تست
یکی از مهمترین انواع تست نفوذ که معمولا مورد غفلت سازمانها قرار میگیرد، تست نفوذ مهندسی اجتماعی (social engineering penetration testing) است. هر سازمانی برای اطمینان از اثربخشی راهکارهای امنیتی خودش در مقابله با تهدیدات سایبری به تست نفوذپذیری یا پن تست نیاز دارد و توصیه میشود که هر سازمانی، زیرساختهای شبکه، نرمافزارها و سختافزارهای خودش را با برون سپاری پن تست به یک شرکت امنیت سایبری بسنجد. همچنین، سنجش آگاهی کارکنان و آمادگی آنها برای دفع حملات مهندسی اجتماعی نیز از اهمیت بسیار بالایی برخوردار است. در این مقاله، توضیح میدهیم که تست نفوذ مهندسی اجتماعی چیست و چطور انجام میشود. با ما همراه باشید.
مهندسی اجتماعی چیست؟
آمارها و مطالعات نشان میدهند که اشتباهات کارکنان سازمانها، مهمترین دلیل هک شدن شبکههای سازمانی و نقض داده هستند. در واقع، اکثر حملات هکری با تکنیکی به نام مهندسی اجتماعی (social engineering) انجام میشوند. در مهندسی اجتماعی، هکرها با شیوههای روانشناسی کاربران را ترغیب میکنند که مرتکب اشتباهی امنیتی مثل کلیک کردن روی یک لینک دانلود بدافزار یا افشای اطلاعات حساسی مثل گذرواژهها شوند. در مقاله جداگانهای تحت عنوان «مهندسی اجتماعی و هک سازمانها با فریب کارکنان» به طور کامل در رابطه با مهندسی اجتماعی و تهدید آن برای امنیت سایبری سازمانها صحبت کردهایم.
تست نفوذ مهندسی اجتماعی چیست؟
تست نفوذ مهندسی اجتماعی نوعی تست نفوذ برای پیادهسازی تکنیکهای رایج مهندسی اجتماعی روی کارکنان سازمان شما با مجوز خود شما برای سنجیدن میزان آسیبپذیری سازمان شما در مقابل حملات مهندسی اجتماعی است.
این نوع تست نفوذپذیری به گونهای طراحی میشود که میزان آگاهی کارکنان در رابطه با تهدیدات سایبری و روشهای مهندسی اجتماعی را بسنجد و مشخص کند که آیا کارکنان، سیاستهای امنیتی تعریف شده توسط مدیریت سازمان را رعایت میکنند یا نسبت به آن بیتفاوت هستند؟
تست نفوذپذیری مهندسی اجتماعی نشان میدهد که آیا هکرها میتوانند به سادگی از کارکنان شما اطلاعات حساسی مثل گذرواژههای سیستمی و شبکه را دریافت کنند و اینکه آیا هکرها میتوانند پرسنل را به گونهای فریب دهند که مرتکب اشتباهات امنیتی مثل کلیک کردن روی لینک دانلود بدافزار یا غیر فعال کردن سامانههای امنیتی شوند.
این نوع تست نفوذ را میتوان به عنوان بخشی از یک تست نفوذ جامع یا به صورت جداگانه انجام داد. اجرای تست نفوذ مهندسی اجتماعی، کاری بسیار تخصصی است و تنها بعضی از هکرهای قانونی که هکرهای کلاه سفید نیز نامیده میشوند و دارای وابستگی سازمانی به یک شرکت امنیت سایبری معتبر هستند، از شایستگی لازم برای پیادهسازی این نوع پن تست برخوردارند.
تست نفوذ پذیری مهندسی اجتماعی چطور انجام میشود؟
معمولا، تستهای نفوذپذیری مهندسی اجتماعی به صورت ترکیبی از دو شیوه «در محل» (on-site) یا «خارج از محل» (off-site) انجام میشوند.
- تست نفوذ مهندسی اجتماعی در محل: در این نوع تست نفوذ، هکرهای کلاه سفید تلاش میکنند تا پس از نفوذ به ساختمان سازمان، با روشهایی مثل جعل هویت، رهاسازی حافظههای USB در سازمان (USB drops) یا مکالمات ساده با کارکنان، اطلاعات حساس را گردآوری یا به شبکه سازمان نفوذ کنند.
- تست نفوذ مهندسی اجتماعی خارج از محل: در این نوع تست نفوذپذیری، هکرهای کلاه سفید در فضای سایبری برای مهندسی اجتماعی کارکنان سازمان شما تلاش میکنند. تست نفوذ مهندسی اجتماعی خارج از محل میتواند به صورت حملات فیشینگ انجام شود.
مراحل تست نفوذ مهندسی اجتماعی
از مهمترین روشهای مورد استفاده در مهندسی اجتماعی که در پن تست مهندسی اجتماعی نیز مورد استفاده قرار میگیرند، میتوان به روشهای زیر اشاره کرد:
۱- انتخاب قربانی: برای تست موفق، هکرهای کلاه سفید، اهداف خودشان را با دقت انتخاب میکنند. آنها معمولا کارکنانی را هدف قرار میدهند که به راحتی فریب میخورند. البته، خیلی مهم است که هدف مورد نظر، اطلاعات حساسی برای لو دادن داشته باشد. بر این اساس، اهداف اصلی هکرهای کلاه سفید در پن تست مهندسی اجتماعی شامل موارد زیر هستند:
- کارکنانی که آگاهی کمتری در رابطه با تهدیدات سایبری و حفاظت اطلاعات دارند
- کارکنانی که با سازمان به مشکل خوردهاند و احساس میکنند که با آنها رفتار شایستهای نشده است
- کارکنان اخراج شده
وبسایتهای کاریابی، لینکدین و انجمنهای متقاضیان کار محلهایی هستند که کارکنان ناراضی کنونی و کارکنان اخراج شده، نظرات منفی خود را در رابطه با سازمانها به اشتراک میگذارند و هکرها میتوانند چنین اهدافی را شناسایی کنند.
۲- گردآوری اطلاعات: هکرهای کلاه سفید پیش از تست کردن کارکنان شما، سعی میکنند تا اطلاعاتی از آنها به دست بیاورند.روشهای مختلفی برای گردآوری اطلاعات شخصی از کارکنان وجود دارد اما دو روش اصلی عبارتند از:
- شناسایی فعال: در این روش، هکرها با برقراری تماس با هدف، اطلاعاتی از او به دست میآوردند. این روش میتواند شامل تماس گرفتن با شخص هدف و جعل هویت باشد.
- شناسایی منفعلانه: در این روش هکرها تلاش میکنند تا اطلاعاتی از شخص هدف که در دسترس عموم قرار دارند، مثل اطلاعات موجود در شبکههای اجتماعی را پیدا کنند. این کار میتواند با جستجوی نام هدف در گوگل شروع شود و سپس تمامی اطلاعاتی که از هدف بر بستر اینترنت وجود دارد، گردآوری میشود. در این رابطه، باید به مفهوم جاسوسی متنباز (open-source intelligence یا به اختصار، OSINT) نیز اشاره کنیم که به نوع دادههای گردآوری شده اشاره دارد. دادههای OSINT از منابع عمومی گردآوری میشوند.
۳- اجرای حمله مهندسی اجتماعی: در این مرحله، هکرهای کلاه سفید، از تکنیکهای مختلف مهندسی اجتماعی مثل فیشینگ، اسمیشینگ (smishing)، جعل هویت و غیره برای اجرای حملات خود استفاده میکنند.
چرا باید تست نفوذ مهندسی اجتماعی انجام دهید؟
در ابتدای این مقاله اشاره کردیم که اشتباهات انسانی (که میتوانند سهوی یا عمدی باشند) نقش اصلی را در بیشتر موارد هک شدن شبکه سازمانها و نقض داده دارند. در مطالعهای که استاد دانشگاه استنفورد، جف هنکاک و شرکت امنیت سایبری Tessian با همدیگر انجام دادهاند، مشخص شده است که ۸۸ درصد موارد نقض داده در سازمانها به دلیل اشتباهات کارکنان رخ میدهند. IBM نیز مطالعه مشابهی را انجام داده و به عدد ۹۵ درصد رسیده است.
بنابراین، ضرورت دارد که با اجرای دورهای تست نفوذپذیری مهندسی اجتماعی، آسیبپذیری کارکنان سازمان خود را در مقابل حملات مهندسی اجتماعی بسنجید و نقطه ضعفهای کشف شده در این تست را با برگزاری کلاسهای آموزشی و آگاهی از تهدیدات سایبری برای پرسنل آسیبپذیر، برطرف کنید.
سوالات پرتکرار
۱- چه کسانی تست نفوذ مهندسی اجتماعی انجام میدهند؟
هکرهای کلاه سفید دارای وابستگی سازمانی به شرکتهای امنیت سایبری مثل سایبرنو میتوانند تست نفوذ مهندسی اجتماعی را انجام دهند.
۲-کدام سازمانها باید تست نفوذ مهندسی اجتماعی انجام دهند؟
سازمانهای دولتی و خصوصی متوسط تا بزرگ نیازمند اجرای تست نفوذ مهندسی اجتماعی هستند.
۳- چرا باید تست نفوذ مهندسی اجتماعی انجام دهیم؟
از آنجایی که دلیل اصلی بیشتر موارد هک شدن سازمانها، اشتباهات کارکنان است، اجرای تست نفوذ مهندسی اجتماعی برای پیدا و رفع کردن آسیبپذیری پرسنل در مقابل حملات مهندسی اجتماعی، ضرورت دارد.
