April 10, 2019

Социальная инженерия как часть тестирования на проникновение #1

Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то — стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего «этичного» хакера, с задачами, которые перед ним ставятся, и их решениями.

Intro

«Человеческий фактор» — одна из самых распространенных угроз информационной безопасности. Для снижения рисков, связанных с этим обстоятельством, используются различные технические и административные механизмы защиты. Один из них — повышение осведомленности в области ИБ. Сегодня мы с тобой поговорим о такой избитой, на первый взгляд, штуке, как социальная инженерия, а точнее — об услуге, основанной на ней. В рамках корпоративных услуг по анализу защищенности она гордо именуется «оценкой осведомленности пользователей в вопросах информационной безопасности». Как ты наверняка уже догадался, услуга подразумевает под собой проверку того, насколько хорошо сотрудники той или иной компании знакомы с информационной безопасностью, то есть общепринятыми нормами безопасного поведения в интернете. Если совсем все упростить, то можно свести смысл таких работ к следующему: этичный хакер пытается запудрить мозги пользователю, чтобы тот выполнил какое-либо действие, после чего готовит отчет по проделанной работе.

В пентесте

«А при чем тут тестирование на проникновение?» — возможно, спросишь ты. Дело в том, что социальная инженерия может быть использована потенциальным атакующим как метод проникновения в сеть организации. Вспомни Кевина Митника и истории его взломов, многие из которых были построены исключительно на low tech hacking.

В нынешних реалиях отечественной индустрии ИБ подобная услуга оказывается в двух форматах:

  • как метод внешнего тестирования на проникновение наряду с техническими методами;
  • как отдельный проект, предназначенный исключительно для оценки осведомленности персонала в вопросах ИБ.

Основная разница заключается в организационных вопросах и в отчетной документации.

Тема социальной инженерии — очень благоприятная почва для холиваров, потому что порог вхождения в low tech hacking очень низок. Естественно, «социалка» — это только небольшая часть направления low tech hacking и, наверное, единственная более-менее популярная и востребованная в РФ в качестве услуги.

Давай определимся с тем, что именно подразумевается под «оценкой осведомленности сотрудников». Этичный хакер, используя канал коммуникации с тестируемыми людьми, пытается на них повлиять: мотивирует выполнить какое-либо действие, которое потенциально может нанести ущерб компании заказчика — гипотетически (или нет) нарушить конфиденциальность, целостность или доступность охраняемой информации. Термин «канал коммуникации» в этом случае подразумевает под собой любой способ общения с тестируемым сотрудником. Если канал коммуникации не обговорен заранее, то по умолчанию подразумевается, что это корпоративная электронная почта. Думаю, суть тебе ясна. Давай перейдем к процессу организации подобных работ, и я более подробно опишу каждый из шагов на пути к мастерству в этом непростом деле.

SEBLOG v2.0 — Героический оплот честности и искренности от социальных инженеров. (Да, и такое бывает)

SEBLOG — Самая большая в мире энциклопедия статей по социальной инженерии, манипуляциям и НЛП.

Торговая площадка SEBLOG — Только проверенные временем товары и услуги.