Hola a tod@s
En la pasada BlackHat del pasado mes de agosto, hubo una
herramienta que me llamo poderosamente la atención por las siguientes cuestiones:
- Se trata de una herramienta de código abierto.
- Se trata una herramienta de ingeniería social, una de mis disciplinas favoritas.
- Es posible medir el nivel de concienciación de la empresa y comprobar si ha surgido efecto las campañas de formación de seguridad asignada a sus empleados.
Esta gran herramienta ha sido ideada por Laura Bell, presidenta
de la compañía SafeStack. AVA es un escáner de vulnerabilidad de nueva generación
diseñado para realizar pruebas de seguridad a humanos o lo que es lo mismo
ingeniería social. El sistema Ava les envía mensajes de phishing para
comprobar si son capaces de identificarlos o si, por el contrario, son víctimas
de ellos y por tanto pueden llegar a poner en peligro la información
corporativa.
La herramienta también posibilita enviar mensajes a través de redes sociales. Entre los mensajes de phishing que remite, se encuentran las peticiones de contraseñas de un empleado a su superior, o las que solicitan compartir documentos en redes sociales.
Para cumplir con su función, Ava recoge datos de los sistemas informáticos
corporativos, y con ellos revisa los permisos con los que
cuentan los empleados, así como la frecuencia con la que se
comunican entre ellos. También detecta relaciones entre las personas en redes
sociales que puede resultar una información valiosa para el atacante.
Según explico Laura Bell, el objetivo de Ava es permitir a las
organizaciones constatar periódicamente los patrones de conducta
de sus empleados, así como las relaciones clave, medir el impacto de las
pruebas, identificar patrones de comportamiento y conocer los efectos reales de
ataques de seguridad contra su empresa. Comparar resultados entre departamentos
y medir la efectividad de la capacitación y campañas de sensibilización.
Fuentes:
https://www.blackhat.com/docs/us-15/materials/us-15-Bell-Automated-Human-Vulnerability-Scanning-With-AVA.pdf
No seáis malos.