Social engineering penetration testing adalah praktik percobaan social engineering pada karyawan perusahaan untuk memastikan pegawai perusahaan memahami tingkat kerentanan perusahaan terhadap jenis manipulasi dan penipuan.
Social engineering pen testing dirancang untuk menguji kepatuhan karyawan terhadap kebijakan dan praktik keamanan yang ditentukan oleh manajemen.
Pengujian harus memberi perusahaan informasi tentang bagaimana penyusup dapat meyakinkan karyawan untuk membocorkan atau memberikan akses ke informasi sensitif. Perusahaan juga mendapatkan pemahaman yang lebih baik tentang seberapa sukses pelatihan keamanan mereka.
Social engineering testing bisa jadi adalah bagian dari penetration tests (pen tests) yang lebih komprehensif. Seperti metode ethical hacking, Tes yang dilakukan meniru berbagai upaya yang digunakan penyusup di dunia nyata.
Physical testing, Penguji akan mencoba memasuki gedung atau ruangan pada saat banyak karyawan yang masuk. Penguji mungkin akan bertingkah seperti sedang menelepon dan membawa banyak barang, tindakan penguji untuk melihat apakah ada karyawan yang memegang atau menahan pintu agar tetap terbuka, atau berpegang pada standar keamanan perusahaan. Namun hal ini tergantung prosedur keamanan perusahaan apakah seorang pegawai harus menggunakan kartu masuk pegawai atau tidak saat memasuki gedung.
Phishing exploits, adalah metode social engineering yang umum dan sering digunakan untuk menguji karyawan. Penguji mungkin akan mengirim email dengan menggunakan nama dari seseorang dalam manajemen, dan meminta karyawan untuk membuka lampiran email. Metode lain adalah dengan berpura-pura menjadi karyawan yang meminta kata sandi baru melalui telepon dan berpura-pura tidak mengerti IT.
Penguji mungkin akan menelepon karyawan dan berpura – pura menjadi karyawan di bagian IT. Penguji akan memberi mereka dengan kata sandi baru dan menyuruh karyawan untuk mengganti kata sandi karyawan dengan kata sandi yang yang penguji berikan.
0 komentar:
Posting Komentar