Servizi di audit di ingegneria sociale
Nel contesto della sicurezza delle informazioni, per “ingegneria sociale” si intende l’arte di manipolare le persone di un’organizzazione per attentare alla sicurezza e/o divulgare informazioni riservate. La differenza rispetto ad un attacco reale, è il fatto che il test o audit di ingegneria sociale, viene da noi eseguito con l’esplicito consenso scritto del cliente, allo scopo di produrre un rapporto completo e chiudere i buchi alla sicurezza informatica, prima che un vero aggressore possa sfruttarli.
Nel 90% dei test siamo riusciti a ottenere informazioni sensibili, utilizzando tecniche di ingegneria sociale.
Modalità di esecuzione test o audit di ingegneria sociale
- Spear Fishing: campagne di posta elettronica che contengono l’invio di messaggi di posta che sembrano provenire da un superiore e invogliano l’utente a fare clic su un collegamento e/o fornire informazioni riservate. Invitiamo i dipendenti a visitare siti web falsi, che simulano l’infezione delle loro macchine o l’illecita appropriazione di credenziali
- Spear Fishing in combinazione con sfruttamento simulato dell’endpoint (opzionale)
- Ingegneria sociale basata su telefono, incluso ID chiamante e SMS spoofing insieme agli esercizi Vishing (Voice Phishing)
- Distribuzione di speciali dispositivi USB con malware simulato per monitorare chi li collega
I test o audit di ingegneria sociale si concludono con report completi, tracciamento e classificazione degli utenti coinvolti. Infine, proponiamo agli utenti, corsi di formazione per prevenire futuri attacchi alla sicurezza informatica aziendale.
Chi dovrebbe essere sottoposto a test di ingegneria sociale?
- Aziende che dispongono della miglior sicurezza IT ma con dipendenti che forniscono con facilità informazioni sensibili (es. cliccando su link all’interno di email che sembrano ricevere da un collega/manager oppure via telefono ad un criminale che impersona le forze dell’ordine)
- Aziende che utilizzano sistemi IT di qualsiasi tipo, conservano dati riservati o informazioni sui clienti
- Aziende che non vogliono azioni legali da parte di clienti, quando i dati sono stati sottratti
- Aziende che sono cadute vittima di un attacco informatico e non vogliono aspettare il prossimo attacco
- Aziende che devono rispettare le norme di conformità industriale e/o governativa
- Aziende che hanno sentito che i concorrenti hanno già dovuto affrontare un attacco informatico
- Aziende che capiscono che la sicurezza proattiva è molto più economica della sicurezza re-attiva
Quante volte dovrebbe essere fatto un test di ingegneria sociale?
Raccomandiamo una regolare formazione degli utenti, che rappresentano la catena debole anche dei più evoluti sistemi di sicurezza informatica.
Come viene addebitato il servizio?
Affidati a tecnici specializzati in sicurezza IT
Un partner affidabile come Fastlane può eseguire sia la parte consulenziale di analisi valutativa per determinare gli interventi utili, sia fornire il servizio Security dell’area IT che si occuperà della completa gestione del problema in modalità Managed Service Provider (MSP).
L’outsourcing dell’intera area IT, oppure anche di una parte di essa, è uno strumento affidabile ed economicamente vantaggioso per la gestione degli aspetti informatici aziendali.
