Bishop Fox, şirketin Red Team portföyünün ayrılmaz bir parçası olan sosyal mühendislik test hizmetlerini genişletti. Dar ve ilkel güvenlik bilinci çözümlerinin aksine, Bishop Fox’un hizmetleri karmaşık, çok aşamalı ve çok katmanlı düşmanca saldırı davranışını taklit eder, derinlemesine sonuçlar ve kurumsal gelişim için eyleme geçirilebilir rehberlik sağlar ve dahili ekiplerin “birlikte ilerlemeye” katılmaları için benzersiz bir yetenek sunar. Açık Kaynak İstihbaratı (OSINT) ve ön metin geliştirmeden saldırı yürütmeye kadar sürecin gözlemlenmesi.
2022 Dünya Ekonomik Forumu’nun Küresel Riskler Raporu, tüm siber saldırıların %95’inin insan hatası içerdiğini tahmin ediyor. Endişeyi artıran Gartner, siber güvenlik fonksiyonlarının %90’ının bir kullanıcı güvenliği farkındalık programı olmasına rağmen, çalışanların %69’unun kuruluşlarının rehberliğini kasıtlı olarak atlattığını kabul ettiğini aktarıyor.
“Öğle yemeği ve öğrenme” ve eğitim materyallerinden otomatik kimlik avı kampanyalarına kadar bilinçlendirme programlarının hedefi kaçırmasının yanı sıra kuruluşları en büyük riskler konusunda yeterince eğitememeleri veya güvenliği bilgilendirmek için aşağı yöndeki etkilerine dair kanıt sağlamamaları nedeniyle sorun daha da kötüleşiyor. genel olarak programlar. Bu nedenle, Ponemon Enstitüsü tarafından yürütülen yakın tarihli bir araştırma, sosyal mühendisliği, işletmelerin daha geniş saldırı güvenliği değerlendirmelerine ve güçlü Red Team anlaşmalarına yatırım yapmasının 2. nedeni olarak ve fidye yazılımdan sonra ikinci olarak gösteriyor.
Bishop Fox’un kıdemli güvenlik danışmanı Alethe Denis, “Pek çok kuruluş, yalnızca teknoloji sorunu olmayan bir şeye teknoloji atmaya çalışıyor” dedi.
“Yazılım ve verileri bir sanal makinede tutabilirsiniz, ancak bir ofiste bir kullanıcıyı tutamazsınız. Teknoloji evreni, işlevsel görevler ve bireysel çalışanların dahil olduğu çevrimiçi/çevrimdışı etkileşimler, her biri ya potansiyel bir istihbarat noktası ya da uzlaşma noktasını temsil eder ve bu, kasıtlı eylemleri hesaba katmaz bile. Bu nedenle, büyük ölçüde en düşük ortak payda ve uyumluluk gereksinimlerini karşılamak için tasarlanmış çerez kesici güvenlik farkındalığı programları başarısız olur. Belirli bir saldırının bağlamına girmek, saldırganın zihnine girmek kadar etkili değildir. Genişletilmiş ekibimiz ve test seçeneklerimiz, saldırganların çalışanlarınızı nasıl gördüğüne dair en kapsamlı görünümü sağlıyor ve savunmasızlığınızı gerçekten değerlendiriyor,” diye devam etti Denis.
Ponemon’un yakın tarihli raporu, olumlu olarak, işletmelerin riskin farkında olduğunu, yaklaşık üçte ikisinin zaten belirli bir kapasitede Kırmızı Ekipler kullandığını ve yarısından fazlasının önümüzdeki 12-24 ay içinde bu yatırımı artırmayı planladığını ortaya koyuyor.
Sosyal mühendislik, güvenlik programlarındaki tartışmasız en etkili ve en zayıf halka olduğundan, Bishop Fox yeni hizmetlerini saldırı taktiklerinin, tekniklerinin ve prosedürlerinin her yönünü ve açısını kullanıcılara ve güvenlik ekiplerine ifşa edecek şekilde tasarladı. Bu, neyin mümkün ve neyin muhtemel olduğunun tam olarak anlaşılmasını sağlar. Hizmetler ve faaliyetler, risk ve maruz kalmaya ilişkin eksiksiz bir çevresel görüş sağlamak ve ele alınması gereken en acil ihtiyaçlara öncelik vermek için diğer Red Team faaliyetleriyle sıkı bir şekilde entegre edilmiştir.
Yeni sosyal mühendislik hizmetleri şunları içerir:
- Sosyal mühendislik hasım emülasyonu: Faaliyetler esnektir ve lojistik, kullanıcı hedefleme/OSINT, bahane/yük geliştirme ve daha fazlası dahil olmak üzere her kuruluşun benzersiz bağlamına ve ortamına göre hazırlanır. Ardından, yetenekli bir rakibe karşı maruz kalma ve dayanıklılığın daha doğru bir şekilde değerlendirilmesini sağlamak için e-posta, kurumsal sohbet, telefon ve fiziksel saldırı vektörleri dahil olmak üzere çok vektörlü bir saldırı simüle edilir.
- İnsan güvenlik açıklarının bildirilmesi: Kapsamlı, katılım sonrası raporlama, kullanıcı farkındalığını ve güvenlik kültürünü bariz bir şekilde geliştirir. Raporlar, saldırı anlatımlarının ve eylemlerinin, savunma performansının ve hedef hedeflere yönelik sonuçların ayrıntılı dökümlerini sağlar. Ayrıca, program iyileştirmeye yönelik bulguların ve önerilerin eksiksiz bir paydaş incelemesini de içerirler.
- Güvenlik ekibi “yolda”: Şirket içi pratisyenler, tüm saldırı sürecini ve etkilerini ortaya çıktıkça gözlemleme ve izleme becerisine sahiptir – etkinlikleri etkili olduklarından emin olmak için ayarlama becerisi, ancak aynı zamanda uygun bir iş gücü dengesine duyarlıdır. Bu, uygulayıcılara kendi becerilerini ve bilgilerini güçlendirmeleri için saldırgan yöntemleri hakkında değerli bilgiler verir.
Bishop Fox’ta Red Team uygulama lideri Trevin Edgeworth, “Bir saldırgan, kendisine sunulan herhangi bir fırsatı arayacak ve istismar edecektir ve sonsuz miktarda endüstri verisi ve kanıtı, farklı ve şüphelenmeyen bir çalışan popülasyonunun sunduğu yaygın fırsatın altını çiziyor” dedi.
“Güçlü ve kapsamlı bir sosyal mühendislik bileşeni olmayan Red Teaming, çok büyük bir kör nokta bırakır ve bir kuruluşun görünürlüğünü artırır. Bishop Fox, son üç yılda Kırmızı Takım hizmetlerinde yıllık %60’tan fazla bir artış gördü ve bu da kuruluşların saldırgan bir zihniyet ve bakış açısının değerini anladığını gösteriyor. Edgeworth, bu yeni hizmeti sunmak, ihtiyaca cevap vermemiz ve kurumsal güvenlik duruşumuzu gözle görülür şekilde iyileştirmemiz için kritik öneme sahip” dedi.