Представлено авторское видение социотехнического тестирования и его роли в обеспечении информационной безопасности компании. Основная цель статьи — показать, какие результаты можно получить, используя тот или иной формат социотехнических атак, и какие риски это может представлять для компании в условиях, максимально приближенных к реальным хакерским атакам. Статья содержит обобщенную статистику по различным видам атак на проектах 2020 года, где подробно разобраны наиболее интересные случаи с позиции моделируемого злоумышленника. Публикация заинтересует, в первую очередь, специалистов по информационной безопасности, которые хотят опробовать данный вид тестирования для выявления недостатков в обеспечении информационной безопасности своей компании и провести мероприятия по усилению мер защиты от социотехнических воздействий на персонал.
< ... >
The author’s vision of sociotechnical testing and its role in ensuring the company’s information security is presented. The main purpose of the article is to show what results can be obtained using a particular format of social engineering attacks, and what risks it can pose to the company in conditions as close as possible to real hacking attacks. The article contains generalized statistics on various types of attacks on the 2020 projects, where the most interesting cases from the position of the simulated attacker are analyzed in detail. The publication will be of particular interest to information security professionals who want to test this type of testing to identify shortcomings in the information security of their company and to carry out measures to strengthen protection against social engineering impacts on staff.
Keywords:
information security, cyber security, pentest, penetration testing, social engineering, employee training
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»
