Automated human vulnerabillity scanning with AVA

Hola a tod@s

En la pasada BlackHat del pasado mes de agosto, hubo una herramienta que me llamo poderosamente la atención por las siguientes cuestiones:

Se trata de una herramienta de código abierto.
Se trata una herramienta de ingeniería social, una de mis disciplinas favoritas.
Es posible medir el nivel de concienciación de la empresa y comprobar si ha surgido efecto las campañas de formación de seguridad asignada a sus empleados.

Esta gran herramienta ha sido ideada por Laura Bell, presidenta de la compañía SafeStack. AVA es un escáner de vulnerabilidad de nueva generación diseñado para realizar pruebas de seguridad a humanos o lo que es lo mismo ingeniería social. El sistema Ava les envía mensajes de phishing para comprobar si son capaces de identificarlos o si, por el contrario, son víctimas de ellos y por tanto pueden llegar a poner en peligro la información corporativa.

La herramienta también posibilita enviar mensajes a través de redes sociales. Entre los mensajes de phishing que remite, se encuentran las peticiones de contraseñas de un empleado a su superior, o las que solicitan compartir documentos en redes sociales.

Para cumplir con su función, Ava recoge datos de los sistemas informáticos corporativos, y con ellos revisa los permisos con los que cuentan los empleados, así como la frecuencia con la que se comunican entre ellos. También detecta relaciones entre las personas en redes sociales que puede resultar una información valiosa para el atacante.

Según explico Laura Bell, el objetivo de Ava es permitir a las organizaciones constatar periódicamente los patrones de conducta de sus empleados, así como las relaciones clave, medir el impacto de las pruebas, identificar patrones de comportamiento y conocer los efectos reales de ataques de seguridad contra su empresa. Comparar resultados entre departamentos y medir la efectividad de la capacitación y campañas de sensibilización.