№7. Хакінг у практичному застосуванні та соціальна інженерія (Виявлення, вимірювання та звітність)

3 липня 2023 1 хвилина Автор: Cyber Witcher

Виявлення, Вимірювання та Звітність в Соціальній Інженерії

Виявлення, вимірювання та звітність в соціальній інженерії є невід’ємною частиною стратегій безпеки і захисту від шахрайства та соціальних атак. Цей процес включає систематичне виявлення потенційних загроз, оцінку їх ризику, вимірювання ефективності заходів безпеки та створення звітів для аналізу та подальших стратегічних рішень. Виявлення в соціальній інженерії передбачає виявлення підозрілих активностей, які можуть включати фішингові спроби, спроби отримання незаконного доступу до систем або спроби маніпуляції користувачами для отримання конфіденційної інформації. Це може включати моніторинг соціальних медіа, аналіз поведінки користувачів, використання технік розпізнавання загроз та інших методів.

Вимірювання в соціальній інженерії включає оцінку ризику, ефективності заходів безпеки та виявлення потенційних вразливостей.  Найціннішу частину процесу соціальної інженерії також найчастіше недооцінюють чи ігнорують. У цьому розділі ви дізнаєтеся про етапи виявлення, вимірювання та звітності. Часто частина допомоги організації-клієнту полягає в тому, щоб навчити їх виявляти себе. На етапі виміру ви повинні зібрати статистичні показники своїх успіхів, а також інші ключові показники ефективності. Ви використовуватимете цю статистику для створення професійного зрозумілого звіту. Ми обговоримо різні способи виміру результатів атаки. Вони включають розгляд різних показників, здатних зробити ваші дані зрозумілими для ваших клієнтів. Найкорисніші з цих показників виходять за рамки простого перерахування того, скільки було відкрито електронних листів чи посилань, на які натиснули. Нарешті, я поясню, як написати корисний, цікавий звіт, зрозумілий керівникам організації-замовника.

Виявлення

У той час як всі пентестери, і особливо фахівці з соціальної інженерії, прагнуть до несанкціонованого доступу, етичні пентестери також повинні сподіватися, що їх виявлять. Клієнти не платять вам за руйнування інфраструктури компанії та приниження своїх співробітників. Навпаки, їм потрібне розуміння слабких сторін своєї компанії, а також поради щодо їх усунення.

Отже, ви повинні зайняти золоту середину: кидайте виклик своїм жертвам, але робіть це чесно. Якість навчання персоналу замовника знаходиться поза вашим впливом. Цьому присвячений третій розділ книги. Частина, яка залежить від вас, – це структура ваших зобов’язань. Використовуючи атаки різного рівня складності, ви можете дати співробітникам можливість виявити вас і повідомити в службу безпеки.

При визначенні обсягу взаємодії з жертвою потрібно прийти до чіткого розуміння з клієнтом щодо того, наскільки таємно ви повинні себе вести. Якщо ви проводите цю атаку, щоб прийняти рішення щодо програми розвитку персоналу, ви, ймовірно, захочете бути дуже скритними або неймовірно галасливими, залежно від рівня підготовленості організації, з якою ви працюєте (хоча остаточне рішення залежить від клієнта). Зріла організація може бути в змозі впоратися з таємною операцією, але все одно наполягати на проведенні грубої і галасливої діяльності, або вона може бути занадто незрілою, щоб отримати вигоду від таємних операцій, навіть якщо керівництво віддає перевагу цьому варіанту.

Якщо діяти приховано, то можна отримати точне уявлення про те, на що здатний досвідчений супротивник всередині організації. Приховані операції можуть бути хорошим орієнтиром для розуміння ризиків, якщо вони мають вагоме обґрунтування. Організації, які вже мають програми обізнаності та навчання, можуть отримати від них найбільшу користь. Часто такі атаки найкраще підходять для проведення ворожої кампанії для імітації вторгнення червоної команди або – меншою мірою – тесту на проникнення. Також допустимо самостійне проведення подібних заходів з боку організації.

Відкриті тести є чудовою першою контактною особою для організації, яка абсолютно не знайома зі змагальною імітацією та соціальною інженерією. Якщо метою змагальної імітації є перевірка процедур компанії, відкриті операції можуть стати оптимальним рішенням, яке заощадить вам і клієнту значну кількість часу.

Вимірювання

Щоб виміряти успішність вашої взаємодії, потрібно використовувати метрики. Але які показники важливі? Як ви їх вимірюєте? Вам потрібно пройти курс статистики або отримати диплом з науки про дані?

Дійсно, деякі знання статистики можуть стати в нагоді, і в певних ситуаціях – наприклад, якщо ви хочете оцінити, який з відділів компанії найчастіше ставав жертвою атак соціальної інженерії або які схеми і терміни виявилися найбільш ефективними – розуміння таких понять data science, як регресія і кластерний аналіз, точно не завадить. Однак в більшості випадків ці навички зовсім не потрібні. Також майте на увазі, що якщо ви плануєте проводити статистичні дослідження, вам знадобиться значний набір даних (тисячі фішингових електронних листів, якщо не мільйони) і, що більш важливо, згода клієнта.

Підбір показників

При виборі індикаторів намагайтеся бути максимально практичними. Які новини про замовників можуть бути на першій шпальті місцевої газети? Що може привести до проблем з законом? Здебільшого просте відкриття електронного листа не призведе до негативного результату, тому цей показник може бути не дуже корисним для вимірювання. Перехід за посиланнями, розкриття конфіденційної інформації або приховування факту нападу на когось призводить до негативних наслідків.

Хоча у вас можуть бути власні ідеї щодо того, які показники слід враховувати, знання того, які з них клієнт вважає важливими, також має вирішальне значення. Виходячи з цього, ви можете організувати дані таким чином, щоб допомогти клієнту зрозуміти їх.

Співвідношення, медіани, середні та стандартні відхилення

Щоб змістовно представити дані, необхідно знати, як обчислювати наступні величини: співвідношення, медіани, середні значення і стандартні відхилення. Ці операції вимагають, щоб принаймні 30 точок даних були статистично значущими.

Відносини, простою мовою, говорять вам “скільки X в Y” у відсотках. Іншими словами, якщо ви надсилаєте фішинговий електронний лист 100 співробітникам компанії, і 19 з них натискають на посилання, у вас є 19 зі 100 або 19% шансів, що хтось натисне на посилання (це співвідношення також називається clickrate).

Медіана є найбільш центральною точкою даних для значення. Якщо розташувати точки даних у порядку від найменшого до найбільшого, медіана буде рівновіддаленою від обох кінців лінії. Наприклад, ви здійснили три фішингові атаки на клієнта зі 100 користувачами. Жертвами першої взаємодії стали 62 користувача. У другого їх було 34, а у третього – 19. Давайте розставимо ці точки даних по порядку,  від меншого до більшого. Якщо ви розбираєтеся в програмуванні, розгляньте ці дані як упорядкований масив [19, 34, 62]. Медіана дорівнює 34, тому що це значення посередині.

Середнє значення, з іншого боку, є середнім математичним для всіх  точок даних. Використовуючи ті ж три участі, можна скласти всі три значення і розділити результат на 3 (так як значень три), отримавши в середньому 38,33.

Щоб говорити про характер  безлічі значень в цілому, використовують стандартне відхилення – міру варіації набору значень. Простіше кажучи, стандартне відхилення говорить вам, наскільки кожне значення відрізняється від середнього. Я можу втомити вас фактичним рівнянням, але плюсом є те, що Excel і більшість програм для роботи з електронними таблицями обчислять його за вас. Низьке стандартне відхилення означає,  що точки даних у наборі більш схожі, ніж ті, що мають високе стандартне відхилення. Наявність цих точок даних допоможе клієнту зрозуміти загальний стан здоров’я організації з точки зору поведінки її співробітників.

Наприклад, за наявності набору даних 1, 1, 1, 1, 5, 7, 24 можна згенерувати такі значення:

  • Медіана: 1,

  • Середнє: 5,714,

  • Стандартне відхилення: 8,420.

З цієї статистики можна зробити узагальнений для клієнта висновок про те, як його співробітники впоралися з тестом. Наприклад, стандартне відхилення 8.420 в даному прикладі показує, що числа в наборі різноманітні, а це, ймовірно, говорить про те, що люди вели себе зовсім по-іншому. Це стандартне відхилення має більш чіткий сенс, якщо повернутися до вихідних даних і врахувати велику різницю між найбільшим числом, 24, і наступним за величиною числом, 7. Якщо змінити 24 на 12, зменшуючи варіацію в наборі даних, стандартне відхилення значно зменшується до 4,281.

Кількість відкриттів електронного листа

Відкриття електронної пошти  є відносно незначним показником. Якщо використовувати його разом із кліками та введенням даних на фішингових сайтах, можна отримати кориснішу інформацію, наприклад коефіцієнт, який ілюструє швидкість, з якою нетехнічний персонал може визначити фішингові електронні листи за темою. Однак клієнти часто орієнтуються на кількість відкриттів. Я завжди намагаюся заперечувати проти цього.

Електронні листи призначені для відкриття, і хоча деякі з них можуть містити зловмисне програмне забезпечення, застосування цього показника може спонукати користувачів уникати законних електронних листів. Питання про те, чи містить електронна пошта шкідливе програмне забезпечення, вирішується командами адміністрування пошти та безпеки, які зобов’язані стежити за вхідними повідомленнями електронної пошти на наявність вкладень. Хоча користувачі повинні виконувати свою частину роботи із забезпечення безпеки організації, бухгалтер компанії не є експертом з інформаційної безпеки або шкідливих програм. Якщо фішингові атаки використовують реалістичні теми та попередню інформацію, як користувачі можуть визначити, що електронний лист є фішингом, не відкриваючи його?

Є важливе застереження: більш просунуті зловмисники можуть використовувати експлойт на стороні браузера для збору метаданих з браузерів, якщо користувач відкриває електронний лист. Це реальні загрози, але якщо компанія не може протистояти базовому фішингу, їй, швидше за все, не вистачить навичок для пом’якшення таких більш складних атак. Це ілюструє тему, яку ми розглянемо в розділі 10, поглиблена оборона. Не варто покладатися виключно на навчання або тільки на технічний контроль. Намагайтеся навчати персонал, але в той же час впроваджуйте інструменти безпеки електронної пошти на додаток до захисту від шкідливих програм.

Замість того, щоб зосереджуватися виключно на кількості відкриттів електронних листів, зосередьтеся на наступних корисних показниках:

  • Інтервал до першої доповіді. Час першої доповіді до служби безпеки мінус час першого відкриття листа.

  • Частка відкритих листів. Кількість надісланих листів, поділена на кількість відкритих.

Інтервал до першого звіту вимірює час між відкриттям першого електронного листа та часом, коли команда безпеки дізналася про розсилку. Цей показник важливий, оскільки він вказує на кількість часу, який команда безпеки має для запобігання серйозним наслідкам фішингу. Після отримання підозрілого повідомлення електронною поштою команда безпеки може переглянути електронний лист, дослідити пов’язаний веб-сайт в ізольованому середовищі,  А потім почати робити захисні дії. Ці дії можуть включати в себе роботу з видалення сайту і очищення посилання (внесення змін у внутрішні конфігурації DNS для перенаправлення користувачів в безпечне місце при натисканні на нього). Довгий інтервал перед першим звітом може свідчити про те, що багато людей відкрили електронний лист до того, як команда безпеки дізналася про це, що також залишає їм менше часу на дії через ймовірність,  що хтось натисне на посилання, а не повідомить про це, як багато людей вже зробили.

Відкрита ставка вимірює залучення користувачів з точки зору звітності. Скільки з тих, хто відкрив електронний лист, повідомили про це службі безпеки? Цей показник показує, чи існує зв’язок співпраці між користувачами та групою безпеки. Це також говорить про здатність користувачів розпізнавати спробу фішингу.

Кількість кліків

Кількість кліків  (кліків) по посиланню в електронному листі є одним з найважливіших показників. Натискання посилання може призвести до зараження шкідливим програмним забезпеченням, завантаження файлів або витоку конфіденційної інформації, такої як паролі, через підроблені форми. Однак, хоча цей показник важливіший за швидкість відкриття, він не є найважливішим.

Набагато ціннішим є поєднання кількості кліків з іншими даними, такими як час від першого кліку до першого звіту службі безпеки або вимірювання показників «клік-повідомлення» та «клік-введення». Справа в тому, що важливо розуміти, наскільки добре організація може реагувати на кліки, а не тільки те, чи будуть користувачі переходити за посиланням.

Хоча це правда, що користувачі не повинні натискати на ці посилання з самого початку, я ще раз підкреслю, що команда безпеки несе відповідальність за захист компанії, якщо вони це зроблять. Адміністрації пошти, команди інформаційної безпеки та користувачі повинні працювати разом, щоб гарантувати, що при натисканні посилання система захищає користувача. Тягар захисту організації не повинна повністю лягати на непідготовленого користувача, який не повинен знати всіх технічних тонкощів.

Корисні показники, пов’язані з кліками, включають наступне:

  • Інтервал часу між переходом та повідомленням. Час першого повідомлення служби безпеки мінус час першого переходу.

  • Коефіцієнт повідомлень про переходи. Кількість повідомлень служби безпеки, поділена на кількість переходів.

  • Коефіцієнт введення. Кількість випадків введення інформації (наприклад, у форму), поділена на кількість переходів.

  • Коефіцієнт повідомлень про введення. Кількість випадків введення інформації, поділена на кількість повідомлень служби безпеки.

Як і проміжок часу між відкриттям і сповіщенням, інтервал між переходом і сповіщенням вимірює час між натисканням першого електронного листа та моментом повідомлення про нього службі безпеки. Ця цифра ще раз відображає час, який має команда безпеки для пом’якшення наслідків фішингу. Крім того, як і частота відкритих сповіщень, коефіцієнт сповіщень про перенаправлення вимірює залучення користувачів з точки зору звітів.

Зверніть увагу на невідповідність між реферальним і відкритим звітами. В ідеалі, більш високий рівень відкриття є більш вигідним для організації, оскільки це зробить команду безпеки обізнаною про атаку раніше і матиме більше простору для дій. У кращому випадку організації повинні мати високий рівень сповіщень про відкриття фішингових електронних листів і мінімальний набір даних, за якими можна оцінювати звіти про кліки. Наявність вищого коефіцієнта сповіщень про конверсії, ніж коефіцієнт відкритих сповіщень, або рівність цих показників свідчить про те, що люди відкривають електронні листи, а потім натискають посилання, перш ніж повідомляти про підозрілий електронний лист службі безпеки.

Швидкість введення  відображає кількість людей, які натиснули на посилання, надіслане електронною поштою, і ввели інформацію на пов’язаний веб-сайт. Аналогічно, частота вхідних сповіщень порівнює кількість введень інформації з кількістю звернень до служби безпеки. В ідеальному світі ми мали б вхідний коефіцієнт нуль (оскільки нуль, поділений на щось, дає нуль). Це означало б,  що ніхто не ввів жодної інформації, незважаючи на те, що відкрив електронний лист і натиснув на посилання.

В іншому випадку нам потрібна висока частота вхідних сповіщень. Він вказує на те, що люди помічають, коли роблять помилки, і спокійно зізнаються в цьому команді безпеки. Користувачеві краще повідомляти про перехід за посиланням, не боячись покарання, замість того, щоб мовчати, поки відбувається шкідлива активність. Фахівцям з безпеки легше захистити себе від дій, про які вони знають, ніж бути приголомшеними раптовими наслідками, яким вони могли б запобігти.

Введення інформації у форми

Характер інформації, яку користувачі вводять у форми, є ще одним з найважливіших показників. Користувачі можуть вводити паролі, адреси електронної пошти та іншу конфіденційну інформацію в цю форму, і без надійного Центру безпеки та конфіденційності, який активно контролює системи користувачів та їх діяльність у локальній мережі та глобальній мережі Інтернет, організація не може відчувати себе в безпеці. Звітуючи за цим показником, не розголошуйте фактичні паролі та дані, зібрані у звіті. Якщо потрібно надати спільний доступ до інформації, спробуйте натомість надати лише список користувачів, яким потрібно оновити свої паролі. Крім того, найкраще робити це поза офіційним звітом.

До корисних показників, пов’язаних з інформацією, відносяться наступні:

  • Коефіцієнт введення. Кількість вводів інформації, поділена на кількість переходів за посиланням.

  • Коефіцієнт повідомлень про введення. Кількість вводів інформації, поділена на кількість повідомлень.

  • Коефіцієнт достовірності. Кількість введених дійсних облікових даних, поділена на кількість введених облікових даних.

  • Коефіцієнт злому. Кількість користувачів, що ввели інформацію та опинилися в базі даних Have I Been Pwned, поділена на загальну кількість користувачів, які ввели інформацію.

Щоб розрахувати коефіцієнт впевненості, потрібно знати хеші реальних облікових даних користувача. Якщо команда безпеки клієнта готова надати вам хеші паролів своїх користувачів, ви можете хешувати введену у форму інформацію за допомогою того самого алгоритму хешування, а потім порівняти два хеші, щоб перевірити, чи вводять користувачі дійсну інформацію. Це може показати вам кількість людей, які ввели дійсну інформацію на фішинговому сайті, порівняно з тим, скільки людей ввели помилкову інформацію, випадково чи навмисно, з бажання тролінгу.

Якщо організація занадто часто проводить фішингові атаки на співробітників або пов’язує результати тестування з оцінкою ефективності, співробітники іноді навмисно вводять неправдиву інформацію або навіть дані від інших співробітників. Хоча ми взагалі не повинні заохочувати співробітників вводити що-небудь, навчання їх введенню неправдивої інформації може принести користь організації двома способами: якщо організація встановила стандартний набір неправдивої інформації (адреса електронної пошти, ім’я, номер телефону, пароль), члени команди з кібербезпеки можуть контролювати її використання, перевіряти, чи приймає сайт неправдиву інформацію, і використовувати її (у разі витоку) для ідентифікації суб’єктів.  спроба отримати несанкціонований доступ. Відсутність валідації може спотворити статистичний аналіз і результати вашого звіту, створюючи враження, що організація працює гірше, ніж є насправді.

Для розрахунку  швидкості злому потрібен невеликий OSINT. Однак цей показник корисний, оскільки відображає вплив атак соціальної інженерії на поведінку користувачів поза межами виконуваної атаки. Використовуючи робочі адреси електронної пошти жертв, подивіться, скільки з них перераховано в базі даних Have I Been Pwned (представлена в розділі 6). Порівняйте результат із загальною кількістю користувачів, які ввели інформацію. Якщо ви збираєтеся знайти користувачів у базі даних Залежно від частини порушення, ви можете включити пункт про допустимість використання електронної пошти компанії в свої рекомендації щодо розвитку співробітників і порадити встановити тверду політику безпеки, щоб запобігти подібним інцидентам в майбутньому. Виявлення співробітників в базі даних вказує на те, що вони можуть поводитися легковажно в Інтернеті і становити ризик для організації.

Цей показник, ймовірно, міститиме упереджену інформацію, яка спотворює результат. Деякі люди будуть використовувати свою робочу адресу електронної пошти на всіляких сайтах і або не будуть спіймані, або не будуть зламані, звідси упередженість і упередженість. Крім того, люди часто використовують однакові паролі вдома і на роботі. Але якщо ви не оціните всі зломи та крадіжки паролів, яких зазнав користувач, показники будуть неправильними. Роботодавець не може проводити розслідування особистого життя, яке включає побутові паролі, без згоди працівників. Я завжди соромлюся просити такої згоди, але якби у вас була згода співробітника на пошук по базах даних на предмет проблем з його особистими кабінетами, ви могли б усунути значну частину зміщеності цього показника, так як у вас була б можливість оцінити загальний статус безпеки кожного співробітника.

Дії потерпілого

Дії, вжиті жертвою, можуть включати відкриття електронного листа, видалення електронного листа, пересилання його технічно некомпетентному або неслужбовому персоналу, пересилання його службі безпеки, натискання посилань в електронному листі, введення інформації або повідомлення про це (незалежно від того, є співробітник жертвою чи ні). Дуже важливо розуміти, що роблять користувачі після того, як вони стали жертвою. Вони повідомляють про це керівництву, намагаються приховати факт або нічого не роблять? Включення цієї інформації в звіт зажадає від клієнта введення даних, але отримати цю інформацію зазвичай не складає труднощів. З мого досвіду, я отримав те, що хотів, коли просто попросив про це.

Час виявлення

Скільки часу потрібно, щоб команда безпеки організації виявила спробу фішингу? Чи була організація повідомлена про це через звіти користувачів, додаток або службу електронної пошти або систему SEIM? Час, необхідний для виявлення події, багато в чому говорить про зрілість організації та її можливостях інформаційної безпеки. Задовго до виявлення, і чи відбувається виявлення взагалі, свідчить про те, наскільки катастрофічною може бути атака.

Залежно від того, чий звіт ви читаєте, і мотивації автора звіту, затримка (час, протягом якого зловмисник може виконувати дії в середовищі, не запускаючи виявлення або інші контрзаходи) варіюється від декількох днів до декількох років. Менший час очікування означає, що у зловмисника менше часу, щоб закріпитися на місці, завдати прямої шкоди організації або дати їй погане ім’я.

Ми обговорювали корисні показники для вимірювання часу виявлення в інших розділах цього розділу, тому не будемо повторювати їх тут.

Своєчасність коригувальних дій

Як швидко організація вживає коригувальних дій? Чим швидше, тим краще. Цей показник відображає здатність організації реагувати на інциденти. Наступні вимірювання допомагають визначити, наскільки добре група реагування на інциденти може виконувати свої завдання.

  • Інтервал часу до реакції. Час, коли почалася дія у відповідь, мінус час першого відкриття листа.

  • Інтервал між переходом та реакцією. Час, коли почалася дія, що коригує, мінус час першого переходу.

Перший показник – це інтервал між першим відкриттям електронного листа або переходом за посиланням, залежно від того, що доречно в контексті, і час початку дії відповіді. Відповідні дії включають, але не обмежуються цим, блокування посилання, блокування відправника, ініціювання видалення сайту та інформування користувачів про атаку. Ці показники нічого не говорять про те, чи були вжиті дії адекватними (це наступний показник). Знову ж таки, багато що залежить від термінів початку відповіді. Важливо належним чином реагувати на інциденти, але дії нічого не означають, якщо вони не робляться вчасно.

Ефективність реагування

Не менш важливою, ніж своєчасність відповіді, є її ефективність. Якщо дії захисників зупинять атаку, відмінно. Однак у деяких випадках відплата може посилити атаку і змусити її працювати в найкращих інтересах зловмисника.

При виконанні одного із завдань мене заблокували після відправки близько 50% листів. Відправляв їх партіями по 7-15 чоловік одночасно. Тільки близько 20% одержувачів перейшли за моїм посиланням, і тільки 6% ввели будь-яку інформацію. Я думав, що зазнав нищівної невдачі.

На наступний ранок я авторизувався і побачив, що 42% співробітників організації внесли дані в фішингову форму, деякі навіть зробили це двічі і більше. Чому так сталося?

Адміністратор мережі, який заблокував мене, переслав електронний лист усій організації, не приховуючи та не блокуючи посилання в електронному листі. Він створив ефект, подібний до Стрейзанд; Намагаючись попередити людей про розсилку, адміністратор своїми руками довів її великій кількості людей, багато з яких з цікавості перейшли за посиланням. Як говорить стара англійська приказка, цікавість погубила кішку.

Кількісна оцінка ризику

Кількісно оцінити ризик непросто, але це важливо зробити, оскільки звіт, який ви надсилаєте своєму клієнту, повинен систематизувати ваші висновки на основі серйозності. Для оцінки ризику можуть використовуватися різні методології, як якісні (з використанням суб’єктивних ярликів, таких як «критичний», «високий», «середній», «низький» і «інформаційний»), так і кількісні (наприклад, за шкалою від 0 до 10). Двома такими методологіями є Методологія оцінки ризиків OWASP та Загальна система оцінки вразливостей (CVSS).

Якщо ваш роботодавець або клієнт явно не вимагає кількісної оцінки ризику, я рекомендую дотримуватися якісної. Спроба виконати кількісний аналіз вимагає, щоб усі точки даних були в числовому форматі, а переклад деяких точок даних у пояснюваний кількісний формат тягне за собою зайву складність. Більшість наших показників кількісні, але ми не можемо легко й однозначно перетворити всі дії користувачів у числові значення. Наприклад, пересилання електронного листа не має нічого спільного з видаленням електронної пошти. Приписуючи числові значення цим діям, ми маємо на увазі, що між ними існує зв’язок, якої не існує. При визначенні тяжкості ризику враховуйте ймовірність і серйозність інциденту, а потім присвоюйте цим факторам розумні ваги, щоб отримати єдиний бал.

Далі визначте, який ризик слід вважати критичним, високим, середнім, низьким і інформаційним. Нижче наведено стандартні визначення, які можна використовувати у звіті, як вважаєте за потрібне.

Критичний

Це ризики, які можуть привести до катастрофічних наслідків, тривалого простою або припинення всіх операцій. Зазвичай такі загрози реалізуються в максимальному обсязі і за один раз. Інциденти критичного рівня часто стають відомими громадськості та мають значний вплив на здатність організації вести бізнес. Вони також можуть бути небезпечними для життя. У разі інциденту інформаційної безпеки це може бути витік обмежених або конфіденційних даних, таких як особисті дані або захищена медична інформація, що і сталося в Equifax та подібних організаціях. Високий

Ці ризики можуть призвести до дорогих або серйозних простоїв, пошкоджень або перерв у роботі. Вхідний бар’єр для проникнення і впливу низький. Вони мають великі наслідки і можуть впливати на конфіденційні або обмежені дані, хоча і в меншій мірі, ніж критичні ризики.

Середній

Ці ризики можуть призвести до збоїв або проблем в організації замовника, але не до великих простоїв. Це включає, наприклад, отримання доступу до систем, які можуть бути використані для навігації до інших систем або об’єктів, а також витік непублічних даних, які не є особливо чутливими.

Низький

Інциденти з цієї групи представляють невелику небезпеку для замовника. Реалізація таких загроз може залежати від інших факторів, наприклад, локального фізичного доступу до мережі, або вимагати, щоб інший вектор експлуатації вже був виконаний. Ці ризики пов’язані з мінімальними порушеннями діяльності організації в разі успіху.

Інформаційний

 В даний час такі інциденти не становлять ризику, але не відповідають передовим вимогам безпеки або можуть стати ризикованими пізніше.

Звітності

Цей розділ допоможе вам написати готовий звіт для вашого клієнта. Хоча це не так захоплююче, як сама атака, насправді клієнти платять вам великі гроші за звіт. Однак зробити його корисним – завдання не з легких. Правда полягає в тому, що деякі клієнти уважно прочитають звіт, а інші покладуть його на полицю, навіть не подивившись. Якщо люди не читають звіт, як вони можуть зробити висновки та виправити недоліки? Цей розділ пропонує відповідь, подивившись на проблему з двох точок зору: готовий звіт, який клієнту потрібно прочитати, і ситуації, які вимагають зупинки і дзвінка клієнту.

Дізнайтеся, коли телефонувати

Звіт – не єдиний інструмент комунікації з клієнтом.

Критичні обчислювальні ресурси знаходяться під загрозою. Наприклад, якщо ви виявили зловмисника в мережі клієнта або інший сумнівний стан, який може погіршитися з часом, негайно попередьте клієнта. Для всього іншого, пов’язаного з атакою, яку ви замовили, не соромтеся надавати короткі подальші повідомлення електронною поштою або телефоном, але обов’язково уточніть, що жодна інформація в цих повідомленнях не є офіційною або юридично обов’язковою. В іншому випадку ви можете опинитися в суді, якщо інформація в повідомленнях суперечить інформації у вашому підсумковому звіті. Звіт повинен бути основним, а в ідеалі і єдиним, формальним спілкуванням між вами і клієнтом після завершення договору.

Написання звіту

Я раджу вам писати звіт по ходу справи, щоб не пропустити деталі та не копатися в нотатках після того, як закінчите. Як сказав Кріс Сандерс, автор книги «Практичний аналіз пакетів» (No Starch Press, 2017), ваш звіт повинен бути чітким і стислим, але він також повинен розповідати історію. Використовуючи наративні прийоми, ви можете більш ефективно залучати читачів,  щоб спонукати їх – можливо, навіть за допомогою соціальної інженерії – прочитати звіт повністю.

Що я маю на увазі під наративними прийомами? Поясніть, які кроки ви зробили і чому вони були важливими. Нехай це звучить так, ніби ви поводитеся як справжній лиходій. Розповідайте про побачене, свій аналіз ситуації і результати. Маленька хитрість: щоб захопити читачів, використовуйте  в письмі активний голос  замість  пасивного. Наприклад,   Фраза «наші консультанти склали список небезпечних вразливостей сайту» є активним голосом. Фраза «встановлено, що можна скласти список вразливостей» представлена пасивним голосом, і звучить вона погано. Тому перший варіант фрази більш кращий.

Залежно від того, чи є ви самозайнятим або працюєте на фірму, час на складання звіту може оплачуватися за нижчою ставкою, ніж саме завдання, або не оплачуватися зовсім. Не використовуйте весь час, відведений на звіт, тільки заради його використання. Робіть тільки те, що вам дійсно потрібно. Також необхідно враховувати час, який знадобиться на розгляд документів (наприклад, редакторами, юридичними командами або фахівцями із забезпечення якості).

Структурування звіту

Для початку виберіть шаблон звіту – той, який надає ваш роботодавець, один з шаблонів додатків 2, знайдених в інтернеті, або розроблений вами з нуля. У цьому розділі ми скористаємося шаблоном з Додатку 2.

У розділі «Обґрунтування» поясніть параметри, які обмежують тестування, і причини, чому воно було проведено. Вкажіть тут обсяг робіт відповідно до ТЗ, правила тестування, надані замовником, і параметри, яким ви повинні відповідати. Цей розділ не повинен бути довшим за сторінку, в ідеалі один-два абзаци.

Далі йде основний план звіту. Використовуйте цей розділ, щоб дати загальний огляд того, що ви зробили, що ви знайшли та як ви це оцінюєте. Ви також можете додати загальні поради щодо виправлення помилок. Не вдавайтеся в подробиці, оскільки ви повинні припустити, що аудиторія в цьому розділі нетехнічна і хоче трохи більш захоплюючого досвіду читання, ніж інструкція з пральної машини.

Після резюме повинен бути розділ, в якому викладені ваші основні висновки. Саме тут ви визначаєте основні проблеми, які повинні турбувати клієнта. Використовуючи систему оцінки ризиків, подібну до описаної в розділі «Кількісна оцінка ризику», визначте, які висновки заслуговують оцінки «Критичний» або «Високий ризик», і включайте тільки їх. (Усі інші висновки наведені в загальному розділі «Висновки» далі в документі.) Для кожного великого відкриття поясніть, що це за відкриття, як його можна використовувати, які потенційні результати, як перевірити його незалежно від вас і як усунути проблему. Зробіть все можливе, щоб донести серйозність цих висновків до своєї аудиторії. У розмовах з керівниками мені було корисно описати ризик, вказавши на конкретні негативні наслідки, такі як фігура у федеральних новинах або звинувачення в недбалості в суді. Такі специфічні деталі можуть допомогти привернути увагу керівників.

Наступний розділ повинен детально описати OSINT-інформацію, яку ви зібрали. Для кожної частини інформації надайте короткий опис інструменту, який ви використовували, або скріншот інформації, який слугуватиме доказом. Якщо дані доступні в інтернеті, ви також можете надати посилання. Без підтверджуючих даних клієнти не зможуть перевірити правдивість наданої вами інформації.

Якщо ваші скріншоти містять інформацію, яка може вам будь-яким чином нашкодити, ви можете зашифрувати документ, коли він надсилається клієнту. Я також працював з клієнтами, які не приймали звіти в цифровому вигляді. Вони вимагали, щоб звіт був відправлений звичайною поштою, у вигляді роздруківки на папері, щоб не залишити «електронного сліду», якщо що-небудь, пов’язане зі звітом, потрапить до суду. Хоча вам не потрібно позначати ризики в цьому розділі, оскільки значні ризики будуть перераховані та позначені в розділі висновків, виділіть критичні ризики та ризики високого рівня жирним шрифтом, щоб звернути на них особливу увагу.

Розділ OSINT супроводжується розділом соціальної інженерії, який описує вашу фактичну участь. Якщо ви використовували кілька типів соціальної інженерії, візьміть підзаголовки, щоб розбити цей розділ на кожен тип взаємодії: фішинг, вішинг і тестування на місці. Якщо ви використовуєте гібридний інтерфейс, тобто ваш фішинг і вішинг пов’язані між собою, додайте їх у підрозділ “Гібридний досвід”. У кожному підрозділі поясніть всі прийменники, які використовуються для взаємодії з метою. Поясніть, що ви зробили і які результати були отримані. Потім скористайтеся показниками, описаними в розділі “Вимірювання”, щоб пояснити вплив результатів. Якщо ви раніше працювали з клієнтом, ви також можете порівняти результати цієї взаємодії з попереднім, щоб клієнт міг бачити їх прогрес.

Перемістіть усі результати пошуку до наступного розділу. Тут можна бути багатослівним. Поясніть проблему, розкажіть, як ви її знайшли, ознаки, за якими ви її знайшли, посилання, що пояснюють, чому це проблема, як її повністю виправити та можливі способи компенсації, якщо повне виправлення неможливе. Цей розділ буде повторювати зміст розділу огляду і висновки. У форматі одного абзацу поясніть, як можна виправити проблеми. На цьому етапі заповніть розділ виправлень і рекомендацій.

Давати рекомендації щодо навчання персоналу, технічних рішень або інших змін в культурі компанії. У третій частині цієї книги обговорюються такі засоби правового захисту.

Майте на увазі, що ви просто рекомендуєте. У вас немає повноважень вимагати будь-яких змін, і клієнт може вирішити проблему, а може і ні. Хоча ви можете відчувати почуття причетності до проекту, в кінцевому підсумку це не ваша проблема, якщо клієнт вирішить не прислухатися до ваших порад.

Контроль якості тексту

Я рекомендую кільком людям, які діють відповідно до угод про нерозголошення, переглянути звіт, перш ніж надавати його клієнтам. Одна людина повинна перевірити всі технічні аспекти звіту, а інша – граматику, орфографію та стиль. Ваші рецензенти також повинні оцінити обширність звіту, щоб переконатися, що він достатньо детальний, щоб правильно передати суть, але не надто багатослівний. Як може засвідчити Френсіс Со, редактор цієї книги, я постійно борюся з цим. Цим і займаються багато соціальних інженерів. І, як зауважив мій видавець Білл Поллок, соціальні інженери використовують свою здатність безупинно говорити як інструмент. При спілкуванні з людьми, далекими від технологій і не пов’язаними з безпекою, ця сила стає недоліком.

Ми використовували матеріали з книги “Соціальна інженерія та етичний хакінг на практиці”, які були написані Джо Греєм.

Інші статті по темі
КібервійнаСоціальна інженерія
Читати далі
№1. Хакінг у практичному застосуванні та соціальна інженерія (Що таке соціальна інженерія?)
Соціальна інженерія - це термін, який стає все більш актуальним у сучасному цифровому суспільстві. Цей СЕО-текст зосереджений на тому, що таке соціальна інженерія, які основні методи її використання, та як можна захиститися від цієї загрози.
673
КібервійнаСоціальна інженерія
Читати далі
№2. Хакінг у практичному застосуванні та соціальна інженерія (Єтичні міркування у соціальній інженерії)
Етичні міркування у соціальній інженерії відіграють важливу роль у забезпеченні відповідального та ефективного використання методів маніпуляції. Дотримання моральних принципів, таких як заборона незаконного використання та відповідальне поводження з конфіденційною інформацією, є необхідним для захисту приватності, довіри та запобігання шкоді.
541
КібервійнаСоціальна інженерія
Читати далі
№6. Хакінг у практичному застосуванні та соціальна інженерія (Клонування цільової сторінки)
Клонування цільової сторінки є небезпечним і недозволеним діянням, яке використовується для шахрайства, фішингу та крадіжки конфіденційної інформації.
581
КібервійнаСоціальна інженерія
Читати далі
№10. Хакінг у практичному застосуванні та соціальна інженерія (Методи виявлення загроз)
У цьому розділі ми розглянемо процес збору відомостей про загрози, пов'язані з фішинговими електронними листами, за допомогою безкоштовної платформи для обміну даними.
586
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.