Questa guida fornisce tutto il necessario per comprendere, definire l'ambito ed eseguire questo tipo di test, con una guida pratica da mettere subito in atto.
Perché Testare il Fattore Umano
I controlli tecnologici sono efficaci solo quanto gli esseri umani che interagiscono con essi. Il Social Engineering, l'arte di manipolare le persone a compiere azioni che compromettono la sicurezza, rappresenta una percentuale significativa dei vettori di accesso iniziali nelle violazioni dei dati. Il solo phishing è responsabile della maggior parte delle violazioni nei settori sanitario, finanziario e SaaS. Testare le difese umane è importante tanto quanto testare quelle tecniche.
Simulazioni di Phishing
Il test di Social Engineering più comune simula attacchi di phishing via email contro il personale. I tester creano email di phishing realistiche, impersonando fornitori, dirigenti, supporto IT o fornitori di servizi, e misurano i tassi di clic, i tassi di invio di credenziali e i tassi di segnalazione. I risultati identificano quali dipartimenti sono più vulnerabili e dove dovrebbe essere concentrata la formazione.
Pretexting e Voice Phishing
Oltre all'email, i tester possono utilizzare il pretexting telefonico (vishing) per estrarre informazioni o manipolare i dipendenti a compiere azioni: trasferire fondi, reimpostare password, fornire credenziali VPN. Questi test valutano se il personale verifica l'identità del chiamante e segue le procedure stabilite sotto pressione.
Social Engineering Fisico
Per le organizzazioni con sedi fisiche, i tester possono tentare di ottenere l'accesso non autorizzato all'edificio attraverso tailgating, impersonificazione o pretexting. Questo testa i sistemi di badge, le procedure per i visitatori e la volontà dei dipendenti di contestare volti sconosciuti.
Integrazione con il Testing Tecnico
I test di Social Engineering più efficaci sono integrati con i Penetration Testing tecnici. Un'email di phishing consegna un payload; il tester utilizza le credenziali acquisite per accedere ai sistemi interni; il Penetration Testing tecnico continua dall'interno della rete. Questo dimostra l'intera kill chain, dal Social Engineering iniziale, attraverso lo sfruttamento tecnico, fino all'accesso ai dati.
In Sintesi
I controlli tecnici proteggono i sistemi. I test di Social Engineering proteggono gli esseri umani che utilizzano tali sistemi. I programmi di security testing più completi valutano entrambi, perché gli attaccanti lo faranno sicuramente.