跳到主要内容

社会工程项目的后果你已经听过所有的故事了。社会工程师(SEs)被枪口指着,差点从悬崖上跳下去垃圾槽,或者从前门走进去。(如果你还没有听过这些故事,我强烈推荐你阅读克里斯·哈纳吉的最新作品)您听说过SEs以最令人兴奋和最简单的方式绕过安全性。但社会工程参与后会发生什么?如何处理发现的漏洞?如果该漏洞是一个人,会发生什么?为了启发我们的读者,这里是一个社会工程参与的后果一瞥。

有限视野

在深入探讨这个话题之前,重要的是要了解,作为受雇从事这些工作的专业人员,我们对工作完成后真正发生的事情只有有限的了解。我们可以谈论的是我们鼓励客户做什么,以及我们对这些“最佳实践”的看法

简单的修复

许多针对脆弱性的答案都很简单。例如,在垃圾滑道的情况下,设施现在(希望)锁在他们的垃圾桶后面的门。当然,对于携带并知道如何使用开锁工具的SE来说,这可能只是一个轻微的减速。无论哪种方式,实体安全的改善都可以增强建筑物的安全性,阻止许多恶意方甚至试图采取行动。事实上,许多漏洞都属于这一类。

正如您可能知道的那样,SEs会寻找人类的漏洞,以绕过他们无法使用开锁集或其他工具的漏洞。这引出了两个问题;公司如何加强他们的人力安全墙?那些上当受骗的员工会怎么样呢?

优德w88官网手机

让我们从这个问题的第一部分开始。公司如何加强他们的人力安全墙?我们发现最有效的做法是,简单地说,88优德手版 .适当的培训,加优德w88官网手机上报告规程和鼓励各层次学习的企业文化,将是你公司的最佳防御。

上当受骗的员工会怎么样?

这就引出了问题的第二部分;那些上当受骗的员工会怎么样呢?在这里社会工程师,有限责任公司,我们强烈鼓励我们的客户不要因为员工未能通过培训考试而惩罚他们。为什么?培训的目的是让员工学习。任何学习经验的一部分通常包括在某些方面失败(或不合格),然后一点优德w88官网手机一点地改进。如果每个人在每件事上都很完美,那么就没有学习或训练的空间。这对于社会工程项目来说是正确的,无论是网络钓鱼vishing,或现场约定。

让我们把这推向一个极端,假设有一家公司决定解雇所有未通过网络钓鱼测试的员工。那家公司会怎么样?很可能,他们会失去大量劳动力,并在公司内部灌输恐惧文化。此外,现在他们需要用与上一批人一样或更易受伤害的全新人类来取代被淘汰的劳动力。我们坚信恐惧像这样的东西不应该被用来激励或训练。它既不有效也不健康。因此,我们和所有的客户都就这一情况进行了对话,表明培训和复试比终止和重新聘用要好。

它是绝对地有可能培训员工更安全,而不使用消极策略。这甚至是可能的让他们因为遇见你而感觉更好在这些业务。

员工弱点–教学机会

在我们看来,训练失败优德w88官网手机通常不是坏事。如果上述假设的公司决定培训而不是解雇未能通过这些测试的员工,该公司会发生什么?这将提高员工对社会工程策略的意识,只会帮助他们在未来更加安全和警惕这些攻击。这是我们与客户合作的结果。

当风险太高时

不是所有事情都是非黑即白的。当员工的行为将自己、他人和公司本身置于非常高的风险中时,偶尔会有约定。举例说明,想象社会工程师有限责任公司被雇佣在夜间闯入客户设施。在进入大楼时,SEs发现有一名保安正在他们的办公桌前睡觉。这允许SEs自由访问这个包含网络操作中心的设施。

暂时离开SE的视角。如果此场景是真实的,并且发生在真实的恶意攻击者身上,该怎么办?那个保安会怎么样?最坏的情况是,他们可能会受到身体伤害。至少,他们可能会失业。在这种情况下,卧床不起的警卫将公司和他们自己置于可能的妥协和可能的身体伤害的非常高的风险中,必须采取一些重大行动。归根结底,这取决于客户如何处理这些罕见但严重的事件。

让人们因为遇见你而感觉更好

我们的总体目标是培训客户的员工如何安全地处理社会工程攻击。通过我们的网络钓鱼vishing现场活动网络渗透测试,其他培训优德w88官网手机,我们看到客户的社会工程风险因素显著下降。

作为一家公司,我们坚信并教导,这是可以做到的,同时让人们因为认识了你而感觉更好。坚持我们的社会工程道德规范使用诸如验证和建立融洽关系等策略,而不是强烈的恐惧或贪婪,确保他们得到的培训既有益又有希望,优德w88官网手机让他们因为遇见了我们而感觉更好。如果您想与我们的专家交流合作事宜,请与我们联系优德手机中文版在这里

来源
//www.duikoulv.com/my-first-pen-testing-onsite-social-engineering-engagement/
88优德手版
//www.duikoulv.com/
//www.duikoulv.com/services/phishing-as-a-service-phaas/
//www.duikoulv.com/services/vishing-service/
//www.duikoulv.com/services/social-engineering-teaming-service/
//www.duikoulv.com/is-it-legit-to-use-fear-as-part-of-my-pretext/
//www.duikoulv.com/it-is-important-to-have-ethics-in-social-engineering/
//www.duikoulv.com/services/network-penetration-test/
//www.duikoulv.com/services/social-engineering-risk-assessment/
https://www.social-engineer.org/framework/general-discussion/social-engineering-code-of-ethics/
https://www.psychologytoday.com/us/blog/webs-influence/201309/trust-persuasion-and-manipulation
//www.duikoulv.com/优德手机中文版contact/

图像
https://www.google.com/url?sa=i&url=https%3A%2F%2Fwww.inc.com%2Fdamon-brown%2need-a-business-breakdown-take-a-walk-now.html&psig=AOvVaw1ch-n2U1HQ2GSe_n8lge3Y&ust=1617124240400000&source=images&cd=vfe&ved=0caiqrxqfwotcnj3psd