Sosyal Mühendislik sızma testi

Sızma testi, sosyal mühendislik yöntemleri kullanılarak gerçekleştirilir. isocial engineeringsocial engineeringTestin temel amacı, müşteri personelinin bilgi güvenliği gereksinimleri konusundaki farkındalık düzeyini belirlemektir. Test sürecinde, bilgi güvenliğinden sorumlu kullanıcı ve personelin, saldırganların kullandığı kurumsal sızma yöntemlerine tepkisi belirlenir.

Sosyal mühendislik teknikleri genellikle siber suçlular tarafından kullanılır ve genellikle son kullanıcıları hedef alır. Amaç genelde para değil kişisel önemli verilerin öğrenilmesidir.  Başarılı bir saldırının sonucu olarak, bir saldırgan iş istasyonları üzerinde kontrol sahibi olabilir, gizli müşteri belgeleri elde edebilir, diğer şirketlerin sistemlerine saldırı düzenlemek için müşteri kaynaklarını kullanabilir, spam gönderebilir vb.

Bilgi güvenliğinin organizasyonel yönleri, koruma sisteminin en önemli bileşenidir ve genellikle sıradan kullanıcılar en zayıf halkadır. Bu hizmet, müşterinin ilk etapta dikkat etmesi gereken bilgi güvenliğinin organizasyonel yönlerini belirlemenizi sağlayacaktır.

Bu hizmetin sunulması sırasında elde edilen sonuçlar, test sırasında belirlenen sorun alanlarına maksimum düzeyde odaklanan bir Güvenlik Bilinci Programının geliştirilmesi için temel oluşturabilir. Bu hizmet, mevcut Müşteri Farkındalık Programının etkinliğini test etmek için de yararlı olabilir.

Genel olarak iş sırası şu şekildedir:

Bilgi Toplama >> Saldırıyı Planla >> Saldırma Araçları >> Bilgileri Kullanma

Testte kullanılacak sosyal mühendislik yöntemleri müşteri ile kararlaştırılır. Örnek olarak aşağıdaki yöntemler kullanılabilir:

  • Anonim kullanıcılar ve müşteri çalışanları adına, e-postanın gövdesinde script (çalıştırılabilir kod) içeren, şifrelerin değiştirilmesi, şifrelerin veya kişisel bilgilerinizin gönderilmesi vb. için bir talep içeren, çalıştırılabilir kodlu web kaynaklarına bağlantılar içeren posta / anlık mesajlar göndermek;
  • “Temiz masa” politikasının uygulanmasının rastgele kontrolü (parola etiketleri, konsol kullanıcısının yokluğunda kilidi açma, ofiste ziyaretçilere sunulan gizli belgelerin mevcudiyeti, cep telefonları ve gözetimsiz bırakılan PDA’lar gibi);
  • Şifre alma / değiştirme, gizli belgeler gönderme vb. talepleri ile BT ve güvenlik personeli adına kullanıcılara yapılan çağrılar;
  • Hedef kullanıcı gruplarının seçimi ve her bir grup için test yöntemlerinin belirlenmesi.
  • Test etme: posta mesajları göndermek, kullanıcıları aramak, araştırma için müşterinin ofisine gitmek.
  • Müşterinin kaynaklarına yetkisiz erişim elde etmek için önceki aşamaların bir sonucu olarak elde edilen ayrıcalıkların kullanılması (bkz. Sızma Testi).
  • Çeşitli testlerin sonuçlarının analizi ve konsolidasyonu.

Çalışmanın sonucu şunları içeren bir rapor sunulur:

  • Yönetim için sonuçlar, kullanıcı farkındalığının genel bir değerlendirmesini sağlar.
  • Test metodolojisi.
  • Ana sorun alanlarının listesi (her hedef gruptaki tüm kullanıcı eylemleri hakkında bilgiler dahil).
  • Belirlenen sorun alanlarının ortadan kaldırılması için gerekli öneriler.