Z roku na roku można zauważyć, że firmy coraz lepiej się zabezpieczają, inwestując w rozwiązania bezpieczeństwa fizycznego oraz cyberbezpieczeństwa. Ponieważ wykonuję audyty bezpieczeństwa, mogę śmiało powiedzieć z własnego doświadczenia, że są bariery, których pokonanie, prowadzące np. do ważnych danych, jest praktycznie niemożliwie pod względem technicznym. Niestety firmy wciąż tracą owe dane, a ich prezesi i menagerowie ds. bezpieczeństwa zachodzą w głowę, jak to się stało, skoro wydali setki tysięcy złotych na sprzęt i zabezpieczenia, a komuś i tak udało się ich skutecznie zaatakować. Problem w bezpieczeństwie najczęściej leży po jednej stronie – tą stroną jest człowiek. Jeżeli nie wiesz, na czym polega socjotechnika, kliknij tutaj.
Dostrzegam ogromne nakłady na elementy stanowiące podpory bezpieczeństwa danej firmy. Nie widzę jednak inwestowania w jeden element, który w większości przypadków jest kluczową podporą, czyli element ludzki. Czy tego chcemy, czy nie, w większości wypadków nie da się ludzi wyłączyć z procesu dbania o bezpieczeństwo w firmie, choć to mogłoby się okazać najlepszym zabezpieczeniem.
Przestępcy, którzy atakują przedsiębiorstwo, wykazują się oportunizmem, co jest zrozumiałe – szukają najsłabszego ogniwa. Naszym zadaniem jest maksymalnie im to utrudnić, szkoląc i uświadamiając pracowników na temat tego, jak łatwo za pomocą szybkiej, często irracjonalnej manipulacji można zdobyć cenne informacje.
Należy przeprowadzić testy z dwóch perspektyw. Pierwsza to perspektywa osoby znajdującej się wewnątrz danego przedsiębiorstwa. Dzięki temu można sprawdzić, czy zapewnione jest odpowiednie bezpieczeństwo. Duża liczba wycieków z firmy bierze się właśnie z zagrożeń wewnętrznych, tego typu test pozwoli więc usprawnić procedury oraz proces szkoleniowy pracowników na każdym szczeblu. Zewnętrzne testy socjotechniczne są związane z zagrożeniami, jakie niesie całe środowisko zewnętrzne wobec danego przedsiębiorstwa. Działa się wtedy z perspektywy ewentualnego wroga przedsiębiorstwa i sprawdza się wszystkie kanały, którymi można by firmie można zaszkodzić czy też pozyskać cenne informacje.
Przygotowanie do testów, stworzenie możliwego scenariusza zależy od indywidualnych potrzeb danego przedsiębiorstwa. Wszystko jest kwestią profilu działalności danej firmy oraz zagrożeń z nim związanych.
Obecnie większość przedsiębiorstw skupia się na technicznych kwestiach oceny bezpieczeństwa. Testy socjotechniczne działają są jednak również niezwykle skuteczne. Dzięki nim można znaleźć luki w barierach bezpieczeństwa – takie, o których nikt wcześniej nawet nie pomyślał. Nie ma co się oszukiwać, większość ataków, jakie są przeprowadzane na firmy, wykorzystuje właśnie czynnik ludzki, który niezwykle często jest tym zawodnym. Socjotechniczne testy penetracyjne służą do oceny poziomu bezpieczeństwa wszędzie tam, gdzie mogą się pojawić nieuczciwi ludzie chcący wykorzystać pracowników w celu np. zdobycia informacji.
Trudno jest rekomendować tego typu testy dla konkretnych branż, ponieważ to analiza ryzyka powinna wykazać, jak wiele są warte informacje przetwarzane w danej firmie i jakie mogą być ewentualne straty w przypadku ich wycieku lub zablokowania dostępu do nich. Dobrze przeprowadzone socjotechniczne testy penetracyjne powinny zakończyć się szczegółowym omówieniem problemów oraz kompleksowym szkoleniem pracowników, aby wyeliminować ludzkie słabości oraz najzwyklejszą na świecie nieświadomość tego typu zagrożeń.
Nie ma jednego utartego scenariusza, można jednak w prosty sposób opisać, na czym one polegają. Oczywiście nie oznacza to, że samo przedsięwzięcie jest proste do realizacji, zależy ono bowiem od wielu czynników, na które osoba przeprowadzająca test nie ma wpływu. Jednak odpowiednia znajomość z zakresu funkcjonowania psychiki człowieka powinna wystarczyć. W mojej ocenie socjotechnika w mniejszym stopniu polega na stosowaniu sztuczek socjotechnicznych, a w większym na wykorzystywaniu schematów zachowań właściwych dla danego społeczeństwa czy np. stanowiska.
W pierwszej kolejności typuje się cel danego testu, np. to, jak możemy zaszkodzić danej firmie lub co firma ma wartościowego, co warto byłoby zdobyć. Na tej podstawie typuje się ewentualne słabe punkty, a czasem na tym etapie wybiera się nawet konkretną grupę docelową ludzi, za pomocą których cele zostaną zrealizowane. Potem dobiera się sposób ich manipulacji i – voilà – jest sukces lub szukamy innego rozwiązania, jeśli to zawiodło. Jest to oczywiście bardzo, ale to bardzo duże uproszczenie.
W rozpisaniu na etapy wygląda to tak:
Precyzujemy nasz cel, a jeżeli trzeba, rozbijamy go na mniejsze etapy, tak aby łatwiej można było go zrealizować.
Gromadzimy dane potrzebne do przeprowadzenia działań.
Analizujemy zgromadzone dane i wybieramy najsłabsze punkty.
Tworzymy główny scenariusz działań oraz poboczne mniejsze scenariusze, aby być gotowymi na możliwie największą liczbę rozwiązań.
Czas na właściwe działanie mające na celu realizacje działań, czyli wykorzystanie znalezionych stałych punktów do realizacji celów.
Koniec działań – realizujemy scenariusz zgodnie z założeniami lub w przypadku braku rezultatu analizujemy scenariusz w celu przeprowadzenia ataku ponownie.
Do najczęstszych technik wykorzystywanych podczas socjotechnicznych testów penetracyjnych należą metody tożsame z tymi, jakie wykorzystują przestępcy, aby zdobyć informacje. Nie ma możliwości, żeby opisać je wszystkich – i to zarówno ze względu na ich liczbę, jak i dobro samych działań. Wymieńmy jednak podstawowe:
Jeżeli dane przedsiębiorstwo zdecyduje się na wykonanie socjotechnicznych testów penetracyjnych, powinno wiedzieć, jak wygląda pełna ścieżka wykonania tego typu działań.
Umowa z klientem – jest to pierwszy etap. Najważniejsze, aby podpisać stosowną umowę o poufności, ponieważ firma przeprowadzająca test penetracyjny będzie miała dostęp do wielu informacji kluczowych dla przedsiębiorstwa, dlatego też klient powinien mieć do niej pełne zaufanie, ale i być odpowiednio zabezpieczony umową o poufności danych.
Wywiad z klientem – na tym etapie typuje się słabe elementy danego przedsiębiorstwa. Zbieramy wszystkie informacje od klienta, aby dowiedzieć się jak najwięcej.
Zbieranie dodatkowych informacji – informacje przekazane przez klienta na temat ewentualnych podatności i słabych punktów są bardzo ważne. Testerzy są jednak od tego, aby samodzielnie dokonać pełnej analizy i zebrać jak najwięcej danych z różnego rodzaju źródeł. Ten etap zależny jest od ustaleń z klientem i od tego, jak on widzi tego typu działania.
Przygotowanie scenariusza – należy przygotować kilka możliwych scenariuszy działań i zaprezentować je klientowi. To klient decyduje o działaniach, jednak każdy ich model powinien zostać mu rzeczowo i merytorycznie zaprezentowany, aby decyzja ta była podejmowana świadomie, na podstawie pełnych danych.
Przeprowadzanie socjotechnicznego testu penetracyjnego – powinien zostać przeprowadzony atak zgodnie z przyjętym scenariuszem oraz jego ewentualnymi dodatkami. Atak może być podzielony na kilka etapów, a pracownicy mogą być poddawani wielu testom.
Wyniki testu w postaci raportu – klient powinien otrzymać szczegółowe wyniki testu, w których umieszczone zostaną wszystkie informacje wynikłe z przeprowadzonych działań. Dobrej jakości raport nie kończy się tylko na opisie podjętych czynności, ale zawiera także rekomendacje dla klienta, które ten powinien wprowadzić, aby zwiększyć poziom bezpieczeństwa swojego przedsiębiorstwa.
Szkolenie pracowników – w mojej ocenie to najważniejszy etap. Pracownicy powinni w pierwszej kolejności zostać przeszkoleni z metodyki działań socjotechników oraz tego, co jest przez nich wykorzystywane, aby osiągnąć sukces. W drugiej kolejności należy przeanalizować z pracownikami testy socjotechniczne przeprowadzone w przedsiębiorstwie. Bardzo ważne jest, aby analiza ewentualnych błędów konkretnych pracowników została zanonimizowana. Testy mają na celu edukację, a nie wyśmiewanych ludzi, którzy zostali zmanipulowani.
Przeprowadzenie ponownych testów – należy zawsze rekomendować przeprowadzenie ponownych testów po upływie odkreślonego czasu. Tego typu działanie pozwoli sprawdzić, czy wysiłki podjęte przez przedsiębiorstwo przyniosły efekty w postaci wyedukowania świadomych zagrożeń pracowników.