在当今企业面临的所有安全威胁中，社会工程攻击是最关键的威胁之一，不仅因为它们可能导致安全漏洞、系统损坏、关键数据丢失和其他破坏性事件，还因为它们难以预防。

社会工程涉及攻击者说服员工或拥有访问权限的第三方放弃有关组织系统和活动的宝贵信息。然后，攻击者使用这些信息（包括密码、社会安全号码、电话号码、电子邮件地址和其他个人信息）来破坏安全系统。

为了确定企业的人员和流程在何处以及如何容易受到攻击，安全团队可以进行社会工程评估，作为渗透测试的一部分。请继续阅读本文，以了解有关社会工程以及如何准备和执行社会工程渗透测试的更多信息。

社会工程攻击的类型

恶意攻击者使用各种社会工程攻击来窃取员工和第三方的数据。常见的社会工程攻击类型包括：

• 网络钓鱼。攻击者通过电子邮件、短信、电话或应用程序语音呼叫等方式联系用户，以诱骗他们泄露凭据和机密。
• 鱼叉式网络钓鱼。鱼叉式网络钓鱼是一种更有针对性的网络钓鱼攻击，涉及恶意行为者对特定员工的通信进行个性化设置，以获取对凭据、帐户等的访问权限。
• 假托。攻击者会制造一个虚假但听起来很紧急的场景（例如，假装有紧急情况或他们是公司高管），让人们提供个人或公司信息和访问权限。
• 尾随。 攻击者在物理上密切关注员工进入他们原本不允许进入的受限区域，例如，有人尾随员工进入需要访问密钥的区域。
• 恐吓软件。 网络犯罪分子诱骗员工访问恶意网站、购买或下载恶意软件，或者甚至只是让相信他们感染了恶意软件，无论他们是否感染。

如何准备社会工程评估

第一步是组建一个团队来执行渗透测试。团队成员可能包括内部员工，但团队也可以从外部第三方支持中受益，例如，来自道德黑客或渗透测试服务。

根据评估的深度，考虑设置或使用红色团队和蓝色团队。红队专注于可能存在漏洞的地方，而蓝队则确定防御措施如何缓解攻击，以及如何改进防御。

接下来，确定社会工程渗透测试的范围。例如，是应该关注内部的、基于人的漏洞，例如网络钓鱼攻击，还是包含外部情况-涉及未经授权访问建筑物或单个用户系统？

在此步骤中，确定要检查的预期攻击媒介：

• 未经授权的系统访问。
• 在电子邮件中传递可疑附件。
• 使用电话获取个人信息。
• 未经授权的人员进入建筑物或楼层。

此外，确定如何检查已识别的攻击途径：

• 电子渗透测试以识别可疑代码。
• 监控建筑物或楼层的摄像头。
• 防火墙和入侵检测及入侵防御系统捕获的数据。
• 软件（例如安全电子邮件和 Web 网关）用于检查电子邮件和其他邮件中的可疑代码。
• 识别可能攻击的反恶意软件、反网络钓鱼、防病毒和反勒索软件。

接下来，设计评估攻击以模拟社会工程漏洞。确定攻击是主动还是被动。主动攻击可能涉及团队成员或外部第三方与员工互动，并说服他们提供他们通常可能不会透露的信息。主动攻击还包括各种道德黑客活动。被动攻击可能涉及安全摄像头监控的结果，或渗透测试软件捕获的可疑数据。

最后，准备评估计划，其中包括以下活动：

• 发现和检查安全软件捕获的可疑数据。
• 进一步识别攻击媒介的道德黑客攻击。
• 楼层和办公工作区的视频监控记录。
• 团队成员在建筑物周围移动的观察报告。
• 事件及其特征的数据分析。
• 制定防止未来事件的行动。
• 确定正在进行的特定活动，以监控系统是否存在可能的攻击。
• 定义正在进行的活动，例如，培训、意识和软件补丁。
• 将调查结果和建议汇编成报告。
• 向主要各方和利益相关方提交报告。
• 从评估中确定的后续活动。

如何执行社会工程评估

执行以下步骤来执行社会工程渗透测试：

1. 安排评估。 将评估攻击安排在一到两周内的不同时间，以尽量减少怀疑。如果高级管理层是评估攻击的受害者之一，则最好不要公开此次评估。相反，最好发布一个提及评估的公告，例如，将其称为审查安全实践。
2. 执行评估。 考虑制定政策或程序来管理评估，例如，确保没有透露关于测试的信息，对提出问题的人使用准备好的回答，并定期向高级管理层发布更新。
3. 发现、捕获和分析数据。 当数据被发现并从评估攻击中捕获时，请仔细检查每个事件，并确定其来源、发现方式、绕过安全措施的方式、进展情况、影响程度以及解决方式。
4. 关于调查结果和建议的报告。 将评估结果汇编成一份报告，其中介绍了评估结果和修复漏洞的建议措施。安排一次会议，向高级管理层介绍评估结果和建议。与关键 IT 员工和其他人共享结果。
5. 评估后活动。 利用社会工程渗透测试结果来启动各种举措，例如定期对员工进行安全培训；加强对物理和电子安全系统的尽职调查；每周召开一次IT安全团队会议；始终如一地应用和测试安全补丁；以及建立正式的全公司安全计划。