Social Engineering

Valutazione del fattore umano nella protezione dei dati

Overview

Il termine “social engineering” è stato utilizzato per anni dagli hacker per descrivere la tecnica che prevede l'uso della persuasione o dell'inganno per ottenere l'accesso ai sistemi informatici. Tale accesso si ottiene solitamente attraverso la conversazione o altre interazioni. Il mezzo scelto è solitamente il telefono, ma la comunicazione desiderata può avvenire anche attraverso un messaggio e-mail, una pubblicità televisiva, o svariati altri metodi in grado di provocare una reazione umana. Si pensi ad esempio a un dischetto o a un CD chiamato “Libro paga” lasciato in un corridoio o nella toilette di un'azienda. Si supponga che in quel supporto sia contenuto del codice dannoso. Qualcuno in azienda inserirà quel supporto nel computer per accedere ai contenuti?

Foundstone attua il tipo di social engineering più adatto alla tua azienda. La nostra metodologia rispecchia il nostro approccio alle valutazioni della sicurezza. Iniziamo con la raccolta di dati identificativi e informazioni per poi proseguire con dei tentativi di attacco. Applichiamo sistematicamente questi principi a un approccio personalizzato, che dipende dagli obiettivi della situazione particolare.

Vantaggi principali

  • Identificazione delle vulnerabilità all'interno dell'azienda.
    Foundstone assume un approccio personalizzato per la metodologia della valutazione della sicurezza.
  • Quantificazione dell'efficacia dei programmi di consapevolezza a livello di sicurezza
    Gli utenti sono consapevoli dell'importanza della sicurezza e sono preparati a proteggere gli asset IT dell'azienda?
  • Raccomandazioni sui passaggi successivi
    La nostra offerta comprende un rapporto tecnico sul social engineering, un riepilogo esecutivo e un workshop della durata di mezza giornata con una presentazione sul social engineering.

Methodology

Lavoriamo fianco a fianco con il nostro cliente per definire gli scenari di test. Gli scenari di test sono studiati su misura per le policy e i processi specifici di un'azienda. Alcune aziende potrebbero aver implementato delle procedure di risposta agli incidenti con lo scopo di segnalare le telefonate sospette. Foundstone può verificare queste procedure eseguendo gli ovvi tentativi di ottenere informazioni riservate senza l'autorizzazione opportuna. Questo è un modo eccellente per verificare l'efficacia di un programma di formazione sulla consapevolezza in tema di sicurezza o per gettare le basi per creare un programma di questo tipo.

Tre comuni vettori di attacco identificati sono:

  • Telefonate ai singoli componenti dell'azienda. I possibili destinatari di queste telefonate sono anche il personale dell'help desk e persone specifiche identificate come componenti critici dell'azienda.
  • E-mail di phishing appositamente studiate, che puntano a gruppi o a individui specifici con lo scopo di carpire loro delle informazioni.
  • Un dischetto floppy o un CD contenente codice dannoso ma con un'etichetta attraente come “Libro paga” o “Risultati preliminari del trimestre,” lasciato in un corridoio o nelle toilette aziendali, in posizioni appositamente studiate.

 

Indipendentemente dal tipo di test di social engineering eseguito, al suo completamento forniamo un report dettagliato delle policy testate e dei risultati di ciascun tentativo di violazione.