FLAB – testy sociálního inženýrství

Testování a vzdělávání zaměstnanců organizace v oblasti sociálního inženýrství.

Extra ServicesExtra Services
Tests of Social engineering
More information

Basic features

V rámci testů sociálního inženýrství
• je poskytnuta úvodní konzultace,
• je otestována odolnost vašich uživatelů, 
• je vyhodnocen průběh testů, 
• výsledky jsou shrnuty v přehledné závěrečné zprávě.

Testy sociálního inženýrství je také vhodné jednou za čas opakovat, typicky v rozsahu jedné samostatné sociálně-inženýrské kampaně v intervalu 12 měsíců. Opakování umožní vyhodnotit účinnost zavedených opatření, připomenou uživatelům neustále existující hrozbu, přičemž jsou uživatelé současně seznámeni s aktuálně používanými triky.

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

  • Zjistíte aktuální stav odolnosti vašich uživatelů - dozvíte se, v jaké míře by uživatelé na různých pozicích odolali skutečnému útoku cíleného na organizaci a k jakým datům a systémům by se útočník mohl dostat, umožní vám to lépe řídit bezpečnostní rizika a v případě opakování testů s časovým odstupem lze také vyhodnotit účinnost zavedených opatření.

  • Prověříte interní postupy - zjistíte, jak podobným útokům odolá váš bezpečnostní tým. Cílený útok na desítky, stovky nebo dokonce tisíce uživatelů je obvykle velkým náporem na bezpečnostní tým a pracoviště uživatelské podpory, protože jsou dimenzovány na běžný provoz, výsledky lze použít k vylepšení stávajících postupů a dalšímu plánování.

  • Vzděláte vaše uživatele - chybující uživatelé mohou být ihned informováni (přesměrováním na webovou stránku nebo zobrazením informačního dialogu), jak měli podvod rozpoznat a na co si příště mají dávat pozor. Z tohoto důvodu jsou praktické testy sociálního inženýrství vhodným doplňkem teoretických školení na dané téma.

Služba je zpoplatněna na základě samostatné kalkulace a nabídky. Rozsah služby je stanoven na základě prvotní bezplatné konzultace. Výstupem konzultace je zadání, na základě kterého je vypracovaná kalkulace a nabídka služeb Forenzní laboratoře.

Pro lepší představu, jak tato služba funguje v praxi, můžete nahlédnout do případové studie tsi-cypherfix2018.

  • Neexistuje nástroj, kterým bychom mohli sami posílat phishingové zprávy?

Jeden z takový nástrojů vyvíjí a provozuje také sdružení CESNET pod názvem Phishingator.

  • Jaký je rozdíl mezi phishingovou a podvodnou zprávou?

Podvodná zpráva je obecnější termín používaný pro zprávy, které se obecně snaží adresáta podvést a zmanipulovat k nějaké činnosti - vyzrazení údajů, spuštění malware, objednání nekvalitních výrobků apod. Phishing je podmnožina podvodných zpráv, která má konkrétní cíl, a to získat přístupové údaje uživatele (jméno a heslo, případně e-mailovou adresu a heslo). U phishingu jsou kromě zpráv také často využívány webový stránky.

  • Má uživatel vůbec šanci poznat, že se jedná o podvodné zprávy?

Testy sociálního inženýrství mají simulovat skutečný útok a obvykle také uživatele vzdělat, takže jsou při přípravě zpráv záměrně použity některé z typických příznaků běžných podvodů. Pozorný a proškolený uživatel by tedy měl být schopen všechny rozesílané zprávy identifikovat jako podvodné. Obtížnost rozpoznání je vždy nastavována po dohodě se zákazníkem.

Didn't find what you were looking for?