Etel - L’utilizzo dell’aspetto ludico per aumentare la consapevolezza riguardo agli elementi di ingegneria sociale utilizzati negli attacchi informatici
Download as PPTX, PDF0 likes1,457 views
Fare prove di Social Engineering ha dei vincoli. Una buona idea è un gioco di ruolo. COME FUNZIONA UN GIOCO DI S.E.? I partecipanti vengono divisi in gruppi. Non ci sono particolari indicazioni sulle modalità di formazione dei gruppi, che possono essere eterogenei nella loro composizione. Ad ogni gruppo vengono forniti alcuni elementi utili (mappa dell'organizzazione, principi da sfruttare, modalità di attacco disponibili, profili delle potenziali vittime, tipologie degli asset da violare) che vengono utilizzati per costruire uno scenario di attacco che vada a sfruttare un comportamento umano individuato come possibile vulnerabilità.
More Related Content
More from Luca Moroni ✔✔ (20)
Etel - L’utilizzo dell’aspetto ludico per aumentare la consapevolezza riguardo agli elementi di ingegneria sociale utilizzati negli attacchi informatici
- 1. Social Engineering Difendersi giocando Massimo Giaimo Via Virtuosa Confindustria Udine – 20/2/2019
- 2. sysadmin, Ethical Hacker, founder @ SEC4U # whoami
- 3. 30 step per rendere sicura un’organizzazione Sulla cresta della sicurezza 30 step ricorsivi riproducibili, non per forza di cose in ordine complessità priorità 6 allegati “in sviluppo”
- 4. ETEL – Exploiting The Eight Layer
- 5. Perché un gioco sull’ingegneria sociale? ETEL – Exploiting The Eight Layer SE nell’80% degli attacchi (fonte: Rapporto Clusit) 75% delle organizzazioni sono vulnerabili (fonte: risultati Red Team SEC4U) Lezioni frontali alla lunga noiose e nozioni dimenticate I pentest possono essere molto invasivi Si apprende giocando, clima rilassato Spirito di gruppo, scambio di idee
- 6. Schemi psicologici di Cialdini ETEL – Un po’ di teoria... Reciprocità Coerenza Simpatia Autorità Scarsità Riprova sociale Aiuto disinteressato per ottenere in cambio qualcosa Indurre ad assumere una posizione e a farla rispettare Creare empatia con la vittima mediante condivisione Impersonare un ruolo autorevole Creare la sensazione di urgenza per aumentare desiderio Far apparire la cosa giusta perché “di massa”
- 7. Come si gioca ad ETEL? ETEL – Gli elementi Profili Attacker Principi Scenari Canali Asset 12 diversi ruoli di persone operanti nell’organizzazione L’attaccante interno o esterno all’organizzazione Gli elementi umani sfruttabili per elaborare l’attacco Le tipologie di attacco I metodi di comunicazione Le risorse da violare Mappa Contiene gli spazi fisici dell’organizzazione
- 8. ETEL – Le fasi del gioco Ogni giocatore (gruppo) pesca: 1 carta dal mazzo dei Principi 3 carte dal mazzo degli Scenari Fase 1 PESCA
- 9. ETEL – Le fasi del gioco Ogni giocatore diventa ingegnere sociale e pianifica l’attacco 15 minuti di tempo Ogni attacco deve integrare: Fase 2 PIANIFICAZIONE un principio uno scenario di attacco una tipologia di attacker uno o più profili uno o più canali di comunicazione uno o più asset
- 10. ETEL – Le fasi del gioco Durante la pianificazione dell’attacco sara possibile acquistare: per l’acquisto vengono utilizzati gli ETEL coin Informazioni aggiuntive sui profili Nuove carte Fase 3 MARKET attività OSINT di base (1EC) attività OSINT complessa (2EC) recupero credenziali da data breach (3EC) scenario corruzione ex dipendente (4EC) principio
- 11. ETEL – Le fasi del gioco Al termine dei 15 minuti, a turno, ogni giocatore presenta l’attacco: Il nostro gruppo, sfruttando il principio e lo scenario ha deciso di attaccare, nelle vesti di attaccante Inside/Outside, il profilo della vittima (ruolo) attraverso il canale di comunicazione, al fine di violare l’asset target. Fase 4 ATTACCO È importante, ai fini della valutazione, spiegare nel dettaglio la strategia di attacco elaborata (quali elementi del profilo sono stati sfruttati, in base a quali elementi è stato deciso di acquistare informazioni aggiuntive...)
- 12. ETEL – Le fasi del gioco Al termine di ogni presentazione di attacco avviene la valutazione Ogni gruppo può (è stimolato a) partecipare alla discussione Plausibilità dell’attacco I gruppi non attivi possono proporre migliorie Fase 5 BRAINSTORMING E VALUTAZIONE Punto di vista logico Fattibilità dell’attacco Punto di vista tecnico Il giocatore master, sulla base della discussione, valuta l’attacco
- 13. ETEL – Le fasi del gioco Viene assegnato un punteggio a questi elementi: Attacco → è plausibile? è fattibile? Attacker → interno o esterno? Fase 6 CALCOLO PUNTEGGIO Principio → è stato rispettato? Scenario → è stato rispettato? Miglioria → notevole, media, lieve
- 14. ETEL – Dal punto vista pratico...
- 15. È arrivato il momento di giocare a ETEL! sec4u@viavirtuosa.it