Recentemente tive a oportunidade com o Sr. Bott, consultor de segurança na empresa SySS, com relação ao uso da engenharia social em testes de penetração da palavra. A oportunidade que tenho agora intensamente usada para mim novamente com o problema a resolver.

breves definições

Engenharia social refere-se a interpessoal (essencialmente através de contactos pessoais, como telefone) que influenciam as pessoas a não autorizada de dados ou objetos de chegar. Estes são na sua maioria falsas identidades ou de falsos uma autoridade pertencente à vítima explorada.
Os dados coletados são, então, para o enriquecimento pessoal ou objectos (por exemplo, os bilhetes de avião, notebooks, etc) ou para reutilização (tais como assaltos nas redes) são utilizados.

Com uma penetração ensaio, redes de computadores individuais ou completar um teste de segurança abrangente por profissionais qualificados e confiáveis sofrer. O objectivo perigos das operações de rede e de vulnerabilidades de segurança descoberto e documentado.

Considerações

Penetração testes são normalmente realizadas pela gestão de uma empresa encomendou. Este é um executivo na segurança dos sistemas informáticos para os outros interessados na satisfação dos colaboradores. Não deve ser agora o que é considerado significativo.

Quando penetração sem testes de engenharia social, mas são apenas um teste de detecção de vulnerabilidades em hardware, software e configurações. O homem como a maior vulnerabilidade não está marcada.

O homem é conhecido de toda a Segurança consideração o elo mais fraco. Mitnick, uma vez que o computador mais populares E.U. criminosos, disse,

Engenharia social é de longe a forma mais eficaz de uma senha, e schlüge abordagens puramente técnicas, a fim de aumentar a velocidade coisas comprimentos.

E tem até agora e que provavelmente também não mudou muito. Informações sobre o ambiente da vítima ou de inquéritos directos para promover dados muitas vezes dias, em novos ataques podem ser usados. Só por este motivo, é já, até mesmo as pessoas das considerações de segurança e testes envolvidos.

Se esta empresa tem o seu próprio departamento de TI pode facilmente verificar-se, compreensivelmente, que os administradores se sentem atacados. Afinal, um contrato para um ensaio penetração pelos diretores são classificados de modo que a competência do departamento de TI na área da segurança das redes será interrogado.

Ela agora usa engenharia social, então o próprio homem se torna um alvo. Este é o menos como provavelmente não é surpreendente. Além disso, há o problema de engenharia social em penetração ensaio só faz sentido se realmente a causa das vítimas não foram informados previamente, pois, caso tenham uma consciência inevitavelmente ocorre. Isto conduz naturalmente a que a confiança entre gestores e colaboradores ou empregados e caneta-testers é bastante afectada. A cooperação entre a administração da empresa, bem como o teste de segurança Consultores claro, também sofre, levando a uma perda de eficácia dos testes pode levar, e provavelmente irá levar.

Conclusão

Cada caneta-testers ou uma caneta para testes próprias empresas têm de decidir até que ponto vale a pena, mesmo os empregados da entidade adjudicante a considerar. No entanto, as vantagens e desvantagens da engenharia social com cada ordem antes discutidas com o cliente, salvo se o exame do trabalhador absolutamente necessária.

Tags: Pen-Teste, penetração, segurança, engenharia social, SySS, Testing

Trackback URI | Comentários RSS