Otestujte bezpečnost firmy pomocí penetračních testů metodou sociálního inženýrství

Penetrační testy vám asi ve spojení s IT nejsou cizí. Jedná se o testy, které simulují hackerský útok a snaží se ve vašem systému nalézt zranitelnosti, které byste jinak třeba vůbec neobjevili. Vaši IT pracovníci pak nalezené zranitelnosti odstraní a vy jste opět v bezpečí. I když… ne úplně. Většina úniků citlivých informací je totiž způsobená zaměstnanci. Co tedy otestovat je?
Kybernetická bezpečnost
Otestujte bezpečnost firmy pomocí penetračních testů metodou sociálního inženýrství

Při penetračním testování metodou sociálního inženýrství se snažíme ověřit, zda zaměstnanci dodrží předepsané bezpečnostní pokyny své organizace – jestli neoprávněným lidem prozradí určité informace (třeba hesla) nebo vykonají nebezpečnou činnost (například stáhnou nebezpečný soubor).

Jinými slovy, stejně jako v případě penetračních testů softwaru, hledáme zranitelnosti. Rozdíl je v tom, že jsou tyto zranitelnosti způsobené vašimi (nepozornými) zaměstnanci.

Pikantní je, že i zaměstnanci, kteří projdou vícero školeními o kyberbezpečnosti, se nechají snadno napálit. Proto školení o kyberbezpečnosti spojte i s tímto (tajným) penetračním testováním, které je poučí více, než „pouhá“ přednáška. Každému se mnohem lépe vryje do paměti to, co sám zažije. A bezpečnější je to zažít při simulovaném než skutečném hackerském útoku.

→ Tip: Přečtěte si, jak penetrační testy pomáhají chránit vaše podnikání.

Chci otestovat bezpečnost

 

Jaké jsou možnosti testování

Penetrační testy formou sociálního inženýrství jde provést třemi způsoby:

  • E-mailem – v rámci testu vytvoříme škodlivý e-mail (obsahující malware nebo využívající phishing) a sledujeme, kolik zaměstnanců ho otevře a vykoná požadovanou činnost.
  • Telefonicky – pomocí hovoru nebo SMS se snažíme od zaměstnanců získat citlivá data nebo přístup do počítače.
  • Fyzicky – snažíme se prolomit fyzickou bezpečnost organizace, proniknout do ní a odnést z ní citlivé soubory, či do systému vpustit škodlivé. Počítá se sem i třeba prohledávání odpadků.

V ideálním případě se při penetračním testování touto metodou otestují všechny tři způsoby. Díky tomu získáme co největší přehled o firemních zranitelnostech.

 

Proč se zaměstnanci nachytají

Nejčastěji se na podvody samozřejmě nachytají zaměstnanci, kteří se příliš nevyznají v IT a nebyli proškoleni ohledně kybernetické bezpečnosti. I proškolený a obezřetný zaměstnanec ale může udělat chybu (třeba pokud je ve stresu, nevyspalý a celkově méně pozorný). Podvody jsou totiž často velmi sofistikované a působí věrohodně.

→ Tip: Zjistěte více, proč jsou proškolení zaměstnanci základem zajištění kybernetické bezpečnosti.

Chci otestovat bezpečnost

Například v případě, kdy vám falešná organizace pošle autentický e-mail, kde uvádí, že byl napaden váš účet, zároveň vám ohledně toho zavolá.

Případní podvodníci jsou profíci a vyznají se v lidské psychice. Roli zde hrají faktory jako důvěra, přirozený respekt k autoritám, snaha vyhnout se problémům a zbytečnému stresu. Proto na podvody někdy „naletí“ i jindy obezřetní jedinci. Jak moc velké riziko v tomto ohledu vaší společnosti hrozí, se dozvíte právě díky penetračnímu testu metodou sociálního inženýrství.

 

Příklad z praxe

Při provádění penetračních testů pro jednoho z našich klientů se našemu white-hat hackerovi podařilo překonat fyzickou ostrahu objektu. Nepozorován se dostal až před kanceláře klienta, kde se mu podařilo prolomit přístup do interní firemní Wi-Fi sítě. Tím jsme identifikovali hned několik problémů, které jsme vyřešili povýšením systému interních hesel a zabezpečením připojení do Wi-Fi sítě.

→ Tip: Podívejte se na případovou studii, kde popisujeme výše uvedený příklad.

Chci otestovat bezpečnost

Co dělat, až zjistíte, kde je chyba

Výsledek penetračních testů je pro vás vlastně vždycky pozitivní. Když se zranitelnosti neodhalí (což se popravdě moc nestává), máte jistotu, že je vaše zabezpečení dobré a pokud se zranitelnosti odhalí, jste o krok před případnými útočníky a můžete je eliminovat, nebo se na ně lépe připravit.

Výsledným řešením může být třeba:

  • omezení pravomocí jednotlivých zaměstnanců,
  • zamezení přístupu k určitým citlivým údajům,
  • posílení bezpečnosti a unikátnosti hesel,
  • zálohování a ukládání souborů na cloud,
  • pořízení nových antivirových programů,
  • posílení fyzického zabezpečení, aby se k vám do firmy jen tak někdo nedostal,
  • a bezpečnější likvidace dokumentů, dat na optických médiích nebo třeba přístupových karet.

Řešení bude vždy individuální podle toho, jaké zranitelnosti u vás objevíme. Nenecháme vás v tom ale samotné a pomůžeme vám vymyslet optimální zabezpečení, které zranitelnosti eliminuje v maximální míře. Napište nám a provedeme u vás penetrační testování na míru i se všemi potřebnými výstupy.

Řešení pro veřejný i komerční sektor

-
S námi už vám nikdo neohrozí data
-
S námi máte vždy IT náklady pod kontrolou
-
Dostupnost 24/7 a 100% zastupitelnost
-
Vstupní audit zdarma

Máte zájem o vyzkoušení nebo dotaz?

Máte-li nějaké dotazy, nechte nám na sebe kontakt. V pracovní době se vám nejpozději do 24 hodin ozveme. Pokud nemáte kontaktní formuláře rádi, kontaktujte nás na telefonním čísle: (+420) 270 002 811 nebo e-mailu: poptavky@totalservice.cz.
- Vaše data jsou chráněna.
Zaujal vás článek?
Sdílejte ho na sociálních sítích
<-- Zpět na blog
Jak posílíte svoji ochranu firemních dat
<--
Předchozí článek
Jak posílíte svoji ochranu firemních dat
Edge computing a mesh cloud – revoluce srovnatelná s nástupem internetu?
-->
Další článek
Edge computing a mesh cloud – revoluce srovnatelná s nástupem internetu?

Buďte s námi ve spojení

-
TOTAL SERVICE a.s.

Metropolitan Building
U Uranie 954/18
170 00 Praha 7
-

Obchodní divize

Technická divize
-

Help Desk:

helpdesk.totalservice.cz
-

Vzdálená podpora:

get.teamviewer.com/
totalservice
-

Recepce:
(+420) 270 002 811

-

Facebook
TOTAL SERVICE

Linkedin
TOTAL SERVICE

Užitečné stránky
Služby
O nás
Kontakt