人員是整個網絡安全鏈上最薄弱的環節。公司員工每天都會面臨各種各樣的威脅,例如仿冒詐騙電郵、社交工程詐騙電話,同時企業往往亦不重視加強員工識別風險的能力。
無論企業採取何種技術和物理安全措施,基礎設施和網絡是否安全最終還是要取決於員工、承包商或供應商是否具備識別此類攻擊並且不落入陷阱的能力。
黑客知道這些可怕的事實,因此人員成為其首選目標。網絡罪犯使用複雜的社交工程技術說服並控制使用者,獲取接達內部網絡及敏感資訊的權限。
評估員工識別及抵禦社交工程攻擊的能力是組織安全計劃的重要一環。
我們的服務由具有豐富攻防經驗的高級安全專家和滲透測試工程師提供,他們將創建真實的仿冒詐騙情境。服務的目標不僅是對員工抵禦一般仿冒詐騙攻擊的能力進行評估,更重要的是對嚴重影響組織的目標和魚叉式仿冒詐騙攻擊進行評估。為此,威聯集團自主研發了一項社交工程評估輔助解決方案——Phishlynx。
在偵察和規劃階段需要開展下列工作:
這是評估過程的核心階段,包括有效開展前期確定並經過雙方一致同意的測試。
假如威聯集團發現存在較大的缺陷和嚴重弱點,會在第一時間通知客戶,以便客戶安全及時地啟動應急措施。
本階段我們將完成以下幾項工作:
報告中將對資訊安全的薄弱環節和重大風險——「人為因素」進行說明、評價及判定。
最終報告將載列所有評估結果,並參照ISO 27001國際資訊科技保安標準對優、缺點進行對比分析。我們將對已識別的薄弱環節進行評估,同時提出相應的建議和補救措施,並根據相關風險等級進行排序。向客戶匯報評估結果時,我們將對最終報告進行討論。報告包含對已開展的社會工程評估作出之全面、簡明的執行摘要。此外,報告將詳細闡述所有評估結果及相應證據,並基於該等結果提供未來安全措施建議。
威聯的安全顧問和滲透測試工程師均持有網絡安全和滲透測試行業最具含金量的資質證書,例如:GIAC GPEN、GWAPT、GCIH、GMOB、OSCP、CEH、CISSP、CISA等。