Při penetračním testování metodou sociálního inženýrství se snažíme ověřit, zda zaměstnanci dodrží předepsané bezpečnostní pokyny své organizace – jestli neoprávněným lidem prozradí určité informace (třeba hesla) nebo vykonají nebezpečnou činnost (například stáhnou nebezpečný soubor).
Jinými slovy, stejně jako v případě penetračních testů softwaru, hledáme zranitelnosti. Rozdíl je v tom, že jsou tyto zranitelnosti způsobené vašimi (nepozornými) zaměstnanci.
Pikantní je, že i zaměstnanci, kteří projdou vícero školeními o kyberbezpečnosti, se nechají snadno napálit. Proto školení o kyberbezpečnosti spojte i s tímto (tajným) penetračním testováním, které je poučí více, než „pouhá“ přednáška. Každému se mnohem lépe vryje do paměti to, co sám zažije. A bezpečnější je to zažít při simulovaném než skutečném hackerském útoku.
→ Tip: Přečtěte si, jak penetrační testy pomáhají chránit vaše podnikání.
Jaké jsou možnosti testování
Penetrační testy formou sociálního inženýrství jde provést třemi způsoby:
- E-mailem – v rámci testu vytvoříme škodlivý e-mail (obsahující malware nebo využívající phishing) a sledujeme, kolik zaměstnanců ho otevře a vykoná požadovanou činnost.
- Telefonicky – pomocí hovoru nebo SMS se snažíme od zaměstnanců získat citlivá data nebo přístup do počítače.
- Fyzicky – snažíme se prolomit fyzickou bezpečnost organizace, proniknout do ní a odnést z ní citlivé soubory, či do systému vpustit škodlivé. Počítá se sem i třeba prohledávání odpadků.
V ideálním případě se při penetračním testování touto metodou otestují všechny tři způsoby. Díky tomu získáme co největší přehled o firemních zranitelnostech.
Proč se zaměstnanci nachytají
Nejčastěji se na podvody samozřejmě nachytají zaměstnanci, kteří se příliš nevyznají v IT a nebyli proškoleni ohledně kybernetické bezpečnosti. I proškolený a obezřetný zaměstnanec ale může udělat chybu (třeba pokud je ve stresu, nevyspalý a celkově méně pozorný). Podvody jsou totiž často velmi sofistikované a působí věrohodně.
→ Tip: Zjistěte více, proč jsou proškolení zaměstnanci základem zajištění kybernetické bezpečnosti.
Například v případě, kdy vám falešná organizace pošle autentický e-mail, kde uvádí, že byl napaden váš účet, zároveň vám ohledně toho zavolá.
Případní podvodníci jsou profíci a vyznají se v lidské psychice. Roli zde hrají faktory jako důvěra, přirozený respekt k autoritám, snaha vyhnout se problémům a zbytečnému stresu. Proto na podvody někdy „naletí“ i jindy obezřetní jedinci. Jak moc velké riziko v tomto ohledu vaší společnosti hrozí, se dozvíte právě díky penetračnímu testu metodou sociálního inženýrství.
Příklad z praxe
Při provádění penetračních testů pro jednoho z našich klientů se našemu white-hat hackerovi podařilo překonat fyzickou ostrahu objektu. Nepozorován se dostal až před kanceláře klienta, kde se mu podařilo prolomit přístup do interní firemní Wi-Fi sítě. Tím jsme identifikovali hned několik problémů, které jsme vyřešili povýšením systému interních hesel a zabezpečením připojení do Wi-Fi sítě.
→ Tip: Podívejte se na případovou studii, kde popisujeme výše uvedený příklad.
Co dělat, až zjistíte, kde je chyba
Výsledek penetračních testů je pro vás vlastně vždycky pozitivní. Když se zranitelnosti neodhalí (což se popravdě moc nestává), máte jistotu, že je vaše zabezpečení dobré a pokud se zranitelnosti odhalí, jste o krok před případnými útočníky a můžete je eliminovat, nebo se na ně lépe připravit.
Výsledným řešením může být třeba:
- omezení pravomocí jednotlivých zaměstnanců,
- zamezení přístupu k určitým citlivým údajům,
- posílení bezpečnosti a unikátnosti hesel,
- zálohování a ukládání souborů na cloud,
- pořízení nových antivirových programů,
- posílení fyzického zabezpečení, aby se k vám do firmy jen tak někdo nedostal,
- a bezpečnější likvidace dokumentů, dat na optických médiích nebo třeba přístupových karet.
Řešení bude vždy individuální podle toho, jaké zranitelnosti u vás objevíme. Nenecháme vás v tom ale samotné a pomůžeme vám vymyslet optimální zabezpečení, které zranitelnosti eliminuje v maximální míře. Napište nám a provedeme u vás penetrační testování na míru i se všemi potřebnými výstupy.