. Легенда: проверить сервис удаленного доступа, поскольку
15. Кейс №4 Компания М время от времени организовывала социотехническое тестирование своих сотрудников. Какого-то ощутимого прогресса в
16. Кейс №5 В этом примере демонстрируем, как выявленное на ранних этапах социотехническое тестирование оказалось результативным только
17. Кейс №5
18. Итоги, проблемы и рекомендации Следует помнить о: •регулярном обучении и опросе сотрудников •понятной поставке материалов и
20. Скачать презентацию

С чего начинается социотехническое тестирование?

Для чего и как проводить такое тестирование?
Социотехническое тестирование может проводиться для установления:
•уровня

осведомленности сотрудников и их практических навыков в распознавании социотехнических атак
•эффективности функционирования систем обеспечения информационной безопасности
•уровня подготовки сотрудников ИТ- и ИБ-отделов к выявлению и реагированию на социотехнические атаки (уровень осведомленности в вопросах безопасности данных сотрудников выше, что повышает сложность тестирования)
•возможности компрометации инфраструктуры (социотехническое тестирование может применяться для тестирования на проникновение)

Слайд 4

Соотношение цели социотехнического тестирования (социальная инженерия или СИ) и других его составляющих

Слайд 5

Различные ошибки и просто любопытные моменты
Ошибки, влияющие на результаты тестирования.

Слайд 6

Форматы социотехнического тестирования
В проектах использовались следующие форматы социотехнического тестирования:
рассылка фишинговых писем со

ссылкой на поддельный ресурс — 52%
рассылка фишинговых писем с исполняемым вложением — 36%
телефонные звонки (вишинг) — 12%

Слайд 7

Высокая результативность вишинга объясняется следующими моментами:
Заранее известна информация, которую нужно получить
Большой объем

работ по сбору информации о сотрудниках и компании, которая используется для формирования легенды и сценария разговора
В разговоре используется информация, которая указывает на осведомленность эксперта во внутренних процессах компании
Эксперт демонстрирует эмоциональную заинтересованность в сложившейся ситуации или схожие интересы, чтобы притупить внимание собеседника

Слайд 8

Кейс №1
Цель: получить информацию разной степени критичности (компания определила информацию, которую считала конфиденциальной). Легенда: сотрудника

уведомляют об инциденте ИБ — его пропуск использовали для несанкционированного прохода через СКУД в хранилище М. Служба безопасности расследует инцидент и звонит, чтобы узнать текущее местоположение пропуска, где находился пропуск в рабочее время, существуют ли альтернативные способы для прохождения СКУД. Звонят в нерабочее время (выходной день). Эксперт должен убедить сотрудника проверить доменную учетную запись на факт компрометации — сотрудника просят аутентифицироваться на резервном портале (фишинговый ресурс).
Количество участников и инфраструктура под спойлером
Количество участников: 50 человек. Инфраструктура: поддельный домен, поддельный корпоративный портал, который при вводе учетных данных перенаправлял сотрудника на оригинальный портал.
Вернемся к Татьяне Игоревне и информации, которую она предоставила за время разговора:
использует пропуск и специальный браслет для прохождения СКУД
пропуск и браслет находятся дома
использует корпоративную электронную почту дома
предоставила свои учетные данные, введя их на фишинговом ресурсе: 02.03.2020 13:48:25#0.2.0.2#ida****:rsa****55#Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.121 YaBrowser/19.3.1.828 Yowser/2.5 Safari/537.36

Компания остановила тестирование сотрудников после того как:

•29 телефонных взаимодействий было нами произведено;
•23 сотрудника раскрыли конфиденциальную информацию различного уровня критичности.

Слайд 9

Какие могут быть результаты

Слайд 10

Кейс №2
Цель: оценить осведомленность сотрудников в вопросах информационной безопасности.
Легенда: ознакомиться с новой

системой премирования. К письму прилагался документ «Премии.xls».
Количество участников и инфраструктура под спойлером
Количество участников: 75 человек.
Инфраструктура: поддельный домен, поддельный почтовый адрес (якобы принадлежащий отделу по работе с персоналом), вредоносная нагрузка, которая выполнялась в ОС удаленного компьютера, обеспечивала соединение с ним и собирала данные о конфигурации ОС.
За время тестирования удалось успешно подключиться к компьютерам 11 сотрудников (14% участников). Столкнувшись якобы с проблемой в работе документа, сотрудники вступали в переписку с экспертами — в том числе и не заявленные в тестировании сотрудники.

ПРИМЕР ПЕРЕПИСКИ

Слайд 11

Возвращаемся к тенденциям

Слайд 12

Легенды
Ниже представлены основные примеры легенд:
• Изменение в графике работы
• Изменение в IT-системах
• Система премирования
• Скидки и

бонусы
• События в компании

Слайд 13

Кейс №3
Цель: оценить осведомленность сотрудников в вопросах информационной безопасности. Легенда: проверить сервис удаленного доступа, поскольку

сотрудники переходят на удаленную работу из-за COVID-19. Для проверки доступа надо ввести учетные данные от рабочего компьютера на фишинговой странице, которая копировала страницу входа на VPN-портал.
Количество участников и инфраструктура под спойлером
Количество участников: 150 человек. Инфраструктура: поддельный домен, поддельный почтовый адрес (якобы принадлежащий ИТ-отделу), поддельная страница входа на VPN-портал.

Слайд 14

Слайд 15

Кейс №4
Компания М время от времени организовывала социотехническое тестирование своих сотрудников. Какого-то

ощутимого прогресса в знаниях основ информационной безопасности не наблюдалось: сотрудники продолжали переходить по ссылкам, вступать в переписку и выполнять просьбы. Чтобы продемонстрировать, что положительная динамика возможна только при регулярном тестировании, решили провести четыре социотехнических тестирования в течение года (в начале каждого квартала). Все тестирования проводились в одном формате, но под разными легендами, а участвовали в них сотрудники одного подразделения. Результат регулярного тестирования оказался таким же, как и у нерегулярного: сотрудники переходили по ссылкам, вступали в переписку и раскрывали конфиденциальную информацию. Результативность отдельного тестирования в большей степени определялась актуальностью легенды. В 3 квартале легенда с COVID-19 заставила людей забыть о тренингах, наставлениях и рекомендациях.

Слайд 16

Кейс №5
В этом примере демонстрируем, как выявленное на ранних этапах социотехническое тестирование

оказалось результативным только из-за того, что сотрудники, распознавшие тестирование, не оповестили о нем коллег. Цель: получить валидные учетные данные сотрудников. Легенда: проверить наличие доступа к новому корпоративному порталу.
Количество участников и инфраструктура под спойлером
Количество участников: 200 человек. Инфраструктура: поддельный домен, поддельный почтовый адрес (якобы принадлежащий отделу техподдержки), поддельный корпоративный портал, который при вводе учетных данных перенаправлял сотрудника на оригинальный портал.
Активная фаза социотехнического тестирования началась 11 февраля 2020 года в 13:30 (МСК). Первые учетные данные мы получили через 4 минуты:

Слайд 17

Кейс №5

Слайд 18

Итоги, проблемы и рекомендации
Следует помнить о:
•регулярном обучении и опросе сотрудников
•понятной поставке материалов

и гайдов (Вики-страницы, видео и т.п.)
•обязательной двухфакторной аутентификации
•разграничении доступа и минимизации прав пользователей
•хорошей фильтрации электронной почты
•средствах защиты от целенаправленных атак