Как проверить компетентность сотрудника с помощью тестирования на проникновение

Как проверить компетентность сотрудника с помощью тестирования на проникновение

Хакерская социальная инженерия использует уязвимости, присущие человеческой психологии, поэтому для организаций жизненно важно проверить кибер-компетентность сотрудников.

Возьмите в качестве примера мошенническую сделку «Нигерия 419» — мошенник пытается убедить жертву помочь получить якобы незаконно полученные наличные деньги из их собственной страны в безопасный банк, предлагая процент от суммы денег за участие. В то время как электронные письма «нигерийского принца» на протяжении десятилетий обманывали людей, это все еще эффективный метод социальной инженерии, к которому люди относятся.

Сотрудники создают огромную угрозу для вашей организации, если они не обучены должным образом и не знают о своей роли и обязанностях, когда речь идет о кибербезопасности. Чтобы отсеять уязвимых работников, которым может потребоваться дополнительное обучение, ваша организация может использовать ручное тестирование навыков противодействия социальной инженерии.

Сотрудники — первая линия обороны

Ваши сотрудники действительно являются первой линией защиты вашей компании. Сотрудники должны понимать, как их личные привычки в социальных сетях и чрезмерное распространение информации в Интернете могут иметь прямое отношение к безопасности их компаний. Имея объем информации, распространяемой на таких платформах, как LinkedIn, Facebook, Twitter и Instagram, хакеры могут собирать информацию, чтобы завоевать доверие жертвы или даже подменить личность кого-то в вашем круге общения.

В других случаях сотрудникам не хватает знаний для выявления киберугроз , и поэтому они становятся жертвами атаки. Угрозы, такие как фишинговые электронные письма, преследование и травля, могут показаться сотруднику, у которого нет оснований для скептицизма, вполне законными. Почему бы вам не открыть электронное письмо от вашего босса в отпуске с просьбой перевести ему деньги? Почему бы вам не открыть дверь коллеге, который случайно оставил свою карточку дома в этот день?

Взломы социальной инженерии проникают в вашу организацию, « взламывая человеческий мозг » и охотясь на его уязвимые места. Без общего понимания и обучения тому, как идентифицировать киберугрозы, сотрудники останутся мишенью для киберпреступности.

Сделать обучение сотрудников приоритетом

Ищите комплексные услуги по обучению, чтобы подготовить своих сотрудников к распознаванию и предотвращению новейших угроз кибербезопасности для защиты вашей организации. Вы захотите найти учебную программу по кибербезопасности, которая уникальна для уязвимостей вашей организации. Различные отрасли, такие как юридические услуги, здравоохранение, финансовые услуги или розничная торговля и гостиничный бизнес, имеют разные потребности для соответствия стандартам .

Например, юридические фирмы и другие в области юридических услуг предъявляют строгие требования, которые охватывают как обработку бумажных документов, так и цифровую безопасность. Индивидуальные программы обучения сотрудников для юридических служб помогут сотрудникам адаптироваться к новейшим технологиям и снизить ответственность благодаря передовым методам гигиены данных и физической безопасности.

Та же самая программа обучения, которая фокусируется на вашей отрасли, также должна быть адаптирована к роли сотрудника в компании. Некоторые примеры заключаются в том, что юристы должны беспокоиться о поддельных электронных письмах из судебных систем, о том, что обслуживающий персонал ресторана должен сосредоточиться на краже кредитных карт или выявлении мошенничества, и финансовые советники должны быть осторожны при перечислении денег на счета своих клиентов и с их счетов.

Другим важным аспектом обучения сотрудников по кибербезопасности является обучение ваших сотрудников важности цифровой гигиены и способам организации, безопасности и защиты их онлайн-данных от внешних угроз. Это может быть установлено с помощью практики цифровой гигиены и методов предотвращения потери данных. Обучите своих сотрудников ценности информации и тому, как правильно делиться ею на разных уровнях. Это поможет защитить от случайного раскрытия.

Возвращаясь к чрезмерному обмену информацией в социальных сетях, обучение может помочь сотрудникам лучше понять гигиену социальных сетей и лучше определить, когда и где целесообразно делиться личной информацией. Если сотрудники знают о том, как информация, которую они публикуют, могут быть использованы, они с меньшей вероятностью сделают эту информацию настолько легко доступной для хакеров.

Одноразовое обучение в данном случае вряд ли поможет. Для получения эффекта частые тренинги для сотрудников имеют решающее значение для выявления новых взломов социальной инженерии, которые видят эксперты, а также для того, чтобы сотрудники всегда были в курсе последних событий.

Просто чтобы помнить о ваших нетехнических сотрудниках, короткие микротренинги позволят получить больше информации, чем обычная ежегодная однодневная тренировка.

Тестирование компетентности сотрудников

Ваши сотрудники прошли программы обучения и лучше знают свои обязанности? Пришло время проверить их — вы можете сделать это, используя ручное тестирование социальной инженерии, чтобы оценить уровень кибер-осведомленности вашего сотрудника посредством моделирования. Идеально нанимать стороннюю фирму по тестированию на проникновение для проведения тестирования, ведь третья сторона может выявить проблемы, которые могут вы просто не увидели.

Ценность тестирования социальной инженерии состоит в том, что оно обнаружит слабые места безопасности в следующих областях:

  • Физическая охрана (всего здания)
  • Корпоративные политики безопасности, связанные с правильным использованием и удалением конфиденциальных данных
  • Осведомленность о безопасности сотрудника — вы увидите, нужно ли персоналу дополнительное обучение безопасности

Ручное тестирование социальной инженерии может использоваться на ваших сотрудниках, как вне офиса, так и на рабочем месте. Внешнее тестирование предназначено для того, чтобы сотрудники разглашали информацию, предназначенную только для внутреннего использования. Вы можете попытаться скомпрометировать сотрудников с помощью методов вишинга (телефонного фишинга), фишинга по электронной почте или смишинга (SMS-фишинга). Тестировщик отправляет сотрудникам электронное письмо со ссылкой на файлы, содержащие вредоносные программы. Например, сотрудники могут получить электронное письмо с информацией о том, что они выиграли приз или получили дополнительные выходные дни. Если сотрудники попадают в ловушку, они щелкают по ссылке, давая тестировщику доступ к корпоративной учетной записи. Тест такого рода предоставит организации аналитику о том, сколько сотрудников щелкнуло по ссылке или какие сотрудники представляют наибольшую угрозу.

На месте проникновения применяются различные методы, чтобы получить физический доступ к офису целевой компании. Это может включать в себя подмену сотрудников или клиентов, атаку на мусор и т.д. Один из способов проверить кибер-компетентность сотрудника с помощью этого метода — попробовать себя в подражании. Попросите тестировщика выдать себя за работника службы технической поддержки, чтобы получить доступ непосредственно к сети компании. Хороший тестировщик может запустить флэш-накопитель USB на целевом компьютере и поставить компьютер под угрозу за считанные секунды. Затем вы можете проанализировать сотрудников, которые оказались обманутыми.

Проверьте мусор своего сотрудника. Он оставил распечатки и кусочки бумаги с важной информацией? Разве шредер не использовался, чтобы избавиться от данных? Это эффективный способ узнать, какие сотрудники могут не проявлять осторожность с конфиденциальной корпоративной информацией.

Вы можете думать, что ваша организация находится в безопасности, но один человек может поставить под угрозу безопасность всей компании. Ручное тестирование социальной инженерии — это эффективный способ определить, где находятся ваши сотрудники, когда дело доходит до лучших практик кибербезопасности . Информирование сотрудников — это ключ, и результаты тестирования могут помочь повысить его осведомленность.

Тестирование предоставляет ценные метрики — образование и обучение без метрик не показывают, изучают ли люди и используют ли они то, что они научились использовать. Тестирование сотрудников, когда они не знают, что их тестируют, дает реальное представление об их осведомленности и о том, как их лучше всего обучить. Поскольку ваши сотрудники являются вашей самой большой уязвимостью в области кибербезопасности, обучение является наиболее экономически эффективным способом защиты вашей организации.

По мотивам

Alt text

Владимир Безмалый

О безопасности и не только