Alethe Denis, kırmızı ekip tatbikatının bir parçası olarak bir sosyal mühendislik saldırısı düzenlediğinde, Bishop Fox güvenlik danışmanı genellikle hedefleri tam olarak ekibinin kullanmayı planladığı e-posta şablonuyla (insan kaynaklarından gelen bir kıyafet yönetmeliği mektubu gibi) sunar ve yine de , saldırı neredeyse her zaman başarılı olur.
“E-posta şablonunu tam anlamıyla gördüler ve eğitimimde İK tabanlı bahanelerin son derece yaygın ve inanılmaz derecede başarılı olduğu gerçeğinin altını çizdim – ‘işte bir kıyafet kodu e-posta şablonu örneği'” diyor. “Ve ‘evet, evet, evet’ diyorlar. Ardından, kampanyayı gönderdiğim gün en az bir kişi tıklıyor.”
Yakın zamanda yayınlanan Verizon Veri İhlali Soruşturma Raporu’na (DBIR) göre, saldırganlar işletmeleri tehlikeye atmak için etkili bir yaklaşım olarak bunlara güvenmeye başladıkça, bahane saldırıları ve kimlik avı saldırıları arttı ve yaklaşık her altı saldırıdan biri bir sosyal mühendislik bileşeni dahil. Bu nedenle sosyal mühendislik, kırmızı takım tatbikatlarının ve sızma testlerinin gerekli bir parçası haline geldi ve daha fazla sağlayıcı hizmet sunumlarını genişletiyor. Örneğin, Bishop Fox, 28 Haziran’da, firmanın kırmızı ekip tekliflerini sosyal mühendislik saldırı öykünmesi, insan odaklı saldırılar hakkında daha derinlemesine raporlama ve müşterilerin her ikisine de “birlikte gelme” yeteneğini içerecek şekilde genişlettiğini duyurdu. herhangi bir egzersizi kontrol edin ve denetleyin.
Danışman Denis, amacın yalnızca sosyal mühendislik vektörünün ilk erişim için oluşturduğu potansiyel tehdidi göstermek değil, aynı zamanda şirketlerin başarılı bir saldırının ardından etkili bir şekilde nasıl tepki verebileceklerini vurgulamak olduğunu söylüyor.
“Toplum mühendisliği yürütürken sadece insanları test etmeye güvenmiyoruz” diyor. “Amacımız, zayıflıkları anlamak ve ardından kuruluşun kimlik avını ve sosyal mühendisliği önlemek için teknik kontroller koymasına olanak sağlayacak önerilerde bulunmaktır.”
Değişim, günümüzün kırmızı takım angajmanlarının ve sızma testinin on yıl öncesinden farklı olmasının bir başka yoludur. Danışmanlar, yalnızca savunucuları alt etmeye ve bir işletmenin taç mücevherlerine ulaşmanın en kolay yolunu bulmaya değil, daha çok saldırganları taklit etmeye odaklanır. Ayrıca sızma testi, güvenlik operasyon merkezleri ve uygulama güvenlik ekipleri tarafından kullanılanlar gibi diğer güvenlik araçlarıyla daha entegredir. Ayrıca, daha fazla şirket kitle kaynak kullanımına alıştığı için sızma testi hizmetleri artık daha sık etkileşim sunuyor.
Sosyal Mühendisliğin Etkisini Anlamak
Unit 42’nin yönetici ortağı Chris Scott, şirketlerin bir sızma testi çalışmasına sosyal mühendisliği dahil ederek, gevşek güvenlik protokolleri ve çalışanlar arasında güvenlik bilinci eksikliği gibi eğitimlerindeki ve ortamlarındaki belirli zayıf noktaları öğrenme fırsatı elde ettiğini söylüyor. Palo Alto Networks’te.
“Bu testler, bir saldırının başarılı olup olamayacağını görmekten daha fazlasıdır, aynı zamanda çevrenizde nasıl başarılı olabileceğini keşfetmek içindir” diyor ve ekliyor: “Sosyal mühendislik, bir saldırının erken aşamalarının bir parçasıdır ve tespit edebilmek ve bu saldırılara yanıt vermek, etkilerini sınırlamanın anahtarıdır.”
Uzmanlara göre saldırganlar, saldırıdan önce hedefleri hakkında daha fazla pasif istihbarat toplamaya devam ediyor. Kitle kaynaklı sızma testi hizmeti Cobalt’ın bilgi güvenliğinden sorumlu başkanı Andrew Obadiaru, bir sızma testinin kolayca yararlanabileceğiniz güvenlik açıklarını keşfetmenize yardımcı olsa da, sosyal mühendislik taktiklerine odaklanmanın bir saldırganın başarılı olmasını çok daha zorlaştıracağını söylüyor.
“Tehdit aktörleri, insanları kimlik bilgilerini girmeye, bir e-postayı yanıtlamaya veya bir bağlantıya tıklamaya neyin motive ettiğini anlıyor” diyor. “Sosyal mühendislik gibi uç nokta güvenliğini azaltmak önemlidir, çünkü insanların acil durumlara nasıl tepki verdiklerini ve kişisel veya entelektüel bilgileri ifşa etmeye istekli olup olmadıklarını gösterir.”
Mor Yeni Siyah mı
Bir kırmızı ekip tatbikatına veya sızma testi çalışmasına sosyal mühendisliği eklemenin nihai nedeni, şirketlerin bir saldırganın basit bir e-posta iletisini önemli bir uzlaşmaya dönüştürebileceği beklenmedik yolları ortaya çıkarmasına olanak tanımaktır. Bir güvenlik bilinci firması olan KnowBe4’te teknik bir misyoner olan Erich Kron, masa üstü tatbikatları dahili olarak yürütmenin de sınırları olduğunu söylüyor.
“Kendinizi güvenlik açıkları için test etmek, kendi ödevinizi derecelendirmeye çok benzer, bu nedenle, kuruluşunuzdaki güvenlik açıklarını bulmak için dışarıdan bir görüşe ve yaklaşıma sahip olmak önemlidir” diyor.
Kron, penetrasyon test uzmanlarının veya kırmızı ekiplerin iç güvenlik ekibi veya mavi ekiple çalıştığı “mor ekip” yaklaşımının kritik olduğunu ekliyor.
“Kuruma bir güvenlik açıkları listesi sağlayan bir sızma testi, güvenlik açıklarını ve bunların nasıl azaltılacağını anlamaları için savunma ekibiyle koordinasyon kurmaktan çok daha az faydalıdır” diyor.
Genel olarak, şirketler, güvenlik operasyonlarının başarılı bir sosyal mühendislik saldırısına doğru şekilde yanıt verebildiğinden emin olmalı ve ilk uzlaşmayı önlemenin yollarını bulmalıdır. Bishop Fox’tan Denis, tarayıcıya insanların yeni kayıtlı alanları ziyaret etmesini engelleyen kurallar koymanın ve çok faktörlü kimlik doğrulamayı kullanıma sunmanın, işletmelerin BT ortamlarını toplum mühendislerine karşı güçlendirmenin iki iyi yolu olduğunu söylüyor.
“Düzenli uyumluluk güdümlü kimlik avı tatbikatları, eğitim çabalarını ve güvenlik farkındalığı eğitimini desteklemek için harikadır ve bireylerin ne zaman manipüle edildiklerini belirlemelerine yardımcı olur” diyor. “Ancak, eğitim amaçları için harika olsalar da, organizasyonun sosyal mühendisliğe karşı korunması için onlara güvenilmemelidir.”