Social Engineering Assessment: Wat Testen Wij en Waarom Het Ertoe Doet

TL;DR

Technische controles stoppen geautomatiseerde aanvallen. Firewalls, endpointdetectie en e-mailfilters verwerken de overgrote meerderheid van wat dagelijks op uw perimeter terechtkomt. Social engineering omzeilt dat alles door uw mensen rechtstreeks aan te vallen. Een social engineering assessment test of uw medewerkers, uw processen en uw fysieke toegangscontroles standhouden wanneer een bekwame aanvaller druk uitoefent in een realistisch scenario. Deze gids legt uit wat we testen, hoe elke techniek werkt, hoe de output eruitziet en waarom dit type assessment opvangt wat geen enkele scanner ooit zal vinden.

Wat social engineering werkelijk is

Social engineering is het gebruik van psychologische manipulatie om mensen te misleiden zodat ze acties ondernemen die de beveiliging in gevaar brengen. Het vereist geen technische vaardigheid om te misbruiken. Het vereist begrip van menselijk gedrag, specifiek de reflexen die mensen behulpzaam, meegaand en vertrouwend maken onder druk.

Aanvallers misbruiken urgentie, autoriteit, vertrouwdheid en angst. Een bericht dat afkomstig lijkt van uw CEO en onmiddellijk actie vereist, zal veel eerder een reactie opleveren dan een generiek phishingsjabloon. Een beller die uw bedrijfsnaam kent, het nummerformaat van uw IT-helpdesk en de naam van een echte collega, is veel overtuigender dan iemand die dat niet doet.

Het aanvalsoppervlak voor social engineering is elke persoon in uw organisatie. Het is ook elk proces dat afhankelijk is van menselijk oordeel, en elk fysiek toegangspunt dat afhangt van iemand die de juiste beslissing neemt onder druk.

Wat wij testen in een social engineering assessment

Een social engineering assessment is geen enkele techniek. Het is een gecoördineerde reeks tests over meerdere aanvalsvectoren, afgestemd op het specifieke risicoprofiel van uw organisatie. De volgende zijn de kern-assessmenttypen.

Phishingsimulatie

Realistische phishingmails worden verzonden naar een gedefinieerde groep medewerkers. De scenario's zijn afgestemd op uw organisatie: ze verwijzen naar uw werkelijke systemen, leveranciers, processen en functierollen. We testen of medewerkers op links klikken, inloggegevens indienen, bijlagen openen of gehoor geven aan ingebedde instructies.

Wat we meten: klikpercentage, percentage ingediende inloggegevens, percentage geopende bijlagen en meldingspercentage. De combinatie van deze statistieken onthult of uw medewerkers verdachte communicatie kunnen identificeren, of ze weten hoe ze deze moeten melden, en welke afdelingen of functies het meest vatbaar zijn.

Vishing (voice phishing)

Onze ethische hackers bellen uw medewerkers terwijl ze een vertrouwde partij imiteren: IT-support dat verzoekt om dringende hulp bij het resetten van wachtwoorden, een bank die belt over een gemarkeerde transactie, een toezichthouder die informatie opvraagt, of een senior manager die om een dringende actie vraagt.

Wat we meten: of medewerkers inloggegevens of gevoelige informatie telefonisch onthullen, of ze voldoen aan verzoeken waarvoor verificatie vereist zou moeten zijn, of ze weten hoe ze verdachte oproepen kunnen betwisten en escaleren, en of helpdesk- en receptiemedewerkers verificatieprocedures consistent toepassen.

Vishing is vaak de meest onthullende test in een assessment. Mensen die nooit op een verdachte e-maillink zouden klikken, zullen bereidwillig hun gebruikersnaam, tokencode of recente aanmeldgeschiedenis bevestigen aan een beller die gezaghebbend klinkt en het juiste vocabulaire gebruikt.

Smishing (sms-phishing)

Smsberichten worden verzonden naar apparaten van medewerkers met scenario's die relevant zijn voor uw organisatie: pakket bezorgmeldingen, IT-systeemwaarschuwingen, dringende betalingsbevestigingen of pogingen om tweefactor authenticatie te omzeilen. Smishing maakt gebruik van de lagere kritische blik die de meeste mensen toepassen op berichten op hun persoonlijke apparaten.

Wat we meten: klikpercentages op sms-links, indienen van inloggegevens via via sms bezorgde landingspagina's, en responspercentages op sms-gebaseerde social engineering-pogingen.

Mystery guest (fysiek toegangstesten)

Een getrainde ethische hacker probeert fysieke toegang tot uw pand te krijgen door zich voor te doen als aannemer, bezorger, IT-leverancier of bezoeker. De test wordt uitgevoerd zonder voorafgaande kennisgeving aan receptie of beveiligingspersoneel.

Wat we testen: of receptionisten en beveiligingspersoneel identiteit en autorisatie verifiëren voordat ze toegang verlenen, of tailgating door beveiligde deuren mogelijk is, of onbeheerde werkstations of documenten toegankelijk zijn, of medewerkers onbekende personen in beperkte gebieden aanspreken of negeren, en of fysieke beveiligingsprocedures vastgelegd in beleid daadwerkelijk worden gevolgd in de praktijk.

De kloof tussen schriftelijk fysiek beveiligingsbeleid en wat daadwerkelijk gebeurt aan de receptie is consequent een van de meest significante bevindingen in onze assessments. Toegang wordt vaak verleend aan geloofwaardig ogende bezoekers zonder enige verificatie van identiteit of autorisatie.

Pretexting en imitatie

Complexere scenario's die meerdere technieken combineren: een gesimuleerde leveranciersaudit waarbij medewerkers systeemtoegang moeten delen, een nep-fusiebericht bedoeld om financiële autorisatie te onttrekken, of een meerstaps-campagne die begint met een e-mail, doorgaat met een telefoongesprek en eindigt met een fysiek bezoek.

Deze scenario's testen de veerkracht van uw organisatie tegen het soort gecoördineerde social engineering dat de meest schadelijke inbreuken voorafgaat. Ze worden vooraf besproken en goedgekeurd, met duidelijke grenzen die worden afgesproken voordat enige activiteit begint.

Waar aanvallers werkelijk op uit zijn

Begrijpen wat aanvallers targeten helpt u begrijpen waarom testen belangrijk is. De doelstellingen van social engineering-aanvallen zijn bijna altijd één van vier dingen.

Inloggegevens. Gebruikersnamen, wachtwoorden, MFA-tokens en sessiecookies. Één set inloggegevens voor een geprivilegieerd account kan een aanvaller toegang geven tot uw volledige omgeving.

Financiële autorisatie. Business e-mail compromis en CEO-fraude richten zich op financeteams en executive assistenten om betalingen om te leiden, frauduleuze facturen goed te keuren of overboekingen te autoriseren. Deze aanvallen kosten EU-organisaties jaarlijks miljarden.

Fysieke toegang. Toegang tot panden maakt het plaatsen van apparaten, gegevensdiefstal en netwerkinfiltratie mogelijk die alle perimetercontroles omzeilt. Een aanvaller met een USB-apparaat en vijf minuten bij een onbeheerd werkstation kan een persistente achterdeur vestigen.

Informatieverstrekking. Organisatiestructuur, systeemnamen, leveranciersrelaties en medewerker gegevens die meer gerichte vervolgaanvallen ondersteunen. Informatie die vrijelijk wordt gedeeld in een vriendelijk gesprek kan de basis worden van een zeer overtuigende spear-phishing campagne.

Hoe de output van een assessment eruitziet

Een social engineering assessment is geen reeks statistieken. Het is een gedocumenteerd verslag van wat er is gebeurd, wat het betekent en wat er moet veranderen.

Voor elk getest scenario documenteert het rapport: de gebruikte aanvalsvector, het pretext en scenario, de aangesproken medewerker of afdeling, wat er is gebeurd, wat de aanvaller had kunnen bereiken met die uitkomst in een echte aanval, welke controle heeft gefaald of ontbrak, en de aanbevolen herstelactie.

Het rapport onderscheidt fouten in schriftelijk beleid, fouten in medewerker gedrag en fouten in technische controles. Deze vereisen verschillende herstelreacties. Een beleid dat bestaat maar niet wordt gevolgd, is een trainingsprobleem. Een beleid dat niet bestaat, is een governance-probleem. Een technische controle die de uitkomst had kunnen voorkomen maar niet aanwezig was, is een probleem met de beveiligingsarchitectuur.

De output wordt altijd gepresenteerd in een debriefingsessie met uw beveiligingsteam. Bevindingen worden in context besproken, herstel wordt geprioriteerd op risico, en het technische bewijs dat tijdens de assessment is verzameld, wordt samen beoordeeld.

Wat een social engineering assessment niet doet

Het is de moeite waard om duidelijk te zijn over scope. Een social engineering assessment is niet ontworpen om individuele medewerkers te vernederen. Resultaten worden gerapporteerd op organisatie- en afdelingsniveau, niet als een lijst met namen van mensen die hebben gefaald. Het doel is systemische zwakheden in processen en cultuur te identificeren, niet individuen de schuld te geven van menselijk zijn.

Een social engineering assessment is ook geen vervanging voor security awareness training. De assessment identificeert de gaten. Training en proceswijzigingen sluiten ze. De twee werken het beste wanneer ze samen worden gepland: eerst beoordelen om de uitgangswaarde vast te stellen, trainen op basis van wat u vindt, dan opnieuw beoordelen om verbetering te meten.

Compliance relevantie: NIS2 en ISO 27001

NIS2 Artikel 21 vereist dat essentiële en belangrijke entiteiten maatregelen implementeren die betrekking hebben op human resources security, toegangscontrole en incidentafhandeling. Een gedocumenteerde social engineering assessment biedt direct bewijs van compliance met de menselijke factor elementen van Artikel 21.

ISO 27001:2022 Bijlage A-maatregelen 6.3 (beveiligingsbewustzijn), 7.2 (fysieke toegangscontroles) en 8.16 (monitoringactiviteiten) hebben allemaal direct betrekking op wat een social engineering assessment test. Certificeringsauditors verwachten steeds vaker bewijs van testen van menselijke factoren, niet alleen technische controles.

FAQ

Wat is een social engineering assessment?

Een social engineering assessment is een gecontroleerde test waarbij gecertificeerde ethische hackers proberen uw medewerkers te manipuleren met dezelfde psychologische technieken die echte aanvallers gebruiken. Dit omvat phishing mails, vishing oproepen, smishing smsberichten, fysieke toegangspogingen en imitatie. Het doel is zwakheden in uw menselijke verdediging te identificeren voordat een echte aanvaller dat doet.

Wat is het verschil tussen een phishingsimulatie en een volledige social engineering assessment?

Een phishing simulatie test één specifiek kanaal, doorgaans e-mail, om klikpercentages en het indienen van inloggegevens in uw organisatie te meten. Een volledige social engineering assessment is breder en realistischer. Het combineert meerdere aanvalsvectoren, e-mail, telefoon, sms en fysiek, in gecoördineerde scenario's die weerspiegelen hoe geavanceerde aanvallers werkelijk opereren. Een phishing simulatie vertelt u klikpercentages. Een social engineering assessment vertelt u wat een aanvaller werkelijk had kunnen bereiken.

Wat is een mystery guest test?

Een mystery guest test is een fysieke social engineering assessment waarbij een getrainde ethische hacker probeert ongeautoriseerde fysieke toegang tot uw pand te krijgen door zich voor te doen als aannemer, leverancier, bezorger of bezoeker. De test meet hoe effectief uw receptie, beveiligingspersoneel en algemeen personeel toegangscontroles handhaven wanneer ze worden geconfronteerd met een overtuigende maar ongeautoriseerde persoon.

Wat houdt een vishingtest in?

Een vishingtest houdt in dat ethische hackers uw medewerkers bellen terwijl ze een vertrouwde autoriteit imiteren, zoals IT-support, een bank, een toezichthouder of een senior manager. De test meet of medewerkers kunnen worden gemanipuleerd om inloggegevens te onthullen, gevoelige informatie te bevestigen, acties te autoriseren of beveiligingsprocedures te omzeilen. Scripts zijn afgestemd op uw sector en de specifieke scenario's die het meest relevant zijn voor uw organisatie.

Hoe is de output van een social engineering assessment gestructureerd?

Een social engineering assessment produceert een gestructureerd rapport dat elk getest scenario, de gebruikte techniek, de uitkomst en het verzamelde bewijs documenteert. Voor elke bevinding bevat het rapport een beschrijving van wat er is gebeurd, waarom het een risico vormt, welke controle heeft gefaald en welke herstelactie wordt aanbevolen. Het rapport onderscheidt technische controlefouten van menselijk gedragsfouten, en biedt een algehele risicobeoordeling met geprioritiseerde aanbevelingen.

Hoe vaak moet een social engineering assessment worden uitgevoerd?

De meeste organisaties profiteren van een volledige social engineering assessment minimaal één keer per jaar, gecombineerd met doorlopende phishing simulaties tussen de cycli. Hoog-risico omgevingen, organisaties die een social engineering incident hebben meegemaakt, en organisaties die significante personeelswijzigingen ondergaan, moeten vaker assessments overwegen. NIS2 en ISO 27001 ondersteunen beiden regelmatig testen van menselijke factoren als onderdeel van een volwassen risicobeheerprogram.

Gerelateerde diensten en bronnen

Sectricity voert social engineering assessments uit in België, Nederland en het Verenigd Koninkrijk. Ons assessmentportfolio omvat phishingsimulaties, vishingtests, smishingcampagnes en mystery guest fysieke toegangstesting. Voor organisaties die veerkracht willen opbouwen na een assessment, bieden we security awareness training en ons multi-channel Swishing-programma. Weet u niet waar u moet beginnen? Start met een gratis security scan.