对人的弱点进行渗透测试,包括测试组织内的个人对社会工程攻击或操纵的易感性。这类测试通常是全面安全评估的一部分,目的是找出组织安全态势中的潜在薄弱点。对此,昆明亭长朗然科技有限公司网络安全专员董志军表示:在网络安全领域,针对信息系统的安全评估很常见,基本上就是使用漏洞扫描软件或主机安全评测工具,然后出具漏洞报告。但是针对人类弱点的安全评估,不是拿个清单走访和在线测试那么简单。
在人性弱点渗透测试中,道德黑客可能会使用钓鱼邮件、电话或物理入侵等技术来评估员工对安全政策和程序的遵守程度。这样做的目的是提高人们对社会工程威胁的认识,帮助企业改进整体安全意识和培训计划。以下是对人类脆弱性进行渗透测试的总体纲要:
规划阶段:
- 确定测试范围,包括目标受众(如全体员工、特定部门)。
- 确定测试的目的和目标(如评估意识水平、测试对网络钓鱼邮件的反应)。
- 获得相关利益者的必要批准,并确保符合法律和道德要求。
侦察阶段:
- 收集有关组织、员工和潜在攻击载体的信息。
- 确定测试期间可能成为攻击目标的关键个人或部门。
模拟攻击:
- 设计和制作逼真的网络钓鱼电子邮件、电话或物理场景,以测试人的反应。
- 执行模拟攻击,同时监控和记录反应。
分析:
- 评估模拟攻击的有效性,并评估员工的整体安全意识。
- 找出漏洞、行为模式和需要改进的地方。
报告:
- 编写一份详细报告,概述调查结果,包括成功和失败的攻击尝试。
- 就加强安全意识培训和政策提出建议。
- 向主要利益相关者介绍调查结果,并讨论补救步骤。
跟进:
- 开展培训课程,教育员工了解常见的社交工程策略和最佳实践。
- 实施任何建议的安全控制或措施,以减少发现的漏洞。
请记住,以受控和合乎道德的方式进行此类测试至关重要,以确保所有相关人员的安全和福祉。
其中,侦察阶段往往最为重要的工作,为什么这么说呢?在人为漏洞渗透测试的 “侦察 “阶段,重点是收集有关组织、员工和潜在攻击载体的信息,为模拟社会工程学攻击做好准备。以下是有关 “侦察 “的详细信息:
公开来源情报:
- 利用公开信息源,如公司网站、社交媒体资料、新闻报道和在线目录,收集有关组织的详细信息。
- 确定测试期间可作为目标的关键部门、员工、工作角色、报告结构和联系信息。
- 分析组织层次结构、沟通渠道和面向公众的信息,以了解公司的结构和运营情况。
社会工程足迹:
- 通过观察组织内员工的行为、互动和信息共享做法进行被动侦察。
- 根据观察到的漏洞或安全意识的缺失,确定社会工程学攻击的潜在切入点。
- 注意物理安全措施、访问控制以及员工对陌生人员或信息请求的回应。
选择网络钓鱼目标:
- 确定组织内的高价值目标,如高管、IT 管理员或可访问敏感数据或系统的员工。
- 根据个人或部门的角色、职责和安全意识水平,优先考虑更有可能成为社交工程攻击受害者的个人或部门。
- 根据收集到的侦查信息,针对特定个人或群体定制攻击模拟。
攻击载体分析:
- 评估渗透测试期间可能使用的潜在攻击载体,如电子邮件网络钓鱼、电话、物理入侵、USB入侵或尾随。
- 根据组织的安全态势、员工意识水平和现有控制措施,评估每种攻击载体的成功可能性。
- 根据确定的攻击载体及其对组织的潜在影响,计划攻击模拟并确定优先级。
风险评估:
- 评估与针对组织内人员漏洞的社会工程学攻击相关的风险。
- 考虑攻击成功的潜在后果,如数据泄露、未经授权访问系统或经济损失。
- 根据侦察结果,确定缓解控制措施和对策,以降低社交工程攻击的可能性和影响。
通过在执行模拟攻击前开展全面的侦察活动,道德黑客可以更好地了解组织的漏洞,并调整其社会工程学策略,以最大限度地提高效率。这种积极主动的方法有助于识别安全意识和准备工作中的潜在薄弱环节,使组织能够加强对社交工程威胁的防御。
最引人注目的是模拟攻击,在人为漏洞渗透测试的 “攻击模拟 “阶段,道德黑客会模拟真实世界中的社会工程学攻击,以评估组织内的个人抵御或检测这些策略的能力。以下是有关攻击模拟的一些参考细节:
网络钓鱼邮件:
- 编写看似合法的令人信服的电子邮件,例如来自 IT 支持或同事等可信来源的电子邮件。
- 包含诱人的主题行、紧急请求或恶意附件,以促使收件人采取行动。
- 监控点击率、回复率以及收件人提供的任何敏感信息。
电话诈骗:
- 冒充权威人士(如 IT 技术人员、经理)拨打电话,以获取敏感信息或采取敏感行动。
- 使用社交工程技术建立友好关系、制造紧迫感或灌输恐惧感,以操纵目标。
- 记录员工在通话过程中的反应和行动。
物理入侵:
- 试图在未经授权的情况下进入组织内的禁区。
- 根据借口定制方法,例如冒充送货员、维修工或新员工。
- 记录任何成功进入以及与员工的互动。
USB入侵:
- 在公共区域或停车场散布 U 盘,并贴上诱人的标签或标识。
- 测试员工是否插入 USB 驱动器并可能执行恶意有效载荷。
- 分析发现 USB 驱动器并与之互动的个人所采取的行动。
尾随入侵:
- 在没有适当身份验证或访问权限的情况下,尾随授权员工进入安全区域。
- 测试员工是否对试图获得物理访问权的未经授权人员提出质疑。
- 记录成功尾随和与员工互动的情况。
走访观察:
- 被动观察员工与安全措施相关的行为。
- 注意员工共享敏感信息、不锁工作站或出现安全漏洞的情况。
- 找出可能构成安全风险的员工行为模式和趋势。
通过在各种渠道和场景中进行攻击模拟演习,企业可以获得有关其安全意识培训计划和政策有效性的宝贵见解。这些信息有助于确定需要改进的地方,并增强整体安全态势,以应对社交工程威胁。
最有价值的往往就是工作的输出报告,在人为漏洞渗透测试的分析和报告阶段,重点是评估模拟攻击的结果,并向利益相关者提交一份综合报告。以下是有关分析和报告的详细信息:
分析:
- 审查攻击模拟期间收集的所有数据,包括对网络钓鱼电子邮件、电话互动、物理入侵尝试和其他社会工程学策略的响应。
- 分析模拟攻击的成功率,找出员工意识和行为中的模式、漏洞和薄弱环节。
- 评估现有安全意识培训计划和政策在减轻社交工程威胁方面的有效性。
- 找出漏洞的根本原因以及员工培训、政策和程序中需要改进的地方。
报告:
- 准备一份详细的报告,概述渗透测试的目标、使用的方法、主要发现和改进建议。
- 概述成功和失败的攻击尝试,以及员工反应和行为的统计数据。
- 为利益相关者提供一份执行摘要,强调在整体安全策略中解决人为漏洞的重要性。
- 为加强安全意识培训、更新政策和实施额外的安全控制提供可行的建议。
- 向主要利益相关者(如高级管理层、IT 安全团队和人力资源部门)提交报告,讨论发现的问题和下一步补救措施。
建议:
- 就提高员工对社会工程威胁的认识提出具体建议,如定期开展安全意识培训课程。
- 建议更新现有的安全政策和程序,以解决发现的漏洞并加强最佳实践。
- 倡导实施额外的安全控制措施,如多因子身份验证或访问控制,以减少人为漏洞。
- 强调持续监控、测试和强化安全实践的重要性,以提高抵御社会工程学攻击的整体能力。
通过对渗透测试结果进行全面分析,并提供详细的报告和可行的建议,企业可以更好地了解和解决其安全态势中的人为漏洞。这种积极主动的方法有助于加强对社交工程威胁的防御,并提高整个组织的整体安全意识。
渗透测试只是“摸底”工作,并不是针对人员安全工作的“终点”,修复人性弱点也是不断循环改进的工作,那就需要长期的安全意识培训和安全文化建设。昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的电子图片、动画视频、互动游戏和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。
- 电话:0871-67122372
- 手机、微信:18206751343
- 邮件:info@securemymind.com