Overview
"소셜 엔지니어링"이라는 용어는 정보 시스템에 대한 액세스를 확보하기 위해 설득이나 속임수를 사용하는 기술을 일컫는 해커 용어로 수년 동안 사용되어 왔습니다. 이러한 액세스는 일반적으로 대화 또는 다른 상호 작용을 통해 구현됩니다. 선택되는 매체는 일반적으로 전화이지만 이메일 메시지, TV 광고 또는 사람의 반응을 유발하는 무수한 다른 매체를 통해서도 커뮤니케이션이 이뤄질 수 있습니다. "임금 대장"이라는 레이블이 붙은 플로피 디스크나 CD를 기업의 복도나 휴게실에 놓아두는 경우를 예로 들어보겠습니다. 매체에는 약성 코드가 내재되어 있습니다. 기업 내 누군가가 이 매체를 자신의 컴퓨터에 넣고 내용에 액세스하지 않을까요?
Foundstone은 기업에 가장 적절한 유형의 소셜 엔지니어링을 수행합니다. 이 방법론에는 보안 평가에 대한 접근법이 반영되어 있습니다. 먼저 대상 파악 및 정보 수집부터 시작한 다음 공격을 시도합니다. 특정 상황의 목표에 따라 다른 맞춤형 접근법에 이 원칙을 체계적으로 적용합니다.
주요 장점
- 기업 내 취약점 파악
Foundstone은 보안 평가 방법론에 대해 맞춤형 접근법을 취합니다. - 보안 인지 프로그램의 효과 측정
사용자들이 보안에 대해 인식하고 있으며 기업의 IT 자산 보호에 중점을 둡니까? - 다음 단계 권장사항 제시
제공되는 서비스에는 소셜 엔지니어링 기술 보고서, 핵심 요약 및 소셜 엔지니어링 프레젠테이션을 실시하는 반나절 분량의 워크숍이 포함됩니다.
Methodology
당사는 고객과 긴밀하게 작업하여 테스트 시나리오를 정의합니다. 테스트 시나리오는 기업 내 특정 정책과 절차에 맞춰서 조정됩니다. 일부 기업은 의심스러운 전화 통화를 보고하기 위한 사고 대응 절차를 시행하고 있을 수 있습니다. Foundstone은 적절한 인증 없이 기밀 정보를 획득하도록 시도하여 이러한 절차를 테스트할 수 있습니다. 이는 보안 인지 교육 프로그램의 효과를 테스트하거나 이러한 인식 제고 프로그램 구현의 기초를 마련할 수 있는 좋은 방법입니다.
다음과 같은 일반적인 공격 벡터가 파악됩니다.
- 기업 내 개인에게 거는 전화 통화. 여기에는 일반적으로 중요한 회사 인력으로 파악되는 헬프 데스크 및 특정 개인이 포함됩니다.
- 수신인으로부터 정보를 획득하는 특정 그룹이나 개인을 대상으로 신중하게 제작된 피싱 이메일
- 악성 코드가 내재되어 있고 "임금 대장"이나 "기말고사 결과"와 같은 흥미를 유발하는 레이블이 붙은 플로피 디스크 또는 CD를 특정 목표 위치의 복도나 휴게실에 방치
수행하는 소셜 엔지니어링의 종류에 관계 없이, 작업이 완료되면 테스트한 정책에 대한 세부 보고서 및 시도한 각 침해의 결과를 제공합니다.