Optisis
dsc
Beenius
Castoola
ZAPRI+

Tehnike socialnega inženiringa

Izmerite varnostno osveščenost zaposlenih

Zaposleni oz. uporabniki sistema IT so najbolj ranljiv člen varnostne verige in zato ključni element pri zagotavljanji informacijske varnosti v podjetju. Ne postanite tarča. Okrepite obrambni zid pred napadalci.

varnostni incidenti

Nepooblaščen vstop čez varovane prehode

prisluskovanje icon

Opazovanje preko ramena in prisluškovanje

varno do spleta

DNS preusmerjanje

USB

Podtikanje ključkov USB

Simulacija napada s 'phishing' testom

‘Phishing’ oz. ribarjenje je ene izmed pomembnejših tehnik socialnega inženiringa, ki se je etični hekerji poslužujejo pri testiranju varnostnih sistemov. Gre za simulacijo napada z lažnim ‘phishing’ e-mail sporočilom, kjer se preverja, koliko uporabnikov napačno reagira na prejeto zlonamerno elektronsko pošto – klik na povezavo, priponko…

‘Phishing« e-sporočilo ter lažni strežnik sta opremljena z ustreznimi mehanizmi, kar omogoča zbiranje statističnih podatkov ter število uporabnikov, ki na določeni kontrolni točki izvede napačno reakcijo.

S tem preverite, koliko je vaš sistem tehnično robusten pred tovrstnimi napadi (nastavitve, varnostni sistemi in nenazadnje obnašanje uporabnikov), po drugi strani pa je test učinkovit način izobraževanja uporabnikov o pravilnih reakcijah.

Koristi, ki jih pridobite z izvedbo testiranja

Podrobno pisno poročilo vam poda natančno statistično izmero aktivnosti uporabnikov na posameznih kontrolnih točkah testa.

certifikat

Povečate varnostno osveščenost zaposlenih

kibernetska varnost

Določite stopnjo varnosti v vašem okolju

malware

Spoznate stopnjo občutljivosti na varnostno grožnjo preko zlonamerne e-pošte

zavzetost

Zmanjšate možnosti uspešnega napada

Certificirana ekipa etičnih hekerjev

Poskrbi za strokovno in kakovostno izvedbo kontroliranega testa in prikaže realno grožnjo napada z zlonamerno e-pošto.

Najpogostejša vprašanja & odgovori

Vse, kar morate vedeti o izvedbi ‘phishing’ testa.

Zakaj je 'phishing' test potreben?

Ko je uporabnik del varnostnih mehanizmov, so rešitve za zagotavljanje varnosti kritične. Seveda je ne glede na nivo osveščenosti vedno potrebno z različnimi varnostnimi mehanizmi in nastavitvami zmanjšati oz. minimizirati možnost napada (dodatni varnostni sistemi, ki bodo uspešneje zaznali zlonamerne datoteke, mehanizmi za zaznavanje zavajajočih e-mail sporočil ipd.). Vendar s tem zgolj zmanjšamo možnost napada, nikoli pa ga ne izničimo.

V primeru takšnega napada se uspeh vedno prelomi pri uporabniku, ki bo oz ne bo nasedel na prevaro. Zato je pomembno konstantno in učinkovito osveščanje uporabnikov, s čimer močno zmanjšamo možnost, da bodo njihove reakcije v primeru napada napačne.

Dober način učinkovitega osveščanja je z dejanskimi ‘požarnimi vajami’, torej testi v živo. Testi v živo so bistveno uspešnejši, kot pa teoretično izobraževanje. Ko izvedemo vajo/test in uporabnik na lastnem primeru spozna, da je bil pretentan, bo to imelo pozitiven vpliv na dvig ozaveščenosti. V času po testu bo uporabnik tudi bistveno bolj pozoren na morebitne napade.

Kaj je rezultat 'phishing' testa?

Podrobno pisno poročilo, sestavljeno iz dveh delov, ki vam ga predstavimo v obliki delavnice:

  • Vodstveno poročilo
    Je strnjen pregled za vodstvo z osnovnimi informacijami o stanju kibernetske varnosti.
  • Tehnično poročilo
    Namenjeno je skrbniku sistema in vsebuje pomembne tehnične podatke o kontrolnih točkah testa, ki so: št. odprtih e-sporočil, št. klikov na lažno spletno stran, št. dejansko vpisanih podatkov na lažni spletni strani. Vsebuje tudi statistične izračune za celotno skupino uporabnikov, ki so bili zajeti v testiranje.

Kakšne so možne različice 'phishing' testa?

‘Phishing’ testi se razlikujejo glede na to, v kakšno reakcijo želimo uporabnika pretentati. Na voljo imate štiri vrste ‘phishing’ testov:

1. ‘Phishing’ test z lažnim portalom in namenom zavesti uporabnika k vpisu uporabniškega imena in gesla.

Glavni namen tega testa je uporabnike podučiti, da svoja uporabniška imena in gesla ne smejo vpisovati v neznane portale.

2. ‘Phishing’ test s priponko Word/Excel in namenom zavesti uporabnika k odpiranju priponke in aktiviranju funkcionalnosti Macro.

Glavni namen tega testa je uporabnike podučiti, da ne odpirajo priponk neznanega izvora ter da ne zanemarjajo opozorila programa Word o nevarnosti aktiviranja funkcionalnosti Macro.

3. ‘Phishing’ test s priponko ali brez in namenom zavesti uporabnika k akciji, ki bo neopazno na delovni postaji uporabnika kreirala demo datoteko in/ali iz delovne postaje v naš center neopazno prenesla to demo datoteko.

Glavni namen tega testa je uporabnike podučiti, da ne odpirajo elektronske pošte sumljivega izvora in/ali ne klikajo na neznane internetne povezave oz. ne odpirajo datotek neznanega izvora. S prikazom neopaznega kreiranja demo datoteke na delovni postaji uporabnika, lahko posledično uporabnik ‘v živo’ spozna možne posledice takšnega ravnanja.

4. ‘Phishing’ test s priponko ali brez, kjer dejansko preizkušamo celoten napad, s ciljem pridobiti polno kontrolo nad delovno postajo uporabnika.

Glavni namen tega testa je uporabnike podučiti, da ne odpirajo elektronske pošte sumljivega izvora in/ali ne klikajo na neznane internetne povezave oz. ne odpirajo datotek neznanega izvora. Posledica napada je poskus pridobitve polnega nadzora nad delovno postajo, s čimer do uporabnika simuliramo dejanski napad, posledično pa preizkusimo tudi ustreznost vseh ostalih varnostnih mehanizmov, ki bi lahko tovrsten napad preprečili (protivirusni sistem, sistem ‘intrusion prevention’ ipd.)

Kako 'phishing' test poteka?

Test izvedemo po fazah, in sicer:

  • predpriprava,
  • testiranje okolja,
  • izvedba testa,
  • priprava poročila.

V okviru predpriprave se z vami dogovorimo o različici izvedbe ‘phishing’ testa ter skupini uporabnikov vključeni v test (če ni posebnih razlogov, predlagamo, da so v test vključeni vsi zaposleni v podjetju).

Na osnovi tega pripravimo predlog besedila in izgleda elektronske pošte, postavimo lažni prijavni portal, ali pripravimo predlog vsebine priponk. Vsi predlogi so že narejeni na osnovi izkušenj o najboljši primernosti besedil in izgledov in so prilagojeni vaši grafični podobi. Nato se uskladijo še morebitne podrobnosti oz. vaše želje.

V tej fazi je pomembno, da so vsi elementi pripravljeni natančno in skrbno. Hkrati pa vedno puščamo dovolj sledi, ki bi jih pozorni7osveščeni uporabniki morali zaznati in tako ne postati žrtev napada. Če je test izveden preveč natančno oz. uporabnikom ne dopustimo realne možnost, da napad zaznajo, je  je izobraževalni učinek testa manjši. Uporabniki, ki so v testu uspešno zavedeni in so po izvedbi testa spoznajo, da so imeli možnost preprečiti napad, bodo veliko bolj dovzetni za sporočilo testa.

Nato sledi testiranje okolja, ki je namenjeno:

  • dejanskemu testiranju robustnosti okolja (dobite informacijo, koliko je okolje dovzetno, da že samo po sebi zazna osnovne ‘phishing’ napade ipd.).
  • ugotovitvi potrebnih nastavitev, da bo test uspešen.

Sledi izvedba testa. Test izvajamo od enega dneva do največ tri dni. Izkušnje kažejo, da so meritve najbolj relevantne v tem časovnem obdobju.

Test se zaključi s predstavitvijo podrobnega pisnega poročila.

Kaj pa varnost osebnih podatkov?

Izvedba vključuje uporabnike, zato je potrebno veliko pozornost nameniti varovanju osebnih podatkov ter osebne integritete posameznih uporabnikov.

Moramo se zavedati, da cilj testa ne sme in ne more biti iskanje posameznih uporabnikov, ki na določeni kontrolni točki ne ravnajo v skladu z varnostnimi principi. To je pomembno, ker je največja korist testa v pozitivnem osveščanju uporabnikov, ki se pokaže s samo izvedbo testa. Če izvedbi dodamo javno obravnavo posameznih uporabnikov, izniči vse prednosti.

Tehnična izvedba testiranja minimizira zbiranje konkretnih osebnih podatkov. V primeru testa z lažnim portalom ne beležimo podatkov (uporabniška imena in gesla), ampak zgolj aktivnost – ali uporabnik sploh kaj vpiše.

Kot izvajalec zagotavljamo da:

  • do podatkov, ki se vseeno nanašajo na konkretne uporabnike, nimajo dostopa nepooblaščene osebe, ampak zgolj direktni izvajalci testa.
  • vsi izvajalci na testu delujejo v skladu z varovanjem podatkov in so k temu moralno in pisno zavezani.
  • podatki o posameznih uporabnikih se po izvedbi testa trajno pobrišejo, poročila in podobni dokumenti pa se hranijo v ustrezno varovanih okoljih.

Kdaj je najprimernejši čas za izvedbo pregleda?

Najprimernejši čas za izvedbo je TAKOJ. Dejansko je potreba po varnostnem osveščanju uporabnikov stalna, tako da ni posebnih razlogov, ki bi testiranje omejevali.

Ko razmišljate o (ne)primernosti termina, imejte v mislih:

  • V času kolektivnih dopustov oz. v času, ko je večina uporabnikov na dopustu, izvedba testa ni primerna.
  • Smiselno je test izvesti v času vpeljave novih pravil in politik.
  • Smiselno je test izvesti pred skupinskimi srečanji ali izobraževanji v podjetju, kjer lahko potem še sveže rezultate pokažete uporabnikom in se z njimi o njih tudi pogovorite.

Koliko pogosto naj 'phishing' test izvajam?

Pomembna pozitivna posledica testa je neposreden dvig osveščenosti uporabnikov. Uporabniki bodo po izvedbi testa bolj pazljivo spremljali dogajanje in pravilneje reagirali na podobne napade oz. teste. V tem pogledu je seveda smiselno teste ponavljati čim pogosteje.

Po drugi strani pa različni zunanji dejavniki (ostali projekti, finančni vložek ipd.) preprečujejo podjetju nenehno izvajanje testov.

Praksa kaže, da je smiselno teste izvajati vsaj na 6 mesecev oz. najmanj na 12 mesecev. Pri ponovitvah je smiselno teste delno prilagoditi. Prvič zato, da uporabniki ne ugotovijo, da so zopet del testiranja, drugič pa zato, da se lahko preverijo različni vidiki osveščenosti.

Pomembna je tudi primerjava med testi. Podjetja po testih izvajajo določene aktivnosti za dvig varnostne osveščenosti (notranja izobraževanja, dodatni varnostni mehanizmi, dodatni pravilniki in varnostna politika ipd.). Periodična primerjava rezultatov testov daje naročniku vpogled v (ne)uspešnost oz. izvedbe vseh dodatnih aktivnosti.

Testirajte različne možnosti zlorabe

Zunanji varnostni pregled

varnostne storitvee

Notranji varnostni pregled

notranji pregled
newsletterr

Še več vsebin za večjo varnostno osveščenost

Nabor najaktualnejših nasvetov, dobrih praks in trendov s področja informacijske varnosti vsak mesec v vaš e-poštni nabiralnik.

Izkoristite vavčer za kibernetsko varnost

Za izvedbo varnostnega pregleda so sedaj na voljo subvencije v obliki vavčerja za kibernetsko varnost, ki sta jih razpisala Digital Innovation Hub Slovenia in Slovenski podjetniški sklad.

Idealna priložnost, da povečate kibernetsko varnost.

vavcer-kibernetska-varnost-velika

Zakaj nam lahko zaupate testiranje vaše varnosti?

Kot zunanji neodvisni svetovalec s specifičnim znanjem in izkušnjami na podlagi vzajemnega zaupanja in spoštovanja tajnosti podatkov, objektivno ocenimo nivo vaše varnosti.

Nepristranskost

Testiranje izvajamo v okoljih, kjer ne nastopamo kot izvajalec oz. vzdrževalec informacijskega sistema.

Strokovnost

Potrjuje pridobljeni certifikati.

Izkušnje

Preko 60 izvedenih varnostnih preverjanj.
komunikacija

Zmanjšajte možnosti za uspešen napad

Neodvisno varnostno preverjanje vam razkrije največje ranljivosti in analizo stanja vašega okolja IT ter poda priporočila za njihovo odpravo.

Tehnološki partnerji

Sodelujemo z globalnimi vodji v posameznih tehnoloških segmentih

Razišči še ostale varnostne nasvete

VPRAŠAJTE NAS
Arrow

Soglašam, da zaupane osebne podatke lahko hranite in uporabite za obveščanje o:



Vaše podatke bomo hranili in obdelovali za občasno posredovanje strokovnih vsebin in vabil na specializirane dogodke preko elektronske pošte. Vaše osebne podatke bomo uporabljali zaupno in jih ne bomo posredovali tretjim osebam. Vašo zasebnost obravnavamo v skladu z določili GDPR in Zakonom o varstvu osebnih podatkov.

Privolitev lahko kadarkoli prekličete, ob prejemu e-sporočila ali na e-naslov marketing@smart-com.si posredujete sporočilo z naslovom Odjava. Po obdelavi zahteve za odjavo vam bo Smart Com prenehal pošiljati vsebine od katerih ste se odjavili.

Podrobnosti o odjavi, obdelavi in varovanju osebnih podatkov si preberite v Pravnih obvestilih.

x
Zapri obrazec
ZAPRI+