Одним из наиболее распространенных и эффективных способов получения несанкционированного доступа к корпоративным информационным системам извне являются атаки, основанные на взаимодействии злоумышленника с сотрудниками компании ­– социальная инженерия. На первом этапе таких атак злоумышленник, как правило, тем или иным способом (по электронной почте, через социальные сети, по телефону и т.п.) выходит на контакт с сотрудником и побуждает его раскрыть какую-либо конфиденциальную информацию или может воспользоваться уязвимым приложением для просмотра переданных атакующим данных. Если сотрудники компании недостаточно осведомлены в области информационной безопасности, то даже при адекватной технической защите сетевого периметра, злоумышленник может получить доступ к ресурсам сети и конфиденциальной информации, например, через фишинг. Далее атакующий может развить атаку и получить несанкционированный доступ к критически важным для бизнеса ресурсам компании. Подобные атаки в случае успеха могут привести к реализации таких рисков как упущенная выгода вследствие вмешательства в бизнес-процессы (включая различные мошеннические действия от имени скомпрометированных сотрудников), потеря конкурентных преимуществ из-за утечки конфиденциальной информации, судебные разбирательства с партнерами и клиентами, доступ к информационной базе со стороны конкурента, финансовые и операционные.

Для того, чтобы снизить вышеперечисленные риски, компания ОО «ЛианМедиа» предлагает провести оценку уровня осведомленности персонала компании Заказчика в области информационной безопасности, что позволит своевременно выявить пробелы в данной сфере и спланировать мероприятия по повышению уровня осведомленности сотрудников.

Этапы оценки:

1. Согласование с Заказчиком. В первую очередь мы получаем разрешение на проведение работ, согласовываются сроки и методы проверок.
2. Планирование атаки. Определяем состав целевой группы в отношении которых будет проводиться тестирование. С заказчиком также обсуждается, какой именно канал коммуникации будет использован для контакта с персоналом: корпоративная почта, социальные сети или что-то другое.
3. Сбор информации о компании и сотрудниках из открытых источников. Чем тщательнее собрана информация на этом этапе, тем больше шансов на успешную атаку. Заказчик также получит ответ на вопрос, какие данные о его сотрудниках можно найти в публичных источниках.
4. Подготовка инструмента. Обычно мы используем 3 вида:

• Вредоносное вложение в сообщение или ссылка. При таком варианте используются те же техники, что и в реальных атаках: мы пробуем проэксплуатировать известные уязвимости операционных систем, офисных пакетов, просмотрщиков pdf-файлов, браузеров — программ, которые чаще всего используются в любой организации. Вредоносное вложение будет послано в виде офисного файла с «троянским» кодом, pdf-документа, архива.
• Фишинг. Имитирует кражу учётных данных пользователя. Мы создаём поддельные фишинговые сайты, регистрируем похожие на легитимные домены, чтобы заставить пользователя ввести свои реальные учётные данные.
• Размещение USB-накопителей. В данном случае мы оставляем USB-накопители рядом с офисом компании или в самом офисном помещении.

5. Контакт с «жертвой». Основная задача исследователей компании «ЛианМедиа» на этом этапе — сделать так, чтобы как можно больше пользователей выполнили целевое действие.
6. Заражение и эксплуатация. Для заражения мы используем известные уязвимости программного обеспечения, на которые уже существуют публично доступные эксплойты — программный код, эксплуатирующий конкретную уязвимость. Мы модифицируем такой код, убираем из него действительно вредоносную часть, оставляя только механизм заражения конкретного компьютера пользователя, и добавляем инструменты сбора статистики. Благодаря такому подходу мы можем отследить и зафиксировать в статистике каждый случай запуска нашего кода: кто, когда и при каких обстоятельствах мог бы подвергнуться реальному нападению. Наш «троянский код» абсолютно безопасен: он не похищает конфиденциальную информацию, не уничтожает данные и полностью удаляется по завершении проверки.
7. Отчёт. Будет содержать описание методов социальной инженерии, которые использовались во время проверки, оценку возможности проникнуть в информационную систему организации и рекомендации по повышению уровня защищённости, методы тестирования.

Стоимость:

От 500 руб/сотрудник. Минимальное кол-во проверяемых сотрудников 10 человек.