Социальный
пентест

Проводим оценку защищенности компании от проникновения методами социальной инженерии, выявляем уязвимость человеческого фактора
Угрозы
Ни одна идеально настроенная система защиты информации не может быть защищена до тех пор, пока работающий с ней персонал не обучен должным образом.

В своё время, конкурирующие компании-производители воровали друг у друга чертежи деталей, изготавливаемых на станках с ЧПУ, путём подкупа операторов этих станков. И, несмотря на хорошо выстроенную систему технической защиты, конфиденциальная информация уходила к конкурентам.

Такую серьёзную уязвимость может выявить социальный пентест, который позволяет оценивать слабые стороны в подготовке персонала компании и предлагает на основе исследования необходимые модели политик безопасности, обучение пользователей, определение правил пользования девайсами, корпоративной почтой, работой с файлами внутри компании.

АНАЛИЗИРУЕМ ЧЕЛОВЕЧЕСКИЙ ФАКТОР
Самый ненадежный фактор в работающей системе, с точки зрения уязвимости безопасности — человеческий.

Речь идет не только о ситуации, когда злоумышленники используют шпионов внутри организации. Знания сотрудников о необходимых мерах информационной безопасности, их компетенции и техническая грамотность часто становятся мишенью для атаки.

Спектр проблем охватывает неосведомленность персонала о внутренних политиках безопасности, отсутствие этих политик, несоблюдение правил информационной гигиены.

Порядок работ
Определение
подхода
WhiteBox — клиент по запросу предоставляет необходимые данные. BlackBox — формат работы «вслепую», без дополнительной информации.
Определение уровня
контакта
Выбор оптимального инструмента для контакта: почтовая рассылка, знакомства в соцсетях, внедрение незнакомых носителей и тд.
Составление списка
адресатов
Определение объекта социального исследования компании. Это могут быть как все сотрудники, так и конкретные отделы.
Подготовка
фишинг-полигона
Готовим проведение пентеста с учетом задач клиента. На этом этапе используются выбранные инструменты коммуникации с индивидуальным контентом.