Социотехнический тест на проникновение

Любые ИТ-услуги, направленные на выполнение бизнес-задач банка, базируются на трех аспектах: люди, процессы и технологии. Для полноценного обеспечения информационной безопасности банка необходимо гарантировать защиту каждого из этих компонентов. Технологии, например, можно защитить с использованием защитных средств (антивирус, файрвол и др.). Для защиты процессов можно внедрить контроль над ИТ-процессами. И самым уязвимым звеном остаются люди.

Злоумышленники основываясь на психологии людей, отправляют им различные письма с целью получения учетных данных или запуска вредоносной программы. И первая, и вторая цель ведут к последующему проникновению злоумышленника во внутреннюю сеть банка и в дальнейшем — к финансовым потерям.


Решение

Для того, чтобы иметь полноценное понимание, насколько банк защищен от социотехнических атак, мы предлагаем провести полноценное социотехническое тестирование на проникновение. Главной целью наших работ является получение учетных данных сотрудника банка или запуска тестового ПО для подтверждения успешности атаки.

Перед началом социотехнических атак мы проводим:

  • тщательное исследование социальных сетей, форумов и других открытых площадок для поиска сотрудников банка;
  • изучение рода деятельности и занимаемые должности найденных сотрудников банка;
  • анализ деятельности найденных сотрудников вне рабочего времени и др. В качестве методов социотехнических атак мы используем:
  • фишинговые письма, привызывающие перейти на сайт злоумышленника и ввести учетные данные;
  • письма с вредоносным вложением;
  • телефонный звонок с целью получения учетных данных;
  • разброс флеш-накопителей и др.

Результат

После оказания услуги предоставляем:

  • подробный отчет осведомленности сотрудников банка об актуальных социотехнических атаках;
  • презентацию для высшего руководства банка о текущей осведомленности сотрудников с примерами использованных атак;
  • рекомендации по проведению курсов обучения для сотрудников банка;