מבחן סוציו-טכני (PHISHING)

בדיקת חדירה מתבצעת בשיטות הנדסה חברתית. המטרה העיקרית של הבדיקה היא לזהות את רמת המודעות של אנשי החברה לגבי דרישות אבטחת מידע. במהלך תהליך הבדיקה נקבעת תגובת המשתמשים ואנשי אבטחת המידע לשיטות חדירה ארגוניות בהן משתמשים התוקפים.

שיטות הנדסה חברתית משמשות לעתים קרובות על ידי תוקפים והן מכוונות בדרך כלל למשתמשי קצה. כתוצאה מתקפה מוצלחת, תוקף יכול להשיג שליטה על תחנות עבודה, להשיג מסמכי לקוחות חסויים, להשתמש במשאבי לקוחות, לארגן התקפות על מערכות של חברות אחרות, לשלוח דואר זבל וכו'.

היבטים ארגוניים של אבטחת מידע הם המרכיב החשוב ביותר של מערכת ההגנה, ולעתים קרובות, משתמשים רגילים הם החולייה החלשה ביותר. שירות זה יאפשר לנו לזהות את אותם היבטים ארגוניים של אבטחת מידע שהלקוח צריך לשים לב אליהם תחילה.

התוצאות המתקבלות במהלך מתן שירות זה יכולות להוות בסיס לפיתוח תוכנית מודעות אבטחה, המתמקדת באופן מקסימלי באזורי הבעייתיות שזוהו במהלך הבדיקה. שירות זה עשוי להיות שימושי גם לבדיקת היעילות של תוכנית קיימת למודעות לקוחות.

באופן כללי, סדר העבודה הוא כדלקמן:

שיטות הנדסה חברתית שישמשו לביצוע הבדיקה מסוכמות עם הלקוח. ניתן להשתמש בשיטות הבאות:

• הפצת הודעות אימייל/IM מטעם משתמשים אנונימיים ועובדי לקוחות, המכילות קישורים למשאבי אינטרנט עם קוד הפעלה, המכילה קוד הפעלה בגוף המכתב, המכילה בקשה לשנות סיסמאות, שליחת סיסמאות או מידע אישי וכו'
• בדיקה נקודתית של יישום מדיניות "שולחן נקי" (פתקים עם סיסמאות, תחנות שאינן נעולות בהעדר משתמש, הימצאות מסמכים חסויים במשרד הנגישים למבקרים, טלפונים סלולריים ומחשבי כף יד שנותרו ללא השגחה );
• שיחות למשתמשים מטעם אנשי IT ואבטחת מידע עם בקשות לקבל/לשנות סיסמאות, שליחת מסמכים סודיים וכו'.
• בחירת קבוצות משתמשי יעד והגדרת שיטות בדיקה עבור כל קבוצה.
• ניתוח ואיחוד של תוצאות בדיקות שונות.

תוצאת העבודה תהיה דוח המכיל:

• מסקנות להנהלה, המכילות הערכה כוללת של רמת המודעות של המשתמשים.
• צורת בדיקה.
• רשימה של אזורי בעיה מרכזיים (כולל מידע על כל פעילויות המשתמשים בכל קבוצת יעד).
• המלצות לטיפול בפגיעויות שזוהו.