Recentemente ho avuto la possibilità con il signor Bott, consulente di sicurezza presso la società SySS, per quanto riguarda l'uso di ingegneria sociale in termini di penetrazione prove a parlare. L'opportunità che ho usato ora per me di nuovo intensamente con il problema da affrontare.

breve definizioni

Ingegneria sociale si riferisce alla interpersonali (soprattutto attraverso il contatto personale, come ad esempio telefono) che influenzano le persone a non autorizzato di dati o gli oggetti di arrivare. Questi sono per la maggior parte false identità o falsi un'autorità appartenenti alla vittima di sfruttamento.
I dati raccolti sono poi gli oggetti o per l'arricchimento personale (ad esempio, biglietti aerei, quaderni, ecc) o per il riutilizzo (come ad esempio furti con scasso nelle reti) sono utilizzati.

Con un test di penetrazione, i singoli computer o reti di completare un test di sicurezza da personale qualificato e affidabile professionisti sottoposti. L'obiettivo rischi delle operazioni in rete e di sicurezza vulnerabilità scoperte e documentate.

Considerazioni

Test di penetrazione sono normalmente effettuate dalla gestione di una società commissionato. Si tratta di un esecutivo alla sicurezza dei sistemi informatici ad altri interessati alla soddisfazione dei dipendenti. Ci deve ora essere considerato ciò che è significativo.

Quando penetrazione senza prove di ingegneria sociale, ma sono solo test di vulnerabilità in hardware, software e configurazioni. L'uomo come il più grande vulnerabilità non è selezionata.

L'uomo è noto per la sicurezza ogni considerazione l'anello più debole. Mitnick, una volta che il più popolare degli Stati Uniti computer criminali, ha detto,

Ingegneria sociale è di gran lunga il modo più efficace di una password, e schlüge approcci puramente tecnico al fine di accelerare le cose lunghezze.

Ed è anche probabilmente fino ad oggi non è cambiato molto. Informazioni circa l'ambiente della vittima o di indagini dirette a promuovere dati spesso giorni, in ulteriori attacchi possono essere utilizzati. Per questa sola ragione, è già, anche le persone in considerazioni di sicurezza e le prove in questione.

Se questa società ha un proprio reparto IT che può facilmente accadere, comprensibilmente, che gli amministratori si sentono attaccati. Dopo tutto, un contratto per un test di penetrazione dai direttori sono votate in modo che la competenza del dipartimento IT nel settore della sicurezza della rete sarà interrogato.

Esso utilizza ora di ingegneria sociale, allora l'uomo stesso diventa un obiettivo. Questo è il minimo, come probabilmente non è sorprendente. Inoltre, vi è il problema che l'ingegneria sociale in termini di penetrazione di test davvero solo un senso se le vittime in questione non sono stati informati in anticipo, perché altrimenti hanno una consapevolezza inevitabilmente si verifica. Questo porta naturalmente a quella fiducia tra dipendenti e direzione o di dipendenti e penna-tester è duramente colpita. La cooperazione tra l'amministrazione della prova e la società di sicurezza Consulenti naturalmente, anche soffre, comportando una perdita di efficacia delle prove può portare e porterà probabilmente.

Conclusione

Ogni penna-tester o di qualsiasi penna prove stesse imprese devono decidere quanto vale la pena, anche i dipendenti dell'amministrazione aggiudicatrice di prendere in considerazione. Tuttavia, i vantaggi e gli svantaggi di social engineering con ogni ordine prima discusso con il cliente, a meno che l'esame del dipendente assolutamente necessario.

Tags: Pen-Test, penetrazione, la sicurezza, ingegneria sociale, SySS, Test

Trackback URI | Commenti RSS