执行渗透测试可以评估公司的安全状况,有许多不同的方法,但在本文中,我们将重点关注其中一种:社会工程。
社会工程渗透测试重点关注人员和流程以及与之相关的漏洞。这些笔测试通常由道德黑客进行不同的社会工程攻击,例如网络钓鱼、USB 丢失或人们在工作过程中可能面临的冒充行为。此测试的目标是识别个人、群体或流程中的弱点,并确定漏洞并提供明确的修复路径。
在本文中,我们将讨论什么是社会工程攻击、为什么公司应该执行这些测试、部署社会工程攻击的常用方法以及如何执行社会工程渗透测试。
渗透测试的类型 |
||
---|---|---|
外部 VS 内部 |
网络 |
无线的 |
近源攻击 |
防火墙 |
Web应用程序 |
什么是社会工程攻击?
社会工程攻击有多种形式,但最常见的是网络钓鱼、网络钓鱼、短信诈骗、冒充、垃圾箱潜入、USB 丢失和尾随攻击。
网络钓鱼
网络钓鱼是一种通过电子邮件发生的方法,试图诱骗用户放弃敏感信息或打开可能感染其计算机的恶意文件。
许愿
网络钓鱼与网络钓鱼类似,但通过电话进行。这些电话试图诱骗用户放弃敏感信息。
诈骗
网络钓鱼与网络钓鱼类似,但通过短信进行。这些短信的目的与网络钓鱼相同。
冒充
冒充是攻击者试图愚弄他人,让其相信自己是其他人的一种方法。
例如,攻击者可以冒充高管,目的是说服员工向虚构的供应商提供财务付款或授予对机密信息的访问权限。
假冒攻击还可能以用户为目标,以获取其帐户的访问权限。这可以通过请求重置密码来完成,而无需管理员验证其身份。
这种攻击的另一个例子是冒充送货员。在某些情况下,送货人员几乎没有任何限制,可以毫无疑问地进入安全区域。
垃圾箱潜水
垃圾箱潜水是一种攻击者不仅浏览垃圾,还浏览其他显而易见的物品(例如便利贴和日历)的方法,以获取有关个人或组织的有用信息。
USB 掉落
USB Drop 是一种在整个工作空间的公共区域使用恶意 USB 的方法。USB 通常包含一些软件,插入后会安装恶意软件,这些软件可以为系统提供后门或传输具有常见文件扩展名的文件。
尾随
尾随是一种用于绕过物理安全措施的方法。您通常会看到这种方法用于需要人员扫描密钥卡才能进入的场所。
在这种类型的攻击中,攻击者会紧紧跟随员工,并在员工扫描钥匙扣并打开门时进入房间。
为什么要进行社会工程测试?
在安全方面,用户通常被称为“最薄弱的环节”,但用户仍然拥有执行其工作所需的更多权限。
因此,只有对这些用户进行渗透测试才有意义。这些渗透测试可以显示公司内的哪些人容易受到前面讨论的攻击等攻击。
社会工程渗透测试通常以现场和场外测试相结合的混合方式进行。
现场测试
现场测试用于测试建筑物的物理安全性和适当的策略,例如干净的工作站策略。
用于现场测试的典型攻击方法是:
-
冒充
-
垃圾箱潜水
-
USB 掉落
-
尾随
场外测试
场外测试用于测试用户平时的安全意识。在这种类型的测试中,渗透测试人员将研究公司并使用公开的信息来测试公司。
这些测试是远程进行的,通常包括以下攻击:
-
许愿
-
网络钓鱼
-
诈骗
用于执行社会工程攻击的方法
社会工程攻击主要采用三种方法,包括信息收集、受害者选择和与受害者接触。
信息收集
在测试目标之前,您需要熟悉它们。为此,您需要尽可能收集有关目标的所有公开信息。
当目标是金融公司时,通过医疗网络钓鱼攻击测试目标是没有意义的。
您可以通过多种方式获取有关目标的信息,但最常见的社会工程方法是主动和被动侦察以及开源情报 (OSINT)。
主动侦察
主动侦察是在与目标交战时尝试获取有关目标的信息。这可以通过呼叫目标并冒充其他人来获取信息,或者可以通过进行端口扫描来更隐蔽。
被动侦察
当攻击者进行被动侦察时,他们通常会转向 Facebook 或 LinkedIn 等流行社交媒体网站。这是快速获取有关目标的一般信息以寻找威胁向量的好方法。
例如,攻击者可以使用 Facebook 上发布的计划假期信息来了解您何时出城。一旦离开,他们就可以搜查您的家,寻找访问公司网络的方法。
除了自由之外,被动侦察的主要优点之一是攻击者不必与目标交互来收集信息,从而降低了被发现的风险。
开源情报 (OSINT)
开源情报 (OSINT)是指已收集的数据类型。
OSINT 数据是从公开来源收集的数据,被视为“开放”。
回想一下被动侦察,被动是收集数据的方法,开源情报是收集的数据类型。
受害者选择
为了成功进行测试,您需要仔细选择“受害者”。您需要选择容易被欺骗的受害者或受害者群体。
这些通常包括:
-
意识较低的员工
-
虐待员工
-
最近被解雇的员工
您可能想知道如何识别每个类别的员工。Glassdoor等网站是一个很好的来源。
Glassdoor 允许现任和前任员工审查公司并留下有关他们的经验、薪酬和福利的评论。
从这些评论中,您可以轻松识别出那些可能不太了解但更愿意分享有关公司信息的人。
您会惊讶于金钱如何影响员工的忠诚度,尤其是当他们觉得自己的工资过低或被低估时。
与受害者接触
这是您开始与受害者接触的步骤。一旦确定了受害者,就开始计划最适合每个人或每个群体的攻击方法。
为了制定相应的计划,您可能需要进行更有针对性的主动和被动侦察。
同样,这里的目标是在不触发任何警报的情况下收集尽可能多的有关人员的数据。您不想向他人透露攻击或测试可能即将来临。
执行社会工程渗透测试的步骤
执行社会工程渗透测试有四个主要步骤,包括测试规划和范围界定、攻击向量识别、渗透尝试和报告。
第 1 步:测试计划和范围界定
在我看来,这一步是渗透测试过程中最重要的一步。在此步骤中,您将确定范围内的内容以及如何执行测试。
这通常需要管理层和执行测试的人员召开会议。需要记住的一件事是,您希望将参与本次会议的人数保持在最低限度,以防止了解测试的人数。
您希望测试尽可能准确,为此,您需要尽量减少对测试的认知。
在确定测试范围时,您将需要包括您计划使用的所有方法和攻击。例如,如果您想尾随或冒充员工或送货人员,则需要将其纳入范围内。
从范围来看,您将能够编写一份由所有相关方都同意的清晰合同。合同是渗透测试的关键。
这是已获得执行测试许可的证明,并且在某些情况下可以帮助您免遭牢狱之灾。
第 2 步:攻击向量识别
在确定渗透测试的范围后,您应该有一个明确定义的合同,规定您可以测试什么以及测试谁。
渗透测试的这一步将涉及测试人员识别他们在测试期间将使用的所有方法。
这些方法还应该链接到某些用户和组。例如:
-
保安人员将通过模拟测试进行测试。该测试将包括模仿亚马逊送货员向 IT 员工送货。
-
保安人员将通过尾随测试进行测试。该测试将要求测试人员在员工进入建筑物以及进入建筑物或安全区域时密切监视员工,同时进入大量人员。
-
会计人员将使用网络钓鱼测试进行测试。该测试将涉及向会计师发送一封欺骗首席执行官办公室的网络钓鱼电子邮件,并要求审查上个月的费用报告。
-
IT 员工将使用模拟测试进行测试。该测试将涉及渗透测试成员请求应收账款部门员工重置密码。
像我上面那样列出攻击向量不仅有助于引导渗透测试,还可以让管理层清楚地了解您测试公司所采取的步骤。
每个测试都可以根据用户的反应程度进行评分,这将有助于渗透测试的总体最终得分。
第 3 步:尝试渗透
在渗透测试的这一步中,测试人员将采用上一步中列出的所有攻击向量并执行这些测试。
文档是此步骤的关键,因为这些测试稍后将成为报告的支持证据。
您应该收集的证据类型是:
电话录音
这些电话很重要,因为没有其他方法可以记录这次攻击的发生并显示其结果。
来自网络钓鱼攻击的电子邮件
这些电子邮件很重要,因为它们可以显示用户在发现攻击之前允许攻击进行到什么程度。在某些情况下,用户直到放弃敏感信息后才会明白。
在垃圾箱潜水时发现的文件。此类文档应包括找到的文档的扫描件,甚至包括找到文档的位置的图片(如果适用)。
除证据外,测试人员还应包括每次测试的开始和结束时间、进行测试的人员姓名以及被测试员工的姓名。
第 4 步:报告
渗透测试的报告步骤是将所有结果汇总在一起。在撰写报告时,请记住您的受众是谁。
在大多数情况下,受众是高级管理层,您的报告应该与他们交谈。确保解决他们在测试开始时讨论的所有最初问题以及您在测试过程中发现的所有漏洞。
在报告中,您不仅应该提及发现的漏洞,还应该提供如何缓解漏洞的建议。
典型的渗透测试报告包括:
-
执行摘要
-
发现的技术风险演练
-
发现的漏洞的潜在影响
-
针对发现的每个漏洞可用的修复选项
-
您对渗透测试的结论性想法
-
漏洞消除
根据您与公司的关系或您同意的合同,渗透测试的最后一步是消除测试期间发现的漏洞。根据我的经验,我已经通过多种方式看到了这一点。
最常见的方法是通过测试、修复、重新测试和必要时重复的方法。
首先,进行测试,并将发现的所有漏洞报告给管理层并提供修复选项。
接下来,在进行另一次测试之前,公司会被分配一定的时间来缓解这些漏洞。
然后,根据下一次测试的结果,渗透测试将被关闭或重新测试,直到公司决定接受发现的风险或测试达到或超过预定义的分数。
结束语
社会工程渗透测试对于公司来说是测试其组织技术领域最薄弱环节安全状况的好方法。这些渗透测试可以由内部审计团队或专门从事渗透测试的外部公司进行。
两者都有其优点和缺点,例如内部团队可以节省资金,但不能提供公正的意见,而外部公司可以提供公正的意见,但成本更高。
无论哪种方式,请求测试的公司都应尽职调查,并验证执行测试的公司或团队是否持有适当的行业认证,例如认证道德黑客 ( CEH),以确保测试的合法性和价值。
原文始发于微信公众号(河南等级保护测评):社会工程渗透测试:攻击、方法和步骤
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论