Estrategias de ingeniería social para agregar a sus pruebas de penetración

¿Cuál fue el principal problema de seguridad de su organización en 2016? ¿Y cuál será en 2017?

Si su empresa es como la mayoría, los hacks que conducen a la piratería de datos están en la parte superior de la lista. Claro, los problemas de continuidad siempre son una preocupación, pero nada nos hace temblar como un gran avance. Las violaciones estaban en la cima Lista de CIO sobre seguridad durante muchos años. Y en Wired's un artículo sobre las mayores amenazas de seguridad de 2016cuatro de los cinco problemas principales estaban relacionados con datos pirateados y acceso no autorizado.

Los expertos en seguridad saben que mientras haya alguien con acceso a una ordenador e intenciones maliciosas, la piratería será un problema importante para las empresas.

Por supuesto, esto no es información asombrosa. Esta es la razón por la que las empresas dedican tiempo y recursos tanto a la formación de conciencia del usuario como a las pruebas de penetración.

Sus pruebas de penetración verifican las vulnerabilidades en su red, sus sistemas, incluso su software interno antes de implementarlo. Y su equipo de seguridad de TI está trabajando para tapar activamente estos agujeros antes de que sean descubiertos por el mundo exterior.

Al mismo tiempo, las pruebas de reconocimiento de usuarios hacen exactamente eso: informar a los usuarios de su organización sobre las amenazas que pueden enfrentar y la importancia de la diligencia. La preservación de la información física suele ser parte de la capacitación, pero la mayoría se enfoca en contrarrestar las tácticas de ingeniería social y los esquemas de phishing.

Y por una buena razón. Los estudios muestran que una empresa mediana gastará $ 3.7 millones anualmente para combatir los ataques de phishing y corregirlos. ¿Pero funciona este entrenamiento? ¿Solo funciona por un tiempo o solo con algunos empleados? ¿Cómo puedes saberlo?

Al igual que en sus redes y sistemas, debe pensar en probar la penetración de su red humana. Y si bien hay empresas que realizarán pruebas de ingeniería social para usted, es posible que desee comenzar probando usted mismo las frutas más fáciles de alcanzar.

Índice

Vulnerabilidades a comprobar

Es posible que no tenga los recursos y el tiempo para realizar pruebas de penetración de ingeniería social complejas y exhaustivas, pero puede lograr lo mejor con un tiempo y esfuerzo mínimos, y estos tres le brindarán el mayor beneficio por su dinero.

Algunos de ellos se analizan en nuestro artículo "Ingeniería social: por qué las personas son la mayor amenaza" como uno de los medios más comunes de ingeniería social. Esta es una buena razón para comenzar con ellos. Al asegurarse de que su capacitación contrarreste de manera efectiva las amenazas más comunes, sabe que puede pasar a crear conciencia sobre tácticas menos comunes pero más desagradables.

Phishing y spear phishing

El phishing es una de las mayores amenazas a las que se enfrenta su organización, al menos en términos de volumen. Estimaciones de Phishing.org que la mitad de Internet recibe al menos un correo electrónico de phishing al día. Configurar pruebas de phishing en su organización puede requerir un poco más de esfuerzo que en otros escenarios, pero debido al volumen, vale la pena dedicar más tiempo para asegurarse de que su organización esté atenta y consciente de los peligros.

Hay dos tipos de vulnerabilidades de phishing que se pueden agregar a un programa manual de prueba de red humana. El primero es un ataque general que se impone a una amplia gama de personas en su empresa. Esto es lo que debe hacer: envía un correo electrónico con un mensaje destinado a alentar al destinatario a hacer clic en un enlace a una página web creada por su seguridad de TI. Por razones éticas, esta página web no debe registrar información personal. En cambio, solo desea contar la cantidad de personas que hicieron clic en el enlace para compararlo con la cantidad de destinatarios objetivo.

La segunda prueba examina el phishing selectivo. Estos son ataques muy específicos en los que el objetivo del exploit es obtener información, no solo acceso al sistema. En Spear Phishing, el objetivo recibe un correo electrónico que parece ser de alguien que conoce, de una empresa con la que tenía una relación comercial o de alguien que se refiere a un presunto conocido común u otra información que hace que el atacante sea creíble.

Debido a que este segundo tipo de ataque es más específico que el phishing general, este tipo de prueba debe planificarse cuidadosamente y pensarse bien para imitar un escenario real. Por estos motivos, es posible que desee posponer este tipo de prueba hasta que tenga tiempo de evaluar quién será más valioso en su organización y trabajar en los canales internos apropiados para obtener todos los permisos necesarios.

Pretexto telefónico

Un pretexto es una forma de ingeniería social en la que un atacante miente sobre el objetivo de obtener información confidencial o incluso acceso físico a lugares seguros. Un atacante puede usar una serie de tácticas para ganarse la confianza, ridiculizar o crear una sensación de urgencia y necesidad de un propósito.

Su vector de ataque más probable en este caso es una llamada telefónica, por lo que debe centrar sus pruebas en este tipo de ataque. Si bien fingir por teléfono requiere algo de talento, puede ser más fácil llamar a alguien con un guión que hacer que mienta en persona.

Al igual que la prueba de phishing anterior, una prueba de ética no debe intentar obtener información personal, como números de seguro social o secretos corporativos. En cambio, en una empresa grande, piense en agregar cuentas falsas y vea si puede cambiar la contraseña de esa cuenta o la información sobre el empleado falso.

Absolutamente

El engaño es un ataque que permite que las personas sean humanas. Para el acoso, algunos medios físicos, como una unidad USB o un CD, se entregan o se dejan tirados en la oficina o cerca de ella. La curiosidad y, a veces, incluso la codicia pueden abrumar a los usuarios y tomarán los medios abandonados e intentarán usarlos.

Al igual que la prueba de phishing, prepararla requiere tiempo y esfuerzo. Idealmente, debe configurar un medio físico con una carga útil que le permita conocer la máquina que se utilizó para ver el medio. La identificación de la máquina será importante, ya que después de eso querrá "limpiar" la prueba y asegurarse de no haber dejado un agujero en el sistema sin darse cuenta.

Organiza tus pruebas

Es poco probable que su organización requiera todas estas pruebas de inmediato, especialmente si nunca antes ha probado un ataque de ingeniería social. Mire de cerca cada escenario y vea qué políticas o problemas específicos en su organización está tratando de comprender. Por ejemplo, como ejemplo convincente, si no tuviera ningún lugar físico que proteger, no habría razón para utilizar una prueba presencial.

Una vez que haya compilado una lista de las pruebas de ingeniería social que cree que serán más efectivas, priorice la lista en la mayor amenaza para su organización. Es posible que no reciba financiación o aprobación para hacer lo que quiera de inmediato, por lo que tener esta lista para el siguiente paso aumentará sus posibilidades de realizar las pruebas más críticas que se ofrecen.

Con sus pruebas y prioridades programadas, es hora de iniciar una conversación con las partes interesadas. En este punto, asumiría que su CSO o gerente de seguridad está al tanto de sus esfuerzos, pero ahora debe brindarles los detalles. En este punto, las otras partes interesadas a las que desea dirigirse son, como mínimo, los ejecutivos de recursos humanos y TI.

Para asegurarse de que las pruebas reciban un sello de aprobación y procedan, deberá participar en Recursos Humanos. Los CIO deben ser conscientes de dos razones: probablemente necesitarán aprobar las pruebas y pueden proporcionar cobertura de aire si una de las pruebas revela problemas importantes. Obviamente, debido a la naturaleza delicada de las pruebas, desea que el círculo de confianza sea estrecho. Pero sin el apoyo de las personas adecuadas en su organización, puede encontrarse en un campo minado.

¿Ahora que?

La puerta está cerrada

Así que planeó sus pruebas, consiguió una aceptación y obtuvo los resultados. ¿Que sigue?

Resista la tentación de culpar inmediatamente a los usuarios finales. Una prueba con resultados deficientes puede requerir un poco de búsqueda por parte de los equipos de capacitación y seguridad de TI. Cualquier hueco grande indica la necesidad de una educación mejor y más eficaz.

Revise sus materiales de estudio que cubren temas que tuvieron problemas durante la prueba. Luego pregúntese: ¿los materiales son lo suficientemente claros? ¿Todos entienden los riesgos? ¿Ha impactado la violación en lo que entienden personalmente?

Planifique su estrategia para actualizar los materiales de estudio y planifique su próximo curso de estudio. La revisión de materiales, la actualización, la edición y la gestión de la formación llevará tiempo. Una vez que se complete este proceso, verifique nuevamente. Compara tus resultados. Y sigue mejorando.

Cuando prueba sistemas y redes, no lo hace una vez y luego se detiene. Debido a que los sistemas de su organización cambian constantemente, con software nuevo instalado, actualizaciones del sistema y cambios en la red, usted verifica regularmente para asegurarse de que ninguno de los cambios cree un nuevo agujero.

Lo mismo es cierto para probar su red humana. Se agregan nuevos empleados; las personas reciben diferentes niveles de acceso. Por lo tanto, también se deben repetir las pruebas de ingeniería social para asegurarse de que los cambios en el personal no provocaron un cambio en el nivel de riesgo.

Si está listo para comenzar a probar bolígrafos en ingeniería social, siga los pasos que hemos descrito aquí. Conoce los tipos más comunes de ingeniería social. Revise su campaña y sus políticas para identificar las mayores amenazas. Obtener el apoyo de las partes interesadas de la organización. Y luego asegúrese de aplicar lo que aprendió de la prueba para mejorar el aprendizaje. Finalmente, asegúrese de que todos los empleados sepan lo importantes que son para mantener seguros los datos de la empresa.

Foto: Freerange Stock



Si quieres conocer otros artículos similares a Estrategias de ingeniería social para agregar a sus pruebas de penetración puedes visitar la categoría Tutoriales.

Artículos de interés

Subir

Si continuas utilizando este sitio aceptas el uso de cookies. Más información