Engenharia Social

Avalie o elemento humano na proteção de dados

Visão geral

O termo "engenharia social" tem sido usado há anos pelos hackers para descrever a técnica de usar a persuasão ou artifícios para ganhar acesso a sistemas de informação. Normalmente, esse acesso é implementado através de diálogos humanos ou outros tipos de interação. O meio preferido é, geralmente, o telefone, mas a comunicação também pode ocorrer através de uma mensagem de e-mail, um comercial de televisão, ou inúmeros outros meios para provocar a reação humana. Pense em um disquete ou CD chamado "Folha de Pagamento" deixado em um corredor ou banheiro de uma organização. Essa mídia contém um código mal-intencionado. Alguém na organização poderia inserir essa mídia no computador e acessar o conteúdo

A Foundstone realiza o tipo de engenharia social mais adequado à sua organização. Nossa metodologia reflete nossa abordagem de avaliações de segurança. Começamos com a identificação do alvo e a coleta de informações, seguidas por tentativas de exploração. Aplicamos sistematicamente esses princípios, em uma abordagem adaptada aos objetivos da situação específica.

Principais Benefícios

  • Identifica os pontos fracos da organização
    A Foundstone adota uma abordagem personalizada da metodologia de avaliação de segurança.
  • Avalia a eficácia dos seus programas de sensibilização de segurança
    Seus usuários estão conscientes da segurança e se preocupam em proteger os recursos de TI da sua organização?
  • Receba recomendações sobre os próximos passos
    Entre os resultados estão um Relatório Técnico de Engenharia Social, um Resumo Executivo e um workshop de meio dia com uma apresentação de Engenharia Social.

Metodologia

Trabalhamos em conjunto com nossos clientes para definir os cenários de teste. Os cenários de teste são adaptados às políticas e aos processos específicos da organização. Algumas organizações podem ter procedimentos de reação a incidentes para denunciar telefonemas suspeitos. A Foundstone pode testar esses procedimentos, fazendo tentativas evidentes de obter informações confidenciais sem a devida autorização. Essa é uma excelente maneira de testar a eficácia de um programa de treinamento de conscientização de segurança de lançar as bases para a criação de um programa de sensibilização.

Três vetores de ataque são normalmente identificados:

  • Chamadas telefônicas para pessoas dentro da organização. Normalmente, são feitas para o help desk e pessoas específicas identificadas como funcionários essenciais da empresa.
  • E-mails de phishing cuidadosamente elaborados, dirigidos a grupos ou indivíduos específicos, tentam obter informações do destinatário.
  • Um disquete ou CD com código mal-intencionado e um rótulo atraente, como "Folha de Pagamento" ou "Resultados Preliminares de Final de Trimestre", deixado em um corredor ou banheiro especificamente definidos.

 

Independentemente do tipo de teste de engenharia social realizado, forneceremos, após a conclusão, um relatório detalhado sobre as políticas testadas e os resultados de cada tentativa de violação.