אחד המושגים המוכרים בעולם אבטחת המידע נקרא Social engineering (הנדסה חברתית). הכוונה היא ליכולת לנצל תכונות פסיכולוגיות של אדם ולגרום לו לבצע את בקשת התוקף, לדוגמה להזין פרטי זיהוי או אשראי.
קיימים מספר תרחישי תקיפה תרחישי תקיפה מקובלים בהנדסה חברתית והעיקרי שבהם הוא Phishing. עובדים מקבלים לינקים תמימים לכאורה, או קבצים מצורפים לדואר האלקטרוני, מתפתים ללחוץ עליהם ומאפשרים לתוקף להשתלט על המחשב או הסלולר. רמת התחכום של התוקפים עולה לאורך השנים לכן עובדים בארגון שאינם בקיאים בנושא נופלים בפח לעיתים קרובות.
קיימים מספר מוצרי אבטחה שמנסים לתת מענה לבעיה הזו, אולם החלק החשוב באמת בהתמודדות עם מתקפות מסוג זה עוסק בהדרכת עובדים. הדרך הטובה ביותר לעשות זאת היא בעזרת ביצוע תרגילי אמת, בהם בשלב ראשון התוקף מנסה להערים על העובד ובשלב שני להשתלט על המחשב ולנוע ברשת.
באופן הזה, אתה כמנהל אבטחת מידע בוחן הן את ערנות העובדים והן את מערכות ההגנה שאמורות לתת מענה במקרה שהעובד נפל בפח.
למי מיועד קמפיין Phishing ?
- לחברות שנדרשות כחלק מהרגולציה לבצע בדיקות מודעות עובדים לאיומי סייבר
- לחברות שחוששות שמא האקרים ינצלו את חוסר המודעות של העובדים בכדי לחדור ולפגוע בארגון ומעוניינות לטפל בנושא. כידוע, מרבית תקיפות הסייבר בעולם נובעות מחוסר מודעות מספקת של עובדים.
מהם היתרונות
- בחינה שוטפת של מודעות העובדים וקבלת מידע מפורט בנושא
- בדיקה של מערכות אבטחת המידע למקרה שהעובד נפל בפח
מה יהיו הדגשים ?
מדסק תאפשר ללקוח לבחור בין מספר תרחישים שונים לביצוע המבדק. המטרה תהיה לגרום לעובדים להגיע לאתר המתחזה ובהמשך להשתלט על העמדה ולקבל גישה לרשת הפנימית.
מדוע לעבוד איתנו ?
- מומחיות טכנולוגית – חברה טכנולוגית שעוסקת אך ורק ב Penetration tests ו – GRC (סקרי סיכונים ורגולציה). זו המומחיות שלנו והיא נמצאת ב DNA של החברה.
- ניסיון – החברה הגדולה בארץ בתחום Penetration tests. פועלת עם כל הבנקים בישראל, וכן: הייטק, פיננסי, טלקום, אקדמיה, ביטוח והשקעות, תעשיה חכמה.
- שקט נפשי – כל העובדים הם בהיקף 100% משרה (אין אצלנו עובדי קבלן). לחברה סיווג בטחוני 3 ותקן ISO 27001.
- מקצועיות – ניהול הפרויקטים מבוצע על ידי מנהל פרויקטים מקצועי, והחברה עומדת בתקינת ניהול ובקרת איכות ISO 9001. לעובדים יש הסמכות בינלאומיות ושנות ניסיון רבות.
- אובייקטיביות – מדסק אינה עוסקת במכירה ושיווק של מערכות אבטחת מידע, ואין לנו אינטרס לקדם מוצר זה או אחר. במובן הזה, אנו שותפים שלך הלקוח ברמה הטכנולוגית.
- נוכחות בשוק הסייבר – הכרות עם כל הגופים שעוסקים באבטחת מידע, דוגמת: מערך הסייבר והרשות להגנת הפרטיות. מרצים ומנחים כנסי אבטחת מידע טכנולוגיים.
- קיימים מספר מוצרים בתחום, אבל הם מסתפקים בבחינת ערנות העובדים. לך כ CISO אין די בכך, אמנם עליך לוודא את ערנות העובדים, אך במקביל עליך לבחון את מערכות ההגנה, בכדי לדעת שתוקף שהערים על העובד לא יוכל לגרום לנזק ממשי. לכן אנו מציעים חבילה של מבדקים רבעוניים שמבוצעים על ידי האקר אנושי ולזה מתווספים הדרכות מודעות ועלונים לעובדים.
