Социотехническое тестирование систем безопасности

Тест на проникновение (пентестинг) — важная составляющая этичного хакинга, потому что именно он позволяет определить слабости систем кибербезопасности и возможные способы их устранения. Однако неправильно было бы предположить, что эта работа целиком и полностью заключается в изучении технической стороны дела, т.е., поиске уязвимостей в коде программ, выявлении неправильных настроек сетей и нарушений их эксплуатации.

По данным Arctic Wolf Networks, известной компании, работающей в сфере кибербезопасности, целью 90% кибератак становятся не сети как таковые, а пользующиеся ими люди. Обнаружив уязвимость в системе или приложении, можно выпустить патч и лишить злоумышленника возможности ей пользоваться. Человек же всегда остаётся человеком и склонен совершать ошибки. Поэтому более комплексные пентесты включают в себя методы социальной инженерии — то есть психологических воздействий, направленных на то, чтобы человек сделал то, чего он делать не должен. Например, запустил файл с вредоносной программой или сообщил постороннему свои логин и пароль. За анализ защищённости организации от таких воздействий отвечает социотехническое тестирование.

Как проводится социотехническое тестирование

Методы социальной инженерии можно было бы выделить в целую отдельную дисциплину. Они ничуть не менее разнообразны, чем технические способы взлома сетей и столь же быстро развиваются, реагируя на события. Тест с их применением может включать следующие подходы:

  • Рассылку по электронной почте или через мессенджеры сообщений якобы от пользователей систем заказчика, его сотрудников и контрагентов. Они могут содержать ссылки на сайт с исполняемым кодом, сами содержать опасный код, предлагать под разными предлогами сменить пароль или сообщить конфиденциальные данные;
  • Звонки пользователям и сотрудникам от лица представителей отдела информационной безопасности с просьбой сообщить те или иные данные;
  • Деление тестируемых на группы и подбор способов тестирования для каждой из них;
  • Проверка нарушений требований к кибербезопаности (оставление без присмотра смартфонов и планшетов, незаблокированные в отсутствие пользователя рабочие станции, стикеры с логинами и паролями, хранение конфиденциальных документов в легкодоступных местах и т.д.);
  • Использование полученной методами социальной инженерии информации для несанкционированного проникновения (как часть технологического пентеста).

Что даёт социотехническое тестирование

Пусть даже пропатчить сотрудников и клиентов организации и невозможно, однако тест покажет, какие ошибки совершаются чаще всего. Это позволит оценить, насколько они осведомлены о требованиях к информационной безопасности и составить рекомендации по исправлению ситуации. Например, предложить способы и частотность обучения сотрудников, ввести обязательную двухфакторную аутентификацию, правильную организацию доступа.

Иными словами, знание человеческой природы этичному хакеру нужно ничуть не меньше, чем умение работать с кодом.