در قسمت اول مقاله در مورد اینکه حملات مهندسی اجتماعی چیست؟ و انواع آن صحبت کردیم در این قسمت مقاله در مورد قدم های اجرای آن صحبت خواهیم کرد.
قدمهای اجرای یک تست نفوذ مهندسی اجتماعی
انجام تست نفوذ مهندسی اجتماعی چهار مرحلهی اصلی دارد که شامل برنامهریزی و تعیین حوزهی تست، شناسایی مسیر حمله، تلاش برای نفوذ و گزارشگیری است.
قدم 1: برنامهریزی و تعیین حوزهی تست
میتوان گفت که این قدم، مهمترین قدم در طول تست نفوذ است. در این قدم، تعیین میشود که چه چیزهایی در حوزهی تست هستند و تست چگونه باید انجام گردد.
این کار معمولاً نیازمند جلسهای بین گروه مدیریت و پرسنلی که تست را انجام میدهند میباشد. چیزی که باید به خاطر داشت این است که تعداد افرادی که درگیر این جلسه هستند باید به حداقل برسد و افراد اندکی از تست مطلع باشند. تست باید تا جای ممکن دقیق باشد و برای این کار آگاهی از تست باید به حداقل برسد.
در زمان تعیین حوزهی تست باید تمام روشها و حملاتی که قرار است استفاده شود، تعیین گردد. برای مثال اگر بخواهیم کارمندان یا پرسنل تحویل را Tailgate یا جعل هویت کنیم، این امر باید در حوزه قرار بگیرد. پس از تعیین این حوزه، میتوان یک قرارداد واضح را نوشت که تمام افراد درگیر روی آن توافق داشته باشند. این قرارداد برای تستهای نفوذ کلیدی است. این قرار مدرکی است که ثابت میکند تستکننده اجازهی انجام تست را دارد و در برخی از موارد میتواند موجب پیشگیری از زندانی شدن تستکنندهها شود.
ویدیوهای بیشتر درباره تست نفوذ
قدم 2: شناسایی مسیر حمله
پس از اینکه حوزهی تست نفوذ تعیین شد، باید یک قرارداد مشخص برای اینکه اجازهی تست کردن چه چیزی و چه کسی وجود دارد تعریف شود. این قدم از تست نفوذ نیازمند این است که تستکننده تمام روشهایی که در طول تست مورداستفاده قرار میگیرد را شناسایی کند.
این روشها همچنین باید به کاربران و گروههای بهخصوصی مرتبط گردد. برای مثال:
- نگهبانان امنیتی با استفاده از تستهای جعل هویت تست میشوند. این تست شامل جعل هویت یک پیک تحویلدهندهی شرکت آمازون است که بستهای را تحویل کارمندی در بخش IT میدهد.
- نگهبانان امنیتی با استفاده از یک تست Tailgate تست میشوند. در این تست، فرد تستکننده درحالیکه افراد زیادی وارد ساختمان یا یک بخش ایمن میشوند، بهدقت کارمندان را مانیتور میکند.
- پرسنل در بخش حسابداری با استفاده از یک تست Phishing تست خواهند شد. این تست شامل ارسال یک ایمیل Phishing به یک حسابدار است که این ایمیل Chief Executive Office را Spoof میکند و گزارش هزینههای ماه قبل را برای بررسی درخواست مینماید.
- یک کارمند در بخش IT با استفاده از یک تست جعل هویت تست خواهند شد. در این تست عضوی از تست نفوذ برای کارمندی در بخش حساب دریافتنی، درخواست تغییر رمز عبور میدهد.
بیشتر بخوانید: بررسی نحوهی انجام تست نفوذ در سازمان ها به عنوان یک استراتژی کارآمد
فهرست کردن مسیرهای حمله نهتنها به هدایت تست نفوذ کمک میکند، بلکه به بخش مدیریت نیز درک درستی از اقداماتی که برای تست کردن شرکت انجام شده است، میدهد. میتوان به هر تست براساس اینکه کاربران چطور پاسخ میدهند امتیاز داد و این کار در امتیاز نهایی تست نفوذ مفید خواهد بود.
قدم 3: تلاش برای نفوذ
در این قدم از تست نفوذ، فرد تستکننده در تمام مسیرهای حملهی فهرستشده از قدم قبلی، تست خود را انجام میدهد. در این مرحله، مستند کردن کارها اقدام بسیار مهمی است، زیرا این تستها در آینده تبدیل به شواهد حمایتی برای گزارش خواهند شد. نوع مدرکی که باید جمعآوری شود عبارت است از:
تماسهای تلفنی ثبتشده
این تماسهای تلفنی مهم هستند، زیرا هیچ روش دیگری برای ثبت اینکه این حمله رخ داده است و همچنین برای نشان دادن نتیجهی آن وجود ندارد.
حملات Phishing از ایمیلها
این ایمیلها مهم هستند، زیرا میتوانند نشان دهند که یک کاربر پیش از متوقف کردن حمله، اجازه داد که تا کجا پیش برود. در برخی از موارد، کاربران زمانی متوجه حمله میشوند که اطلاعات حساسی را تسلیم کردهاند.
اسناد پیدا شده در حین زبالهگردی. این نوع از اسناد باید شامل اسکن اسناد پیدا شده و حتی در صورت امکان، تصاویری از مکان پیدا شدن آنها باشند. همراه با این شواهد، تستکننده باید زمان شروع و پایان هر تست، نام فردی که تست را انجام میدهد و نام کارمندان یا کارمندانی که تست میشوند را ثبت کند.
بیشتر بخوانید: مراحل تست نفوذ چگونه انجام می شود؟ بررسی روشها و انواع
قدم 4: گزارشگیری
قدم گزارشگیری از تست نفوذ جایی است که نتایج کنار هم قرار میگیرند. در زمان نوشتن گزارش باید به خاطر داشت که مخاطب چه کسی است. در اکثر مواقع، مخاطب مدیریت ارشد است و گزارش باید با این بخش صحبت کند. باید اطمینان حاصل کرد که تمام نگرانیهای ابتدایی که در آغاز تست در موردشان صحبت شده است و همچنین تمام آسیبپذیریهایی که در طول تست پیدا شدهاند، در گزارش قرار بگیرند. در این گزارشگیری نهتنها باید به آسیبپذیریهای پیدا شده اشاره کرد، بلکه همچنین باید پیشنهاداتی را برای نحوهی رفع آسیبپذیریها ارائه داد.
یک گزارش تست نفوذ معمولی شامل موارد زیر است:
- یک خلاصهی مدیریتی
- مروری روی ریسکهای فنی یافت شده
- تأثیر احتمالی آسیبپذیریهای یافت شده
- گزینههای اصلاحی که برای هر آسیبپذیری یافتشده قابلدسترسی است
- افکار نهایی در مورد تست نفوذ
- حذف آسیبپذیری
بسته به رابطهای که تستکننده با شرکت دارد یا قراردادی که توافق براساس آن انجام شده است، آخرین قدم از تست نفوذ، میتواند حذف آسیبپذیریهایی باشد که در طول تست پیدا شدهاند. این کار میتواند از راههای متعددی انجام گردد. متداولترین راه تست، اصلاح، تست مجدد و تکرار این چرخه به میزان نیاز است.
در ابتدا تست انجام میشود و تمام آسیبپذیریهای پیدا شده همراه با گزینههایی برای اصلاح به بخش مدیریت گزارش میشوند. سپس، پیش از اینکه تست دیگری انجام شود، به شرکت مقدار زمان مشخصی ارائه میشود تا این آسیبپذیریها را اصلاح کنند.
در ادامه، بسته به نتیجهی تست بعدی، یا تست نفوذ بسته میشود یا مجدد تست میشود تا زمانی که شرکت تصمیم بگیرد ریسکهای یافتشده را بپذیرد یا تست به یک امتیاز مشخص رسیده یا از آن فراتر برود.
تستهای نفوذ مهندسی اجتماعی میتوانند یک راه عالی برای شرکتها باشند تا وضعیت امنیتی خود را با توجه به ضعیفترین زنجیرههای حوزههای فنی سازمان خود تست نمایند. این تستهای نفوذ را میتوان یا با یک تیم ممیزی داخلی یا یک شرکت خارجی انجام داد که متخصص تست نفوذ است.
هردوی این گزینهها نکات مثبت و منفی خود را دارند، مثلاً تیمهای داخلی موجب صرفهجویی در هزینهها میشوند، اما نظری بیطرفانه را ارائه نمیدهند، درحالیکه شرکتهای خارجی نظری بیطرفانه ارائه میدهند اما هزینهی بیشتری دارند.
در هر صورت، سازمانی که درخواست تست میدهد باید بررسیهای لازم را انجام دهد و مطمئن شود که شرکت یا تیم انجامدهندهی تست دارای مدارک صنعتی مناسب، مثل Certified Ethical Hacker یا CEH باشند تا تست از اعتبار و ارزش لازم بهرهمند گردد.
