Социотехнический тест на проникновение
Продукт снят с продаж.
Для получения консультации по подбору аналогичного продукта обратитесь через онлайн-консультант, форму обратной связи или отправьте письмо по электронной почте на адрес info@datasystem.ru
Тест на проникновение проводится с использованием методов социальной инженерии (Social Engineering). Основной целью проведения теста является выявление уровня осведомленности персонала Заказчика о требованиях по информационной безопасности. В процессе проведения тестирования определяется реакция пользователей и персонала ответственного за информационную безопасность на организационные методы проникновения, используемые злоумышленниками.
Методы социальной инженерии достаточно часто используются злоумышленниками и направлены, как правило, на конечных пользователей. В результате успешной атаки злоумышленник может получить контроль над рабочими станциями, получить конфиденциальные документы Заказчика, использовать ресурсы Заказчика для организации атак на системы других компаний, рассылки спама и пр.
Организационные аспекты ИБ являются важнейшей составляющей системы защиты и, часто, обычные пользователи являются самым слабым звеном. Данная услуга позволит выявить те организационные аспекты ИБ, на которые Заказчику следует обратить внимание в первую очередь.
Результаты, полученные в ходе оказания данной услуги, могут стать основой для разработки Программы повышения осведомленности (Security Awareness Program), максимально ориентированной на проблемные области, выявленные в ходе тестирования. Данная услуга также может быть полезна для проверки эффективности действующей Программы осведомленности Заказчика.
В общем случае порядок проведения работ следующий:
- С Заказчиком согласовываются методы социальной инженерии, которые будут использованы при проведении теста. Могут быть использованы следующие методы:
- рассылка почтовых/IM сообщений от имени анонимных пользователей и сотрудников Заказчика, содержащих ссылки на Web-ресурсы с исполняемым кодом, содержащие исполняемый код в теле письма, содержащие просьбу сменить пароли, переслать пароли или свою персональную информацию и пр.;
- выборочная проверка исполнения политики "чистого стола" (стикеры с паролями, незаблокированные в отсутствие пользователя консоли, наличие конфиденциальных документов в офисе, доступных посетителям, оставленные без присмотра сотовые телефоны и КПК);
- звонки пользователям от имени ИТ и ИБ персонала с просьбами получения/смены пароля, пересылки конфиденциальных документов и пр.
- Выбор целевых групп пользователей и определение методов тестирования для каждой из групп.
- Проведение теста: рассылка почтовых сообщений, звонки пользователям, выезд в офис Заказчика для проведения исследования.
- Использование полученных в результате предыдущих этапов привилегий для получения несанкционированного доступа к ресурсам Заказчика (см. Технологический тест на проникновение).
- Анализ и консолидация результатов различных тестов.
Результатом работы будет являться отчет, содержащий:
- Выводы для руководства, содержащие общую оценку уровня осведомленности пользователей.
- Методику проведения теста.
- Перечень основных проблемных областей (включая информацию по всем действиям пользователей в каждой целевой группе).
- Рекомендации по устранению выявленных проблемных областей.
Логическим продолжением теста на проникновение могут являться работы:
- Разработка программы повышения осведомленности в области ИБ
- Внедрение системы управления ИБ (СУИБ)