I siti McAfee Secure aiutano a proteggersi da furti di identità, frodi a danno delle carte di credito, programmi spyware, spam, virus e truffe online
Home Page AziendeServicesTechnology Consulting

Social Engineering

Valutazione del fattore umano nella protezione dei dati

Overview

Il termine “social engineering” è stato utilizzato per anni dagli hacker per descrivere la tecnica che prevede l'uso della persuasione o dell'inganno per ottenere l'accesso ai sistemi informatici. Tale accesso si ottiene solitamente attraverso la conversazione o altre interazioni. Il mezzo scelto è solitamente il telefono, ma la comunicazione desiderata può avvenire anche attraverso un messaggio e-mail, una pubblicità televisiva, o svariati altri metodi in grado di provocare una reazione umana. Si pensi ad esempio a un dischetto o a un CD chiamato “Libro paga” lasciato in un corridoio o nella toilette di un'azienda. Si supponga che in quel supporto sia contenuto del codice dannoso. Qualcuno in azienda inserirà quel supporto nel computer per accedere ai contenuti?

Foundstone attua il tipo di social engineering più adatto alla tua azienda. La nostra metodologia rispecchia il nostro approccio alle valutazioni della sicurezza. Iniziamo con la raccolta di dati identificativi e informazioni per poi proseguire con dei tentativi di attacco. Applichiamo sistematicamente questi principi a un approccio personalizzato, che dipende dagli obiettivi della situazione particolare.

Vantaggi principali

  • Identificazione delle vulnerabilità all'interno dell'azienda.
    Foundstone assume un approccio personalizzato per la metodologia della valutazione della sicurezza.
  • Quantificazione dell'efficacia dei programmi di consapevolezza a livello di sicurezza
    Gli utenti sono consapevoli dell'importanza della sicurezza e sono preparati a proteggere gli asset IT dell'azienda?
  • Raccomandazioni sui passaggi successivi
    La nostra offerta comprende un rapporto tecnico sul social engineering, un riepilogo esecutivo e un workshop della durata di mezza giornata con una presentazione sul social engineering.

Methodology

Lavoriamo fianco a fianco con il nostro cliente per definire gli scenari di test. Gli scenari di test sono studiati su misura per le policy e i processi specifici di un'azienda. Alcune aziende potrebbero aver implementato delle procedure di risposta agli incidenti con lo scopo di segnalare le telefonate sospette. Foundstone può verificare queste procedure eseguendo gli ovvi tentativi di ottenere informazioni riservate senza l'autorizzazione opportuna. Questo è un modo eccellente per verificare l'efficacia di un programma di formazione sulla consapevolezza in tema di sicurezza o per gettare le basi per creare un programma di questo tipo.

Tre comuni vettori di attacco identificati sono:

  • Telefonate ai singoli componenti dell'azienda. I possibili destinatari di queste telefonate sono anche il personale dell'help desk e persone specifiche identificate come componenti critici dell'azienda.
  • E-mail di phishing appositamente studiate, che puntano a gruppi o a individui specifici con lo scopo di carpire loro delle informazioni.
  • Un dischetto floppy o un CD contenente codice dannoso ma con un'etichetta attraente come “Libro paga” o “Risultati preliminari del trimestre,” lasciato in un corridoio o nelle toilette aziendali, in posizioni appositamente studiate.

Indipendentemente dal tipo di test di social engineering eseguito, al suo completamento forniamo un report dettagliato delle policy testate e dei risultati di ciascun tentativo di violazione.

Resources

White Paper

Auditing passwords using FSCrack (English)

This white paper presents an overview and common uses cases of FSCrack, an interface to access the primary functions of the password cracker John the Ripper.

FSCrack User Guide (English)

This white paper presents an overview of FSCrack, an interface to access the primary functions of the password cracker, John the Ripper.

Foundstone HackPack Security Tools and News Feed (English)

This user guide details the features of HackPack, a streamlined interface that allows users to track multiple security tools, get updates, and link to downloads—all from a single location.

2007 Top 10 Malicious Code Trends (English)

Look at the top malware trends for 2007, get analysis on growth rates and geographic distribution, and discover the outlook for online threats in the upcoming year.

Passive Host Characterization (English)

This presentation, delivered at ShmooCon 2008, covers the fundamentals of passive host characterization and its current uses.

Italia - Italiano