Hur går ett Social engineering-test till?
Social engineering-test görs ofta som en del av en större säkerhetsgranskning där både er tekniska och administrativa säkerhet granskas, tillsammans med andra insatser som på olika sätt utvärderar er motståndskraft. Själva social engineering-testet kan gå till på lite olika sätt beroende på hur er verksamhet ser ut.
På Pwn Tech jobbar vi ofta med företag där det fysiska skyddet är viktigt, därför kretsar ofta våra tester kring just detta. Det betyder att själva testet består i att någon av våra säkerhetsexperter utreder möjligheten att runda era säkerhetssystem genom Social engineering.
Detta sker också i praktiken, för att verkligen kunna utvärdera er skydd består testet i att någon av våra säkerhetsexperter gör försök att ta sig in på era lokaler eller anläggningar. Ett Social engineering-test är med andra ord något som kräver noggranna förberedelser samt ett kallt huvud hos våra säkerhetsexperter, som ofta jobbar under tidspress och tvingas improvisera fram lösningar.
Det beror förstås på, men i grova drag ser upplägget ofta ut på följande sätt:
Inför testet:
En viktig del för att göra testet så verklighetstroget som möjligt är att säkerhetsexperten som ska genomföra själva testet inte har så mycket information om företaget som testet ska genomföras på. Inte mer än det som går att hitta genom olika typer av förundersökningar, men inför testet ställer vi inga frågor kring er säkerhet till er som uppdragsgivare.
Ett annat viktigt inslag är att så få personer som möjligt hos er känner till att testet ska genomföras. Ofta är det endast VD och eventuellt IT-chef som känner till saken, men samtidigt inte när vi planerar att genomföra själva testet.
Förberedelser:
Den av våra säkerhetsexperter som får uppdraget gör sedan sina egna förberedelser. Till exempel genom att söka information om bolaget och kanske även dess anställda, allt för att hitta möjliga ingångar. Ofta besöker man över platsen för att kunna se vad det finns för möjliga invägar, vilka dörrar finns, om de är de låsta, med mera. Vi analyserar också omgivningen och försöker bilda oss en uppfattning om vad det är för folk som rör sig på området, hur är de klädda och annat som vi kan nyttja.
Under testet:
När väl testet genomförs är ofta säkerhetsexperten som simulerar intrånget rejält förberedd. Ibland betyder det att vi kommer utklädda, ibland har vi andra planer för hur vi ska ta oss in.
Väl inne behöver det sedan gå snabbt. Här behöver vi snabbt bilda oss en uppfattning om lokalen samt försöka identifiera möjliga sätt att angripa företaget. Här kan ett obemannat skrivbord vara intressant där vi kan testa så kallad Desktop hacking där vi letar inloggningsuppgifter eller andra sätt att komma åt ert IT-system från insidan. Ofta försöker vi också hitta serverrummet eller andra intressanta ingångar. Oavsett vad gäller det för oss att snabbt samla på oss information eller samla på oss fysisk utrustning som kan hackas i efterhand.
Hela tiden måste den som genomför testet såklart vara uppmärksam på sin omgivning för att undvika att bli upptäckt och när testet väl bedöms vara avslutat måste denne snabbt hitta en väg ut.
Efter testet:
Efter genomfört test gör såklart olika typer av uppföljningar. Dels brukar vi ta kontakt med vår uppdragsgivare för att höra om någon märkt något. Därefter sammanställs en rapportering med en beskrivning av händelseförlopp, vad man hittat, sårbarheter som identifierats med mera.
Slutligen tar vi såklart fram olika typer av förslag på hur er motståndskraft kan ökas ytterligare – något som testet i sig själv ofta också bidrar med, bara genom att uppmärksamma era medarbetare på hur enkelt det faktiskt kan vara att runda ert skydd.
Eller är det inte det? Vågar du låta oss testa?
Vill ni boka ett eget Social engineering-test?
- Prata med Marcus så hjälper han er vidare
- Marcus Kronlund
- +46 733 - 84 57 26
- marcus.kronlund@pwntech.se