+7(495)648-35-00

Социотехническое тестирование систем безопасности

29.11.2023

Тест на проникновение (пентестинг) — важная составляющая этичного хакинга, потому что именно он позволяет определить слабости систем кибербезопасности и возможные способы их устранения. Однако неправильно было бы предположить, что эта работа целиком и полностью заключается в изучении технической стороны дела, т.е., поиске уязвимостей в коде программ, выявлении неправильных настроек сетей и нарушений их эксплуатации.

По данным Arctic Wolf Networks, известной компании, работающей в сфере кибербезопасности, целью 90% кибератак становятся не сети как таковые, а пользующиеся ими люди. Обнаружив уязвимость в системе или приложении, можно выпустить патч и лишить злоумышленника возможности ей пользоваться. Человек же всегда остаётся человеком и склонен совершать ошибки. Поэтому более комплексные пентесты включают в себя методы социальной инженерии — то есть психологических воздействий, направленных на то, чтобы человек сделал то, чего он делать не должен. Например, запустил файл с вредоносной программой или сообщил постороннему свои логин и пароль. За анализ защищённости организации от таких воздействий отвечает социотехническое тестирование.

Как проводится социотехническое тестирование

Методы социальной инженерии можно было бы выделить в целую отдельную дисциплину. Они ничуть не менее разнообразны, чем технические способы взлома сетей и столь же быстро развиваются, реагируя на события. Тест с их применением может включать следующие подходы:

  • Рассылку по электронной почте или через мессенджеры сообщений якобы от пользователей систем заказчика, его сотрудников и контрагентов. Они могут содержать ссылки на сайт с исполняемым кодом, сами содержать опасный код, предлагать под разными предлогами сменить пароль или сообщить конфиденциальные данные;
  • Звонки пользователям и сотрудникам от лица представителей отдела информационной безопасности с просьбой сообщить те или иные данные;
  • Деление тестируемых на группы и подбор способов тестирования для каждой из них;
  • Проверка нарушений требований к кибербезопаности (оставление без присмотра смартфонов и планшетов, незаблокированные в отсутствие пользователя рабочие станции, стикеры с логинами и паролями, хранение конфиденциальных документов в легкодоступных местах и т.д.);
  • Использование полученной методами социальной инженерии информации для несанкционированного проникновения (как часть технологического пентеста).

Что даёт социотехническое тестирование

Пусть даже пропатчить сотрудников и клиентов организации и невозможно, однако тест покажет, какие ошибки совершаются чаще всего. Это позволит оценить, насколько они осведомлены о требованиях к информационной безопасности и составить рекомендации по исправлению ситуации. Например, предложить способы и частотность обучения сотрудников, ввести обязательную двухфакторную аутентификацию, правильную организацию доступа.

Иными словами, знание человеческой природы этичному хакеру нужно ничуть не меньше, чем умение работать с кодом.

Учебный центр РРС
Powered by  GDPR Cookie Compliance
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.