Social Engineering auditok

A Social Engineering olyan támadási technikák gyűjteménye, melyek a biztonság leggyengébb láncszemének, az emberi tényezőnek a kihasználására építve próbálnak meg olyan érzékeny információk birtokába jutni, melyekkel akár üzleti veszteséget is okozhatnak a vállalatnak. Az ilyen jellegű támadásokkal szembeni egyetlen hatékony védekezési lehetőség a munkavállalók biztonságtudatossági szintjének felmérése és célirányos fejlesztése, valamint a felhasználókra vonatkozó szabályzatok és kontrollok hiányosságainak, nem-megfelelősségeinek azonosítása.


SE 1A GRID Zrt. Social Engineering audit szolgáltatásának keretein belül a munkavállalók biztonságtudatosságának aktuális szintje hatékonyan felmérhető és fejleszthető – a biztonságtudatos munkatársak pedig nem csak az incidensek jelentette kockázatok csökkentésében játszanak szerepet, hanem akár üzleti előnyt is jelentenek.

A vizsgálat során nem csak az emberi tényező információbiztonsági ismereteinek hiányosságait, valamint fejlesztési lehetőségeit azonosítjuk, hanem

  • a bevezetett védelmi intézkedésekben,
  • érvényben levő szabályozásban és
  • folyamatokban rejlő nem-megfelelőségeket, fejlesztési lehetőségeket is.

 

Hogyan segíthetünk?

  • Összegyűjtjük a vizsgált szervezetről, illetve munkavállalóiról nyilvánosan elérhető, egy potenciális támadó által felhasználható információkat.
  • Social Media Engineering esetében megvizsgáljuk, mennyire ellenállóak a munkavállalók a közösségi médián keresztül érkező támadásokkal szemben.
  • Felmérjük az épület fizikai biztonságát, megkíséreljük az épületbe történő jogosulatlan behatolást.
  • Az épületben való tartózkodás során ellenőrizzük az információbiztonsági előírások, szabályzatokban foglaltak betartását.
  • Vizsgáljuk az adatlopás, eszközök eltulajdoníthatóságának lehetőségét.
  • Megpróbálunk bizalmas vagy érzékeny belső információkat megszerezni az épületben tartózkodás során.
  • Végrehajtunk olyan támadásokat, melyek a munkatársak telefonon keresztüli megtévesztésére irányulnak, elkérünk tőlük például jelszót, vagy valamilyen érzékeny adatokat tartalmazó dokumentumot.
  • Vizsgáljuk a kártékony programok terjedési lehetőségeit, illetve az emberi tényező jelentette kockázatot, ehhez elektronikus levélben vagy közösségi oldalon küldünk be fertőzött csatolmányt szimuláló fájlokat és linkeket.
  • Adathalászat során megkíséreljük összegyűjteni a munkavállalók céges felhasználónevét és jelszavát.

 

Az audit eredményei

A Social Engineering audit eredménye alapként szolgál a további biztonsági intézkedések kialakításához, kiegészítéséhez, illetve növeli azok hatékonyságát, eredményes alkalmazását, továbbá példaként szolgálhat a későbbiekben esetlegesen megszervezésre kerülő biztonságtudatossági oktatáson elhangzó ismeretekhez. Tapasztalataink alapján azon vállalatok esetén, ahol végrehajtásra került Social Engineering jellegű vizsgálat, melynek eredményei prezentálásra kerültek a munkavállalók számára, pozitív irányt vett a felhasználók információbiztonsághoz való hozzáállása és biztonságtudatosságuk szintje.

Az audit eredményeként a következő dokumentumok kerülnek átadásra:

  • Auditjelentés, mely tartalmazza a következőket:
    •           Szimulált támadások és eredményeinek  bemutatása
    •           Azonosított hiányosságok, nem-megfelelőségek
    •           Fejlesztési lehetőségek, javaslatok
    •           Evidenciák
  • Social Engineering kockázatelemzés

 

Szolgáltatásunk

A Social Engineering auditok keretein belül végrehajtható vizsgálati pontokat tapasztalataink alapján négy szolgáltatáscsomagba soroltuk be, melyek a következők:

  • Minimális vizsgálat:

Bemutató jellegű audit, melynek célja rávilágítani arra, hogy melyek az alapvető biztonságtudatossági hiányosságok, hiányzó vagy nem megfelelő védelmi intézkedések. Az audit végrehajtása után lehetőség van a csomag bővítésére, illetve már ennek eredményei is hatékony segítséget jelentek a biztonságtudatosság fejlesztéséhez.

  • Alapszintű vizsgálat:

Ezen vizsgálati csomagban szereplő auditpontok a legjellemzőbb, a munkavállalók ellen irányuló általános támadási technikákat foglalják magukban. A vizsgálat célja, hogy az eredmények, tapasztalatok alapján a biztonsági intézkedések, illetve a biztonságtudatosság már hatékonyan fejleszthető.

  • Javasolt vizsgálat:

A „Javasolt” vizsgálati csomag eddigi projekt tapasztalataink és a legjobb gyakorlat alapján összeállított auditprogramot tartalmazza, részletesen feltárja a szervezetnél fennálló, emberi tényezőhöz kapcsolódó biztonsági kockázatokat. Mindezek megvalósítása során az információbiztonsági szempontból releváns szabályzatok is áttekintésre, véleményezésre kerülnek.

  • Teljes vizsgálat:

A teljes vizsgálat során mélyrehatóan és teljeskörűen azonosítjuk az emberi tényező kihasználható tulajdonságaiban rejlő kockázatokat. Ezen szolgáltatás keretein belül kiemelt figyelmet fordítunk a Social Media és más aktuális, új trendek vizsgálatára is, annak érdekében, hogy az ezek alkalmazása jelentette kockázatot időben azonosítani és csökkenteni lehessen.

Természetesen ezeken kívül egyedi, ügyfél igényekre specializált audit program csomagok is végrehajtásra kerülnek, ehhez előzetes ajánlatkérés és konzultáció szükséges.