Quando una società richiede di testare la sicurezza fisica / dell'infrastruttura, quali sono alcune tecniche che si potrebbero usare per testare i dipendenti?
Ciò potrebbe includere buone scuse per accedere ad alcuni hardware / software.
Quando una società richiede di testare la sicurezza fisica / dell'infrastruttura, quali sono alcune tecniche che si potrebbero usare per testare i dipendenti?
Ciò potrebbe includere buone scuse per accedere ad alcuni hardware / software.
L'arte dell'ingegneria sociale è costruita attorno alla fiducia, quindi prima devi pianificare come guadagnare la fiducia del bersaglio. Questo è diverso in ogni organizzazione, quindi sfortunatamente nessuno può davvero dirti cosa dovresti fare, ma conoscere alcune storie di guerra può aiutarti a ispirarti. Raccomando il libro " The Art Of Deception " di Kevin Mitnick come una brillante fonte di storie di guerra.
Alcune tattiche di social engineering comuni a me personalmente piacciono:
Riguardo alla sicurezza fisica, ancora una volta è difficile sapere che cosa funzionerà meglio senza prima avere informazioni sul bersaglio, a volte è possibile camminare fino al rack e iniziare a collegare i cavi, altre volte ci vuole più pianificazione per spiegare perché devi accedere a una stanza del server.
Una cosa che dovresti fare quando pianifichi il tuo test di sicurezza fisica è la ricerca sull'ambiente, conosci qualcuno in azienda? Sarai probabilmente identificato da chiunque come un tester di penetrazione? C'è un servizio di sicurezza tra te e la sala server? Quanti dipendenti lavorano nell'edificio? Sarai probabilmente avvistato se ti siedi accanto a un dipendente che non hai mai incontrato? Questi tipi di domande dovrebbero essere considerati prima di entrare nell'edificio.
Infine, sii sempre fiducioso in quello che stai facendo, non c'è niente di più di una sorpresa che qualcuno che inciampi sulle proprie parole quando viene interrogato su quello che stanno facendo. Ricorda che ottieni solo 1 colpo, quindi essere in grado di pensare in piedi sarà un grande vantaggio.
Leggi altre domande sui tag physical social-engineering