Celem testów socjotechnicznych jest weryfikacja realnego poziomu zagrożeń związanych z możliwością penetracji organizacji i uzyskania nieautoryzowanego dostępu do danych lub realizacji działań przestępczych.
- Testy socjotechniczne są realizowane przy podejściu „black box”,
- Rekonesans obejmie podstawowe zagadnienia dotyczące pracowników organizacji oraz bezpieczeństwa sieciowego, a także fizycznego,
- Zastosowane zostanie podejście zakładające przeprowadzenierekonesansu, na podstawie którego zostaną opracowane i zaakceptowane przez organizację scenariusze penetracji, a następnie wykonane przy założeniu minimalnej wiedzy na ich temat po stronie organizacji,
- Przeprowadzone testy socjotechniczne będą miały na celu dodatkowo weryfikację sposobu reakcji organizacji oraz jej pracowników,
- Wycena projektu zakłada przeprowadzenie 5 lub wybranych scenariuszy testów socjotechnicznych,
- Scenariusze testów penetracyjnych będą wykorzystywały specyficzny kontekst działania organizacji i obejmowały m.in. następujące techniki:
- Spreparowanych wiadomości elektronicznych nakierowanych na kradzież danych uwierzytelniających (spear phishing),
- Spreparowanie aplikacji web/strony www firmy podobnej do wystawionej w sieci Internet oraz przesłanie informacji mailowej do pracowników w celu wykradzenia danych,
- Instalacji dedykowanego złośliwego oprogramowania na komputerach pracowników,
- Wykorzystania potencjalnych podatności infrastruktury informatycznej organizacji,
- Obejścia zabezpieczeń fizycznych z wykorzystaniem zidentyfikowanych podczas rekonesansu słabości oraz technik inżynierii społecznej (np. podszycie pod pracownika),
- Wynikiem prac w tym obszarze będzie opis opracowanych scenariuszy testów wraz z informacją o wyniku ich realizacji.
Scenariusze testów penetracyjnych będą wykorzystywały specyficzny kontekst działania organizacji i obejmowały m.in. następujące techniki:
- Spreparowanie wiadomości elektronicznych nakierowanych na kradzież danych uwierzytelniających (spear phishing) - Scenariusz ten będzie opierał się na przesłaniu złośliwego załącznika w wiadomości email który po otwarciu będzie próbował wykonać operacje zbierania danych o użytkowniku, zdalne wykonanie operacji, ominięcie zainstalowanego oprogramowania antywirusowego, zwiększenie uprawnień użytkownika,
- Spreparowanie aplikacji web/strony www firmy podobnej do wystawionej w sieci Internet oraz przesłanie informacji mailowej do pracowników w celu wykradzenia danych - Scenariusz ten będzie opierał się na przesłaniu wiadomości email do użytkowników z załączonym linkiem do zalogowania się do potencjalnie podobnej aplikacji w firmie (web mail, portal HR, lub inny z możliwością zalogowania się przez użytkowników).
W ramach tego scenariusza zostaną wykonane następujące etapy:
- Zbieranie informacji o firmie, pracownikach, infrastrukturze, aplikacjach. Baza danych informacji zostanie wykorzystana do stworzenia listy mailowej pracowników do których zostaną przesłane wiadomości email, domen które zostaną wykorzystane, nazw aplikacji, oraz scenariuszy ataków,
- Stworzenie listy pracowników, oraz aplikacji które zostaną wykorzystane do kampanii mailowej (lista zostanie przesłana do Klienta w celu potwierdzenia),
- Na podstawie zebranej bazy danych informacji, zostaną opracowane conajmniej 3 scenariusze z propozycją nazw domen, oraz aplikacjami web, które zostaną wykorzystane do ataków typu spear phishing (lista i scenariusze zostaną zaakceptowane przez Klienta),
- Pełna lista pracowników, scenariuszy i aplikacji zostanie przesłana do Klienta w celu zaakceptowania. Zostanie określony termin rozpoczęcia i zakończenia scenariusza ataków (informacja od Klienta czy zostanie poinformowany zespół SOC - ćwiczenie Blue Team - Red Team).
- Wykorzystania potencjalnych podatności infrastruktury informatycznej organizacji - Scenariusz ten, będzie polegał na przeskanowaniu sieci infrastruktury wewnętrznej, oraz wykorzystaniu wykrytych podatności w sieci wewnętrznej firmy, aby rozszerzyć atak oraz uprawnienia na inne serwery/usługi, bądź aplikacje.
- W ramach tego scenariuszu zostaną wykonane następujące etapy, podobne jak w przypadku testów penetracyjnych infrastruktury wewnętrznej firmy:
Etap 1 – Gromadzenie danych
- Próby zgromadzenia jak największej ilości dostępnych publicznie informacji na temat infrastruktury informatycznej,
- Identyfikacja udostępnionych usług poprzez skanowanie portów TCP/UDP wraz z próbą uzyskania informacji o zainstalowanych wersjach oprogramowania wykorzystując techniki fingerprinting oraz banner
grabbing.
Etap 2 – Identyfikacja podatności
- Skanowanie podatności z wykorzystaniem automatycznych narzędzi,
- Manualna identyfikacja podatności w oparciu o zgromadzone informacje o wersjach zainstalowanego na badanych urządzeniach oprogramowania w publicznych bazach (np. Bugtraq, CERT, OSVDB).
Etap 3 – Analiza podatności
- Analiza mająca na celu weryfikację i eliminację potencjalnych fałszywych alarmów (false positives) oraz identyfikację krytycznych podatności, o których na bieżąco będziemy informowali Państwa pracowników,
- Próba odnalezienia kodu oprogramowania wykorzystującego daną podatność – tzw. Exploit.
Etap 4 – Rozszerzenie uprawnień i ataków na inne systemy i aplikacje w infrastrukturze wewnętrznej firmy.
- Obejścia zabezpieczeń fizycznych z wykorzystaniem zidentyfikowanych podczas rekonesansu słabości oraz technik inżynierii społecznej (np. podszycie pod pracownika).
Podczas tego rodzaju testów zostaną przeprowadzone działania mające na celu weryfikację, czy wdrożone zabezpieczenia techniczne oraz organizacyjne są efektywnie zaprojektowane, oraz czy personel odpowiedzialny za bezpieczeństwo lub pracownicy Spółki postępują zgodnie ze zdefiniowanymi procedurami,
- Pierwszym elementem prac będzie w przypadku każdego obiektu rekonesans polegający na zgromadzeniu jak największej liczby informacji dotyczących poszczególnych obiektów, zatrudnionego w nim personelu, zastosowanych mechanizmów i procedur bezpieczeństwa,
- Prowadzone działania będą symulowały działania rzeczywistych przestępców, którzy planują realizację działań związanych z naruszeniem bezpieczeństwa fizycznego,
- Na podstawie przeprowadzonego rekonesansu zostaną dopracowane i ostatecznie zaakceptowane przez Spółkę scenariusze działań,
- Następnie przystąpimy do realizacji poszczególnych scenariuszy, rejestrując wszystkie działania i dokładnie je opisując w raporcie,
- Zakładamy, że w lokalizacjach Spółki wdrożono różnego rodzaju mechanizmy bezpieczeństwa fizycznego, których skuteczność wymaga weryfikacji – jak np.:
- system sygnalizacji włamania i napadu,
- system telewizji przemysłowej,
- system kontroli dostępu,
- system monitorowania alarmów,
- system przeciwpożarowy,
- Ze względu na fakt, że uruchomienie części z tych systemów może skutkować interwencją stron trzecich w tym służb mundurowych, co może wiązać się z konsekwencjami prawnymi i finansowymi scenariusze testów w tym obszarze będą wymagały bardzo dokładnych ustaleń i potwierdzeń z Spółki,
- Podczas prac przeprowadzone zostaną zarówno proste próby weryfikacji skuteczności zabezpieczeń (np. poruszanie się w okolicy chronionego budynku w celu sprawdzenia, czy operator systemu CCTV zwróci na to uwagę), jak i próby złożone technicznie (np. kopiowanie kart kontroli dostępu, korzystanie z kart innych niż Spółki itp.),
- Kluczowym założeniem dla tych testów jest ograniczenie ich wpływu na ciągłość działania Spółki,
- Prace będą prowadzone w oparciu o naszą zgromadzoną wiedzę w zakresie technik inżynierii społecznej i będą prowadzone bazując na założeniu, że człowiek jako jednostka społeczna jest z natury podatny na manipulację, gdyż chce:
- być postrzegany jako sympatyczny i pomocny,
- bunikać sytuacji problemowych,
- Podczas pracy wykorzystamy następujące uznane reguły psychologiczne wykorzystywane przez wiodących oszustów, których działania zostały opisane w literaturze:
- Autorytetu,
- lubienia i sympatii,
- zaangażowania i konsekwencji,
- niedostępności,
- wzajemności,
- kontrastu,
- społecznego dowodu słuszności.