社交工程安全评估

人员是整个网络安全链上最薄弱的环节。公司员工每天都会面临各种各样的威胁,比如钓鱼邮件,再比如社交工程诈骗电话,同时企业往往也不重视加强员工识别风险的能力。

不管企业采取了怎样的技术和物理安全措施,基础设施和网络是否安全最终还是要取决于员工、承包商或供应商是否具备识别这类攻击并且不落入陷阱的能力。

黑客也知道这些原则,这就是为什么人员成为首选目标的原因。网络犯罪人员使用复杂的社交工程技术说服并控制用户,获取登录内部网络和访问敏感信息的权限。

评估员工识别和抵抗社交工程攻击的能力是组织安全计划的重要一环。

社交工程安全评估

我们的服务由在防御和攻击方面有着丰富经验的高级安全专家和渗透测试工程师创建真实的钓鱼情境。服务的目标不仅是对员工抵御一般钓鱼攻击的能力进行评估,更重要的是对严重影响组织的目标和鱼叉式网络钓鱼攻击进行评估。为此,威联科技自主研发了一个社交工程评估辅助解决方案—Phishlynx。


社交工程评估服务

社交工程安全评估

附带镜像网站的邮件钓鱼攻击

这种情境是发送钓鱼邮件,尝试诱骗用户登录到跟真实网站非常相似的镜像网站,并输入敏感信息,比如用户名和密码。

社交工程安全评估

带有附件的邮件钓鱼攻击

这种情境是发送带有附件的钓鱼邮件,诱骗用户打开附件(比如XLS文件),启动VB宏功能。

社交工程安全评估

带超链接的邮件钓鱼攻击

这种情景是向攻击对象发送钓鱼邮件,企图诱骗用户点击链接。

社交工程安全评估

附带文件下载的邮件钓鱼攻击

这种情境是向攻击对象发送钓鱼邮件,企图诱骗用户下载附件中的恶意文件(比如XLS文件),启动VB宏功能。

社交工程安全评估

USB丢弃攻击

这种情境是将含有文件的U盘丢弃在最可能被人捡走的地方,比如会议室、卫生间、停车场等,目标是诱骗用户将U盘连到USB驱动器上,打开可能嵌入恶意代码的文件。

社交工程安全评估

语音钓鱼(电话钓鱼)

利用社会工程技术,通过电话诱骗用户提供用户名、密码等敏感信息,从而登录该用户电脑。

社交工程安全评估

冒充员工和物理安全控制

这种情景是多次试图获得特定地点或未经授权物理网络访问、诱骗、尾随、垃圾搜索、USB丢弃的访问权限。


社交工程方法

威联科技社交工程评估通常分三个阶段执行:

社交工程安全评估

●威胁分析,确定审计目标
●目标侦查
●创建脚本和时间计划
●攻击平台准备

社交工程安全评估

●电子邮件钓鱼攻击
●语音攻击
●USB丢弃攻击
●评估和说明

社交工程安全评估

●整体评估和评估结果记录,包括详细的统计数据
●风险评估
●报告撰写和建议
●事后情况说明


侦查与规划

在侦查和规划阶段需要开展下列工作:

●创建攻击脚本、详细计划及攻击方式复核
●获取特定信息和访问类型信息(比如员工编号、登录名/密码、登录HR系统等)
●确定范围、攻击对象、可为/不可为工作及区域
●可能成为攻击对象的客户公司员工
●检测组织相关信息,比如工作人员、八卦消息、弱点、内部问题、攻击对象分析等
●攻击平台和工具准备(比如注册域名、镜像网站,并跟踪脚本,生成统计数据、附件、虚假恶意软件等)


执行

这是评估过程的核心阶段,包括有效开展前期确定并经过双方一致同意的测试。

假如威联科技集团发现存在较大的数据缺口和严重弱点,会在第一时间通知客户,这样可以帮助客户安全及时地启动应急措施。


评估结果分析和报告撰写

本阶段我们将完成以下几项工作:

●整体评价,并撰写评估报告,包括泄露敏感信息和授予他人访问权限的员工
●核查和质量检查
●撰写报告,给予评价,并提出建议

报告中将对信息安全的薄弱环节和重大风险—“人为因素”进行说明、评价和判定。

最终报告中将阐述各项评估结果,并参照ISO 27001国际IT安全标准对优缺点进行对比分析。我们将对已识别的薄弱环节进行评估,并根据相关风险提出最合理的建议和补救措施。向客户口头汇报评估结果时,双方将对最终报告进行讨论。报告将对已开展的社会工程评估工作做一个全面透彻的总结。此外,报告还将详细阐述评估结果,并基于此展开相应论述并提出建议,以便进一步完善安全管理措施。


安全和渗透测试证书

威联科技安全顾问和渗透测试工程师都拥有网络安全和渗透测试领域最具含金量的证书,比如:CREST CRT、SANS/GIAC GXPN、GPEN、 GWAPT、GCIH、GMOB、OSCP、CEH、CISSP、CISA等!

社交工程安全评估

更多证书,请点击

www.suchenhui.com
友情链接:大发快3规律  大发快3  大发快3官网  大发快3网址  大发快3网址  大发快3网址  大发快3官网  大发快3规律  大发快3计划  大发快3规律