+30 210 0220210

Μάθετε για την Tic Tac σε 3′ με το νέο εταιρικό μας βίντεο!

Ελέγξτε τα κενά ασφαλείας της υποδομής σας

ΕΛΕΓΧΟΣ ΕΥΠΑΘΕΙΩΝ ΔΙΚΤΥΟΥ (PENETRATION TESTING)

Penetration testing (ή pen testing) είναι μια ελεγχόμενη άσκηση ασφαλείας όπου εκπαιδευμένοι επαγγελματίες εντοπίζουν και αξιολογούν τρωτά ή αδύναμα σημεία δικτύου ή συστημάτων και ενισχύουν τις άμυνες έναντι κυβερονοαπειλών από πιθανούς εισβολείς.

Η εξειδικευμένη ομάδα μηχανικών της TicTac μπορεί να σας παρέχει ένα  security audit, διασφαλίζοντας την ασφάλεια αυτών.

Μιλήστε με έναν ειδικό
Μιλήστε με έναν ειδικό
+30 210 6897383
Penetration Testing

Τι κινδύνους αντιμετωπίζει σήμερα ένα εταιρικό περιβάλλον;

Κάθε εταιρικό περιβάλλον ή οργανισμός βασίζεται στους μηχανικούς πληροφορικης που διαθέτει, είτε εσωτερικοί είτε εξωτερικοί συνεργάτες, ούτως ώστε να διασφαλίσουν ότι οι εσωτερικές υποδομές (εσωτερικό δίκτυο, Servers, Backups, κοινόχρηστοι πόροι κλπ) ή οι εξωτερικοί πόροι (Website/eshop) είναι ασφαλείς από εξωτερικές επιθέσεις.

Όμως πρακτικά αυτό στις περισσότερες περιπτώσεις δεν γίνεται σωστά καθώς τα κενά ασφαλείας που παρουσιάζονται καθημερινά, είναι πάρα πολλά, με αποτέλεσμα να μην υπάρχει η απαραίτητη τεχνογνωσία από τους μηχανικούς πληροφορικής που εργάζονται στον οργανισμό, να γνωρίζουν όλες τις ευπάθειες.

Πλέον υπάρχουν εξειδικευμένοι μηχανικοί πληροφορικής στον τομέα του Cyber Security που εξειδικεύονται στα κενά ασφαλείας (Cyber Security Experts), οι οποίοι σε συνεργασία με το υπάρχον προσωπικό ή εξωτερικούς συνεργάτες του οργανισμού σας, μπορούν να εντοπίσουν πολύ περισσότερα κενά ασφαλείας και να διεξάγουν έναν έλεγχο με αυστηρότερα standards, ούτως ώστε να γνωρίζετε κι εσείς από τι κινδυνέυετε και να επιλέξετε που θα εστιάσετε.

Τα περιστατικά Ransomware και Cyber Attacks (εξωτερικές δικτυακές επιθέσεις) έχουν πολλαπλασιαστεί τα τελευταία χρόνια και μπορεί να κοστίσουν σε μια επιχείρηση την βιωσιμότητα της. Δεν είναι τυχαίο το γεγονός ότι κάποιοι οργανισμοί, αναγκάστηκαν να κάνουν παύση της λειτουργίας τους καθώς δεν μπόρεσαν να ανακάμψουν μετά από μια ψηφιακή επίθεση που τους κόστισε τα δεδομένα τους.

Τι είναι ο Penetration Tester (pentester);

Οι Penetration Testers, εκτελούν προσομοιωμένες κυβερνοεπιθέσεις στο δίκτυο και τους υπολογιστές μιας εταιρείας. Αυτές οι εξουσιοδοτημένες δοκιμές βοηθούν στην κυβερνοασφάλεια μέσα από τον εντοπισμό τρωτών σημείων και αδυναμιών ασφαλείας προτού οι κακόβουλοι χάκερ τις εκμεταλλευτούν.

Τι είναι ο Ελεγχος Τρωτών Σημείων Δικτύου (Penetration Test);

Με απλά λόγια το Penetration Test, αναλόγως την έκταση που του δίνεται, θα σας δώσει τη δυνατότητα να γνωρίζετε από ποιά κενά ασφαλείας κινδυνεύει το δίκτυο σας να δεχτεί επίθεση από κάποια κακόβουλη ενέργεια. Ο εντοπισμός των ευπαθειών, είναι μόνο η αρχή, καθώς τα θέματα που θα εντοπιστούν από τους μηχανικούς μας θα πρέπει να φροντίσετε να τα καλύψετε.

Η υπηρεσία του ελέγχου ασφαλείας των υποδομών σας, έχει σαν σκοπό:

  • την καταγραφή των κενών ασφαλείας και των μη αποτελεσματικών διαδικασιών
  • τον έλεγχο (επιφανειακό ή σε βάθος) των συστημάτων ασφαλείας
  • την αξιολόγηση της αποτελεσματικότητας των εργαλείων που προστατεύουν την δικτυακή υποδομή σας

Τι είδη ελέγχων ασφαλείας παρέχονται;

Από την TicTac παρέχονται οι παρακάτω έλεγχοι ασφαλείας υποδομών:

  • Έλεγχος για ευπάθειες Ransomware
  • Έλεγχος Ασφάλειας Εσωτερικού Δικτύου (Internal Network Penetration Test)
  • Έλεγχος Ασφάλειας Ασύρματου Δικτύου (WiFi Penetration Test)
  • Έλεγχος Ασφάλειας Website / Eshop
  • Έλεγχος Ασφάλειας VOIP τηλεφωνικού κέντρου (VOIP PBX Penetration Test)
  • On-Site / Off Site Penetration Test

Οι έλεγχοι μπορούν να προγραμματιστούν τις ωρες και τις ημερες που εσείς επιθυμείτε, ούτως ώστε να μην διαταραχθεί η καθημερινή ροή του εταιρικού περιβάλοντος. [ Επικοινωνήστε μαζί μας σήμερα κιόλας ] ούτως ώστε να κλείσουμε ένα ραντεβού και να σας ενημερώσουν οι μηχανικοί ασφαλείας μας για το ποιος έλεγχος είναι ο κατάλληλος για την υποδομή σας.

Διαθέσιμα πακέτα Security Audits & Pen Test της TicTac:

Παρακάτω θα βρείτε πακέτα των πιο κοινών ελέγχων ασφαλείας που πραγματοποιούνται σε μικρές & μεσαίες εταιρίες και οργανισμούς στην χώρα μας από τους μηχανικούς της TicTac:

ΠΑΚΕΤΟ 1: CHECKLIST ΓΙΑ RANSOMWARE

Περιλαμβάνονται οι παρακάτω εργασίες/έλεγχοι:

  1. Patch level – patching policy applied
  2. Domain: είναι όλα τα συστήματα μέλη σε domain με σχετικές πολιτικές περιορισμού δικαιωμάτων χρήστη;
  3. Proxy: Χρησιμοποιείται κάποιος proxy για access στο Internet;
  4. Λύσεις UTM, firewall, IDS/IPS που χρησιμοποιούνται.
  5. Χρήση antimalware (enterprise antivirus + endpoint security)
  6. Backup policy

Παραδοτέο Ελέγχου: Έκθεση αξιολόγησης κινδύνου που θα περιλαμβάνει βαθμό ετοιμότητας για αντιμετόπιση κινδύνων Ransomware – rating ανά κατηγορία και τελικό-συνολικό rating.

Εκτιμώμενο Κόστος: από 400 + ΦΠΑ, ανάλογα με το βαθμό λεπτομέρειας (π.χ. απλή συνέντευξη ή και έλεγχος παραμετροποίησης)

ΠΑΚΕΤΟ 2: ΕΞΩΤΕΡΙΚΟΣ ΕΛΕΓΧΟΣ (Penetration Test)

Περιλαμβάνονται οι παρακάτω εργασίες/έλεγχοι:

  1. Έλεγχος περιμέτρου (Penetration Test): ανίχνευση ενεργών επικοινωνιών, πορτών και πρωτοκόλλων.
  2. Σάρωση περιμέτρου και ανεύρεση ευπαθειών σε συστήματα, λογισμικό, ενεργές υπηρεσίες και πρωτόκολλα επικοινωνίας καθώς και στην παραμετροποίηση τους.
  3. Ανακάλυψη πληροφοριών για το δίκτυο, τα συστήματα και τις υπηρεσίες, οι οποίες μπορούν να χρησιμοποιηθούν για περαιτέρω επιθέσεις από κακόβουλους χρήστες του διαδικτύου.
  4. Έλεγχος web εφαρμογών για πιθανές ευπάθειες, όπως εκτέλεση κακόβουλων εντολών ή κώδικα, παραβίαση μηχανισμών ελέγχου και αυθεντικοποίησης, υποκλοπή πληροφορίας, ανεπαρκής παραμετροποίηση ασφάλειας, χρήση ευάλωτου λογισμικού κ.α.

Παραδοτέο Ελέγχου: 

Έκθεση αξιολόγησης κινδύνου που θα περιλαμβάνει:

  • Λίστα ευρημάτων αδυναμιών και ευπαθειών σε σειρά κρισιμότητας.
  • Επεξήγηση, ανάλυση του κάθε ευρήματος.
  • Πιθανούς φορείς επίθεσης και διαθεσιμότητα εργαλείων εκμετάλλευσης της κάθε αδυναμίας.
  • Επιπτώσεις για την επιχείρηση και τις υπηρεσίες της.
  • Πιθανούς τρόπους επίλυσης των ευρημάτων.

Εκτιμώμενο Κόστος: από 700€ (το κόστος εξαρτάται από την πολυπλοκότητα των ελέγχων που θα καθοριστούν κατα τη συνέντευξη)

ΠΑΚΕΤΟ 3: ΕΞΩΤΕΡΙΚΟΣ ΕΛΕΓΧΟΣ ΜΕ ΕΛΕΓΧΟ ΠΑΡΕΙΣΔΥΣΗΣ (Pen Testing)

Περιλαμβάνονται οι παρακάτω εργασίες/έλεγχοι:

  1. Έλεγχος περιμέτρου (Penetration Test): ανίχνευση ενεργών επικοινωνιών, πορτών και πρωτοκόλλων.
  2. Σάρωση περιμέτρου και ανεύρεση ευπαθειών σε συστήματα, λογισμικό, ενεργές υπηρεσίες και πρωτόκολλα επικοινωνίας καθώς και στην παραμετροποίηση τους.
  3. Ανακάλυψη πληροφοριών για το δίκτυο, τα συστήματα και τις υπηρεσίες, οι οποίες μπορούν να χρησιμοποιηθούν για περαιτέρω επιθέσεις από κακόβουλους χρήστες του διαδικτύου.
  4. Έλεγχος web εφαρμογών για πιθανές ευπάθειες, όπως εκτέλεση κακόβουλων εντολών ή κώδικα, παραβίαση μηχανισμών ελέγχου και αυθεντικοποίησης, υποκλοπή πληροφορίας, ανεπαρκής παραμετροποίηση ασφάλειας, χρήση ευάλωτου λογισμικού κ.α.
  5. Έλεγχος παρείσδυσης (penetration testing): δοκιμές επίθεσης σε εκμετάλλευση των ευπαθειών που προέκυψαν από τους ελέγχους στο (α) με στόχο την επίτευξη πρόσβασης ή και ελέγχου σε συστήματα, πληροφορία, επικοινωνίες και υποδομή.

Παραδοτέο Ελέγχου: 

Έκθεση αξιολόγησης κινδύνου που θα περιλαμβάνει:

  • Λίστα ευρημάτων αδυναμιών και ευπαθειών σε σειρά κρισιμότητας.
  • Επεξήγηση, ανάλυση του κάθε ευρήματος.
  • Πιθανούς φορείς επίθεσης και διαθεσιμότητα εργαλείων εκμετάλλευσης της κάθε αδυναμίας.
  • Επιπτώσεις για την επιχείρηση και τις υπηρεσίες της.
  • Αποτελέσματα ελέγχου παρείσδυσης με αποδεικτικά στοιχεία, ανάλυση ενεργειών και βημάτων επίτευξης.
  • Πιθανούς τρόπους επίλυσης των ευρημάτων.

Εκτιμώμενο Κόστος: ~600€ (το κόστος εξαρτάται από την πολυπλοκότητα των ελέγχων που θα καθοριστούν κατα τη συνέντευξη)

ΠΑΚΕΤΟ 4: ΕΞΩΤΕΡΙΚΟΣ ΚΑΙ ΕΣΩΤΕΡΙΚΟΣ ΕΛΕΓΧΟΣ (Pen Test)

Περιλαμβάνονται οι παρακάτω εργασίες/έλεγχοι:

  1. Έλεγχος περιμέτρου: ανίχνευση ενεργών επικοινωνιών, πορτών και πρωτοκόλλων.
  2. Σάρωση περιμέτρου και ανεύρεση ευπαθειών σε συστήματα, λογισμικό, ενεργές υπηρεσίες και πρωτόκολλα επικοινωνίας καθώς και στην παραμετροποίηση τους.
  3. Ανακάλυψη πληροφοριών για το δίκτυο, τα συστήματα και τις υπηρεσίες, οι οποίες μπορούν να χρησιμοποιηθούν για περαιτέρω επιθέσεις από κακόβουλους χρήστες του διαδικτύου.
  4. Έλεγχος web εφαρμογών για πιθανές ευπάθειες, όπως εκτέλεση κακόβουλων εντολών ή κώδικα, παραβίαση μηχανισμών ελέγχου και αυθεντικοποίησης, υποκλοπή πληροφορίας, ανεπαρκής παραμετροποίηση ασφάλειας, χρήση ευάλωτου λογισμικού κ.α.
  5. Εσωτερική σάρωση κάθε συστήματος της επιχείρησης και ανεύρεση ευπαθειών σε λογισμικό, ενεργές υπηρεσίες και πρωτόκολλα επικοινωνίας καθώς και στην παραμετροποίηση τους.
  6. Έλεγχος συστημάτων και παραμετροποίησης των επιμέρους συστατικών τους:– Λειτουργικό σύστημα: Παραμετροποίηση, hardening, μηχανισμοί αυθεντικοποίησης, παραμετροποίηση επιμέρους ενεργών πρωτοκόλλων, προστασία ευαίσθητης πληροφορίας κατά την αποθήκευση και τη μεταφορά, μηχανισμοί και πρωτόκολλα κρυπτογράφησης, μηχανισμοί καταγραφής ενεργειών και συμβάντων συστήματος κ.α.– Βάσεις δεδομένων: Παραμετροποίηση, hardening, μηχανισμοί αυθεντικοποίησης, προστασία ευαίσθητης πληροφορίας κατά την αποθήκευση και τη μεταφορά, μηχανισμοί και πρωτόκολλα κρυπτογράφησης, μηχανισμοί καταγραφής ενεργειών και συμβάντων κ.α.– Επιμέρους συστήματα: Παραμετροποίηση web servers, application servers, εσωτερικών web εφαρμογών

Παραδοτέο Ελέγχου: 

Έκθεση αξιολόγησης κινδύνου που θα περιλαμβάνει:

  • Λίστα ευρημάτων αδυναμιών και ευπαθειών σε σειρά κρισιμότητας.
  • Επεξήγηση, ανάλυση του κάθε ευρήματος.
  • Πιθανούς φορείς επίθεσης και διαθεσιμότητα εργαλείων εκμετάλλευσης της κάθε αδυναμίας.
  • Επιπτώσεις για την επιχείρηση και τις υπηρεσίες της.
  • Πιθανούς τρόπους επίλυσης των ευρημάτων.

Εκτιμώμενο Κόστος:~1000€ (το κόστος εξαρτάται από την πολυπλοκότητα των ελέγχων που θα καθοριστούν κατα τη συνέντευξη)

ΠΑΚΕΤΟ 5: ΕΞΩΤΕΡΙΚΟΣ ΚΑΙ ΕΣΩΤΕΡΙΚΟΣ ΕΛΕΓΧΟΣ

Περιλαμβάνονται οι παρακάτω εργασίες/έλεγχοι:

  1. Έλεγχος περιμέτρου (Penetration Test): ανίχνευση ενεργών επικοινωνιών, πορτών και πρωτοκόλλων.
  2. Σάρωση περιμέτρου και ανεύρεση ευπαθειών σε συστήματα, λογισμικό, ενεργές υπηρεσίες και πρωτόκολλα επικοινωνίας καθώς και στην παραμετροποίηση τους.
  3. Ανακάλυψη πληροφοριών για το δίκτυο, τα συστήματα και τις υπηρεσίες, οι οποίες μπορούν να χρησιμοποιηθούν για περαιτέρω επιθέσεις από κακόβουλους χρήστες του διαδικτύου.
  4. Έλεγχος web εφαρμογών για πιθανές ευπάθειες, όπως εκτέλεση κακόβουλων εντολών ή κώδικα, παραβίαση μηχανισμών ελέγχου και αυθεντικοποίησης, υποκλοπή πληροφορίας, ανεπαρκής παραμετροποίηση ασφάλειας, χρήση ευάλωτου λογισμικού κ.α.
  5. Εσωτερική σάρωση κάθε συστήματος της επιχείρησης και ανεύρεση ευπαθειών σε λογισμικό, ενεργές υπηρεσίες και πρωτόκολλα επικοινωνίας καθώς και στην παραμετροποίηση τους.
  6. Έλεγχος συστημάτων και παραμετροποίησης των επιμέρους συστατικών τους:– Λειτουργικό σύστημα: Παραμετροποίηση, hardening, μηχανισμοί αυθεντικοποίησης, παραμετροποίηση επιμέρους ενεργών πρωτοκόλλων, προστασία ευαίσθητης πληροφορίας κατά την αποθήκευση και τη μεταφορά, μηχανισμοί και πρωτόκολλα κρυπτογράφησης, μηχανισμοί καταγραφής ενεργειών και συμβάντων συστήματος κ.α.– Βάσεις δεδομένων: Παραμετροποίηση, hardening, μηχανισμοί αυθεντικοποίησης, προστασία ευαίσθητης πληροφορίας κατά την αποθήκευση και τη μεταφορά, μηχανισμοί και πρωτόκολλα κρυπτογράφησης, μηχανισμοί καταγραφής ενεργειών και συμβάντων κ.α.– Επιμέρους συστήματα: Παραμετροποίηση web servers, application servers, εσωτερικών web εφαρμογών
  7. Έλεγχος παρείσδυσης (penetration testing): δοκιμές επίθεσης σε εκμετάλλευση των ευπαθειών που προέκυψαν από τους ελέγχους στο (α) με στόχο την επίτευξη πρόσβασης ή και ελέγχου σε συστήματα, πληροφορία, επικοινωνίες και υποδομή.

Παραδοτέο Ελέγχου: 

Έκθεση αξιολόγησης κινδύνου που θα περιλαμβάνει:

  • Λίστα ευρημάτων αδυναμιών και ευπαθειών σε σειρά κρισιμότητας.
  • Επεξήγηση, ανάλυση του κάθε ευρήματος.
  • Πιθανούς φορείς επίθεσης και διαθεσιμότητα εργαλείων εκμετάλλευσης της κάθε αδυναμίας.
  • Επιπτώσεις για την επιχείρηση και τις υπηρεσίες της.
  • Αποτελέσματα ελέγχου παρείσδυσης με αποδεικτικά στοιχεία, ανάλυση ενεργειών και βημάτων επίτευξης.
  • Πιθανούς τρόπους επίλυσης των ευρημάτων.

Εκτιμώμενο Κόστος:~1300€ (το κόστος εξαρτάται από την πολυπλοκότητα των ελέγχων που θα καθοριστούν κατα τη συνέντευξη)

ΠΑΚΕΤΟ 6: ΕΛΕΓΧΟΣ ΑΣΦΑΛΕΙΑΣ ΥΠΟΔΟΜΗΣ

Περιλαμβάνονται οι παρακάτω εργασίες/έλεγχοι:

  1. Έλεγχος περιμέτρου (Penetration Test): ανίχνευση ενεργών επικοινωνιών, πορτών και πρωτοκόλλων.
  2. Σάρωση περιμέτρου και ανεύρεση ευπαθειών σε συστήματα, λογισμικό, ενεργές υπηρεσίες και πρωτόκολλα επικοινωνίας καθώς και στην παραμετροποίηση τους.
  3. Ανακάλυψη πληροφοριών για το δίκτυο, τα συστήματα και τις υπηρεσίες, οι οποίες μπορούν να χρησιμοποιηθούν για περαιτέρω επιθέσεις από κακόβουλους χρήστες του διαδικτύου.
  4. Έλεγχος web εφαρμογών για πιθανές ευπάθειες, όπως εκτέλεση κακόβουλων εντολών ή κώδικα, παραβίαση μηχανισμών ελέγχου και αυθεντικοποίησης, υποκλοπή πληροφορίας, ανεπαρκής παραμετροποίηση ασφάλειας, χρήση ευάλωτου λογισμικού κ.α.
  5. Εσωτερική σάρωση κάθε συστήματος της επιχείρησης και ανεύρεση ευπαθειών σε λογισμικό, ενεργές υπηρεσίες και πρωτόκολλα επικοινωνίας καθώς και στην παραμετροποίηση τους.
  6. Έλεγχος συστημάτων και παραμετροποίησης των επιμέρους συστατικών τους:– Λειτουργικό σύστημα: Παραμετροποίηση, hardening, μηχανισμοί αυθεντικοποίησης, παραμετροποίηση επιμέρους ενεργών πρωτοκόλλων, προστασία ευαίσθητης πληροφορίας κατά την αποθήκευση και τη μεταφορά, μηχανισμοί και πρωτόκολλα κρυπτογράφησης, μηχανισμοί καταγραφής ενεργειών και συμβάντων συστήματος κ.α.– Βάσεις δεδομένων: Παραμετροποίηση, hardening, μηχανισμοί αυθεντικοποίησης, προστασία ευαίσθητης πληροφορίας κατά την αποθήκευση και τη μεταφορά, μηχανισμοί και πρωτόκολλα κρυπτογράφησης, μηχανισμοί καταγραφής ενεργειών και συμβάντων κ.α.– Επιμέρους συστήματα: Παραμετροποίηση web servers, application servers, εσωτερικών web εφαρμογών
  7. Έλεγχος παρείσδυσης (penetration testing): δοκιμές επίθεσης σε εκμετάλλευση των ευπαθειών που προέκυψαν από τους ελέγχους στο (α) με στόχο την επίτευξη πρόσβασης ή και ελέγχου σε συστήματα, πληροφορία, επικοινωνίες και υποδομή.
  8. Έλεγχος δικτυακής υποδομής: Αρχιτεκτονική δικτύου, διαχωρισμός δικτύου και επικοινωνιών, παραμετροποίηση routers, switches, firewalls, επιπλέον μηχανισμών ασφαλείας (IDS, IPS, Antivirus κτλ.), μηχανισμού αυθεντικοποίησης και πρόσβασης στο δίκτυο και τον εξοπλισμό του.
  9. Έλεγχος ασφαλούς παραμετροποίησης virtual υποδομής
  10. Έλεγχος Τερματικών: Παραμετροποίηση, μηχανισμοί ασφάλειας, client εφαρμογές.
  11. Mobile Εφαρμογές: έλεγχος λειτουργίας, επικοινωνιών, παραμετροποίησης, δικαιωμάτων, μηχανισμών αυθεντικοποίησης και διαχείρισης πρόσβασης, μηχανισμών κρυπτογράφησης δεδομένων, ανάλυση κώδικα.
  12. Έλεγχος φυσικής ασφάλειας υποδομής.
  13. Έλεγχος μηχανισμών καταγραφής και παρακολούθησης προσβάσεων, συμβάντων συστημάτων, υποδομών, δημιουργίας ειδοποιήσεων κινδύνου, διαδικασιών αντιμετώπισης περιστατικών ασφάλειας.

Παραδοτέο Ελέγχου: 

Έκθεση αξιολόγησης κινδύνου που θα περιλαμβάνει:

  • Λίστα ευρημάτων αδυναμιών και ευπαθειών σε σειρά κρισιμότητας.
  • Επεξήγηση, ανάλυση του κάθε ευρήματος.
  • Πιθανούς φορείς επίθεσης και διαθεσιμότητα εργαλείων εκμετάλλευσης της κάθε αδυναμίας.
  • Επιπτώσεις για την επιχείρηση και τις υπηρεσίες της.
  • Αποτελέσματα ελέγχου παρείσδυσης με αποδεικτικά στοιχεία, ανάλυση ενεργειών και βημάτων επίτευξης.
  • Πιθανούς τρόπους επίλυσης των ευρημάτων.
  • Ανάλυση αρχιτεκτονικής, συμβουλές ενίσχυσης της ασφάλειας της υποδομής και αντιμετώπισης περιστατικών ασφάλειας.

Εκτιμώμενο Κόστος: Χρεώνεται κατά περίπτωση και ανάλογα με την υποδομή

ΠΑΚΕΤΟ 7: ΕΤΟΙΜΟΤΗΤΑ ΠΡΟΣΩΠΙΚΟΥ ΓΙΑ ΕΠΙΘΕΣΕΙΣ ΚΟΙΝΩΝΙΚΗΣ ΜΗΧΑΝΙΚΗΣ (SOCIAL ENGINEERING ATTACK TEST)

Προτεινόμενα σενάρια Social Engineering Attack:

Σενάριο 1: Domain Spoofing / Phishing

  • Ένας IT Manager ή κάποιος συνεργάτης στέλνει email και ζητάει από υπάλληλους τους κωδικούς τους, για κάποιο υποτιθέμενο migration υποδομής.
  • Το mail θα μπορεί να έρχεται από fake “προσωπικό” email κάποιου manager ή συνεργάτη ή από παρόμοιο domain name της εταιρίας σε Gmail hosting με το συγκεκριμένο domain name.

Σενάριο 2: Phishing Attack / Domain Replication

  • Στέλνεται link σε επιλεγμένους χρήστες και η ομάδα επίθεσης τους πείθει να βάλουν τους κωδικούς τους σε ψεύτικο site.
  • Πιθανό σενάριο είναι ότι παρατηρήθηκε ύποπτη κίνηση στο account τους και προτείνεται αλλαγή password στο link που παρέχεται, το οποίο θα δείχνει στο ψεύτικο-όμοιο site.
  • Κατόπιν η επιτιθέμενη ομάδα συλλέγει τα στοιχεία των λογαριασμών τους.
  • Το mail για την αλλαγή του password θα μπορούσε να έρχεται από παρόμοιο domain name με το συγκεκριμένο site σε gmail hosting με το συγκεκριμένο domain name.

Σενάριο 3. Ransomware Attack simulation με document χωρίς malicious payload

  • Αποστέλλεται Phishing email και γίνεται καταγραφή πόσοι το άνοιξαν, όχι ποιοι (δηλαδή δεν θα ξέρουμε ποια φυσικά άτομα) και πόσοι από αυτούς πάτησαν το “enable macros” που θα σήμαινε ότι άνοιξαν ένα ενδεχόμενο αρχείο με Ransomware ιό.
  • Είναι εντελώς ασφαλές και δεν θα αποκτήσουμε πρόσβαση.
  • Γίνεται εξομοίωση ρεαλιστικής κακόβουλης επίθεσης χωρίς να χρειαστεί να cleanup στη συνέχεια.
  • Πιθανά σενάρια: Προσφορές, mail από fake persona ή δημοσιογράφο, αποστολή leaked documents.
  • Το mail θα μπορούσε να έρχεται από “προσωπικό” mail συναδέλφου ή από παρόμοιο domain name με της εταιρίας σε gmail hosting.

Επικοινωνήστε μαζί μας για ραντεβού

Καντε κλικ εδώ για να επικοινωνήστε μαζί μας για περισσότερες πληροφορίες και για να σας στείλουμε το ερωτηματολόγιο του ελέγχου.

Banner