SOGETI PRESENTEERT SOCIAL ENGINEERING CHALLENGE RESULTATEN
Top 100 organisaties geven met gemak informatie weg
Vianen, 15 augustus 2012
Sogeti presenteert de uitkomsten van de Social Engineering Challenge die tijdens het Hack-in-the-Box evenement eind mei jl. in Amsterdam voor het eerst in Europa is georganiseerd. Voorafgaand aan deze wereldwijde securityconferentie riep de ICT-dienstverlener hackers op om in competitieverband willekeurige organisaties uit de Nederlandse Top 100 te ‘Social Engineeren’. Uit de nu uitgebreid geanalyseerde resultaten blijkt dat het mogelijk is bij elke Top 100 organisatie relatief eenvoudig gegevens boven water te krijgen. Een aanval midden in de week na lunchtijd blijkt bovendien het meest effectief te zijn. Het doel van de Sogeti Social Engineering Challenge is Nederlandse organisaties bewuster te maken van de kwetsbaarheden ten gevolge van het menselijke gedrag van hun medewerkers.
De verkregen informatie bestaat onder andere uit welk type software wordt gebruikt, of IT wordt IT en zo ja, aan welk bedrijf, welke browsers worden gebruikt, wat is de naam van het draadloos netwerk, welk bedrijf de archiefvernietiging doet en wie de cateraar van de organisatie is.
“Dit lijkt onschuldige informatie maar door wat vernuft zijn hackers in staat achterhaalde informatie in te zetten om bijvoorbeeld de volledige regie van het bedrijfsnetwerk over te nemen. Organisaties zijn zich bewust van de noodzaak hun informatietechnologie goed te beveiligen. Echter, ‘het beveiligen van de rol van de mens’ krijgt nu nog onvoldoende aandacht. Social Engineering helpt organisaties om inzicht te krijgen in zwakheden van processen en medewerkers bewuster te maken van hun verantwoordelijkheden.” aldus Marinus Kuivenhoven, Senior Security Expert van Sogeti.
Aanpak
Om de Challenge niet te beïnvloeden, zijn organisaties vooraf niet ingelicht. De wedstrijd is zo opgezet dat deze binnen de kaders van de wet valt. Het doel is dan ook niet organisaties lastig te vallen of in een kwaad daglicht te zetten maar juist een beeld te krijgen van de effectiviteit van Social Engineering aanvallen, en deze kennis te delen. Nadat deelnemers zich hadden geregistreerd, kregen ze een door Sogeti willekeurig geselecteerd Nederlands top 100 bedrijf toegewezen. Vervolgens werd deelnemers gevraagd bedrijfsinformatie uit publieke bronnen op te halen, waarbij het in deze fase niet was toegestaan om actief contact te zoeken met de desbetreffende organisaties.
Deze informatie gebruiken hackers om een goede ‘pretext’ te vormen. Dat is een geloofwaardig scenario om een effectieve aanval te doen. De meest gebruikte zoekmethode voor deze ‘pretext’ was Google met 52%, gevolgd door Monsterboard en bedrijfswebsites. Social media werden opvallend weinig gebruikt. Wellicht doordat het doelwit een organisatie betreft en daarmee dus een collectief en geen individu.
Bellers die zich voordoen als student of onderzoeker, blijken zeer succesvol te zijn in het verkrijgen van relevante informatie. Of anders gezegd, medewerkers van Top 100 organisaties zijn boven verwachting zeer behulpzaam voor hackers.
Een opvallend resultaat is ook dat veel informatie kan worden achterhaald uit media die organisaties zelf publiceren. Bijvoorbeeld via vacatureteksten wordt achterhaald welke software wordt gebruikt.
30 hackers hadden zich aangemeld voor deelname aan de Social Engineering Challenge.
Rol van Social Engineering
Social Engineering is het manipuleren van een slachtoffer om gevoel en werkelijkheid zo uit elkaar te trekken dat het slachtoffer vrijwillig een actie uitvoert of informatie vrijgeeft. Dit doet de Social Engineer door een rol aan te nemen en deze binnen een scenario te gebruiken waar de kans het grootst is dat het slachtoffer vertrouwt dat de actie gegrond is. Social Engineering wordt gebruikt bij aanvallen op informatiesystemen omdat de mens in een proces vaak de zwakste schakel is.
Deze manier van veiligheid doorbreken kan via elk menselijk contact, zoals bellen of een fysiek gesprek. Indirect contact met technieken zoals phishing, scamming of social media worden ook ingezet. Net zoals andere kwetsbaarheden in informatiesystemen kan Social Engineering worden toegepast in combinatie met andere aanvalstechnieken.
Sogeti Security dienstverlening
Sogeti heeft een aanpak ontwikkeld om informatiebeveiliging in organisaties te meten, verbeteren en beheersbaar te maken. In plaats van te reageren op incidenten voorziet de ICT-dienstverlener in het pro-actief nemen van passende beveiligingsmaatregelen. Deze aanpak heet de Proactive Security Strategy (PaSS).
PaSS omvat beheer van zowel organisatorische als technische aspecten vanuit één aanpak. Daarmee is informatiebeveiliging niet langer de exclusieve verantwoordelijkheid van de specialist, maar wordt het onderdeel van de werkzaamheden van alle medewerkers.
Sogeti is actief bij veel grootzakelijke organisaties in ons land met een zeer uitgebreid aantal informatiebeveiligingsexperts. Deze deskundigen beschikken over de hoogst haalbare security certificaten van ons land.