In che modo le gare INFOSEC si occupano di ingegneria sociale?

7

Ogni volta che leggo di una competizione sulla sicurezza informatica, mi chiedo sempre, dal momento che quasi tutti sono coinvolti in un professionista della sicurezza, tali esercizi possono essere sempre realistici? Uno dei collegamenti più deboli in qualsiasi sistema di informazione è l'utente; come può una competizione simulare gli effetti dell'ingegneria sociale? Trovano un gruppo di persone a caso da agire come utenti della rete? Aggiungono ai confederati che fanno clic intenzionalmente su tutto?

    
posta Sean W. 28.06.2013 - 03:46
fonte

3 risposte

5

Non sono sicuro che tu capisca i tipi comuni di competizioni di sicurezza. La maggior parte di essi è specifica per i professionisti della sicurezza e non ha nulla a che fare con ciò che un utente non attento alla sicurezza farebbe.

Alcuni esempi: come sfruttare le vulnerabilità rare o difficili da trovare, collegare insieme diverse vulnerabilità, scrivere zero-giorni, identificare i sistemi da informazioni limitate ecc.

Simulare gli effetti degli utenti che cliccano casualmente sulle cose è per lo più irrilevante per quelle competizioni, e non è quello che considererei comunque l'ingegneria sociale.

Detto questo, alcune competizioni consentono l'ingegneria sociale come tecnica, fornendo punti per informazioni / trofei raccolti con mezzi non tecnici (mentire, imbrogliare, ottenere accesso fisico ecc.)

    
risposta data 28.06.2013 - 10:03
fonte
2

Il punto di quelle competizioni non è eseguire un attacco come se fosse reale dove puoi ingannare l'utente per dare via i dati, piuttosto è una competizione che mostra chi è la squadra più veloce che trova i dati specifici (bandiera) usando mezzi tecnici .

Ad esempio, guarda come se fosse un wargame online (hackthissite, hackthis ...) ma ha giocato in squadra.

    
risposta data 28.06.2013 - 09:49
fonte
2

Un particolare CTF a cui ho partecipato, Air Raid organizzato da ThinkSECURE, ha assegnato "ingegneria sociale" in due modi.

Il primo modo è fornire punti per ottenere i tag partecipanti di altre squadre. All'inizio della competizione ogni membro della squadra riceve un tag. Il tag è necessario quando si rivendicano punti dai maestri del gioco per completare determinate attività. Ottenere i tag delle altre squadre usando qualsiasi mezzo (oltre naturalmente a quello fisico), farà guadagnare alla tua squadra una discreta quantità di punti.

Il secondo modo è dare punti per catturare altre squadre infrangendo la regola del gioco. Ciò richiede alcune prove piuttosto forti, ma vale una buona quantità di punti se si segnala un altro team.

    
risposta data 28.06.2013 - 12:20
fonte

Leggi altre domande sui tag