如何通过pentinging测试员工网络竞争力

社会工程黑客射击人类心理学固有的脆弱性。

测试员工网络竞争力

以尼日利亚(419)诈骗为例:诈骗者试图让受害者说服受害者通过为他们的参与提供百分比来帮助将自己的国家的资金纳入安全银行。虽然“尼日利亚王子”电子邮件的发件人几十年来欺骗了人们,但人们仍然是经常堕落的。

如果他们没有受到适当的培训和接受教育 角色和责任,员工对他们的组织构成了巨大的威胁,因此对于测试员工网络能力至关重要。除了杂草可能需要额外学习的弱势工人,组织可以利用社会工程追求。

员工是第一道防线

您的员工真正是第一道防线,以使贵公司安全安全。员工需要了解他们的方式 个人社交媒体习惯 信息过时可以直接影响其公司的安全。随着LinkedIn,Facebook,Twitter和Instagram等平台共享的信息量,黑客可以收集足够的信息,以与受害者建立信任,甚至担任社交圈中某人的身份。

员工往往缺乏知识 识别网络威胁。网络钓鱼电子邮件,尾随和诱饵可能似乎没有理由是持怀疑态度的员工。他们为什么不会在假期上从他们的老板打开电子邮件,要求他们为他/她转移钱?为什么他们不会为那天碰巧留下他们的钥匙卡的同事们开门?

社会工程黑客渗透组织 “hacking” the human brain 并利用其漏洞。如果没有关于如何识别网络威胁的一般理解和培训,员工将仍将成为网络犯罪的目标。

让员工培训优先

寻求全面 培训服务 准备员工认识并避免最新的网络安全威胁。您将想找到一个网络安全培训计划,用于解决您组织的漏洞和风险。不同行业的组织有不同的需求和 合规标准.

例如,法律事务所和法律服务领域的其他人具有严格,有关纸质文件和数字安全的处理的合规性要求。定制员工法律服务培训计划将帮助员工适应最新技术,并在最佳实践中减少负债 数据卫生 和物理安全。

专注于您的行业的培训计划也应该是可定制的,以便可以适应员工在公司内部的角色(例如,律师助理必须小心法院系统的欺骗电子邮件,餐厅的等候人员应专注于信用卡盗窃或识别欺诈行为,财务顾问需要谨慎,以便从客户的客户账户接线时谨慎)。

员工的另一个关键方面 网络安全培训 正在教你的员工数字卫生的重要性以及如何从外部威胁中组织,安全和保护他们的在线数据。这可以通过数字卫生实践和数据丢失预防方法建立。教育员工了解信息的价值以及如何在不同层面妥善分享–这将有助于防止意外披露。

回到社交媒体上的过时:培训可以帮助员工更好地了解社交媒体卫生和更好的衡量标准,以及何处分享个人信息。如果员工了解可以使用他们发布的信息的方式,那么他们将不太可能让黑客可以轻松访问的信息。

一次性训练不会削减它。员工的频繁培训课程对于强调专家标记的新社会工程黑客以及员工思想中最佳实践的关键是至关重要的。常规会话在大脑中保持有效的信息,而不是被推到长期记忆。

此外:非技术员工将通过5至10分钟的微型培训课程吸收更多信息,而不是通过典型的年度一小时培训课程。

测试员工网络竞争力

您的员工通过培训计划,更加了解其职责。是时候通过测试了。您可以通过利用Pentesting评估您的员工水平来实现这一目标 网络意识 通过模拟。雇用外面的渗透测试公司通过步伐运行安全准备是理想的,因为第三方可以带来可能在贵公司的盲点的亮点。

社交工程笔测试的价值是它将在以下领域发现安全弱点:

  • 物理安全(整个建筑物)
  • 关于适当使用和处理敏感数据的企业安全政策
  • 员工的安全意识和实施 - 您将发现工作人员是否需要额外的安全培训

社会工程首选可以在您的员工中使用,无论是现场还是现场。 Offsite测试旨在使员工泄露旨在仅供内部使用的信息。您可以通过手机网络钓鱼,电子邮件网络钓鱼或短信钓鱼试图妥协员工。 Penter可以将员工发送电子邮件,其中包含包含恶意软件的文件的链接。例如,工作人员可以收到一封通知他们赢得假期的电子邮件。如果他们点击链接,他们会给Pentester访问目标的公司帐户。对这种性质的测试将为组织提供有关多少员工点击链接的分析,以及哪些员工是公司安全的最大威胁。

现场渗透测试包括旨在获得目标公司办公室的各种技术。这可以包括员工或客户,垃圾箱潜水和物理蜂蜜盆的模拟。通过这种方法测试员工网络竞争力的一种方法是尝试模拟。有一个普斯特冒充科技支持工人,直接进入公司的网络。浦项赛可以在目标计算机上启动USB拇指驱动器,并在几秒钟内妥协该公司。很容易欺骗的员工可以获得额外的培训。

将垃圾箱潜入员工的垃圾桶。他们是否留下了关键信息的打印输出和纸张?纸碎纸机不用于摆脱数据吗?这是一种有效的方法,了解哪些员工可能与敏感的公司信息不谨慎。

带走

您可以认为您的组织是安全的,但它只需要一个人危及整个公司的安全性。社会工程是一个有效的方法来确定员工在何处站在哪里 网络安全最佳实践。让员工意识到是关键,Pentests的结果可以帮助推动这种意识。

Pentesting还提供有价值的指标 - 没有指标的教育和培训都没有表明人们是否正在学习并将他们学会使用的内容。当他们不知道他们正在测试时,测试员工可以真实地洞察他们的网络意识以及如何最好地训练它们。随着您的员工是您最大的网络安全漏洞,培训是保护您组织的最具成本效益的方法。

分享这个