Tweet
Share
Share
Pin
0 Shares

Testele de penetrare securitate  fizica

Testele de penetrare securitate fizica unealta esentiala in strategia de securitate

Testele de penetrare sunt o parte importantă a oricărei strategii  de securitate. De obicei aceste teste nu sunt deloc utilizate de companii si de multe ori doar cele de cyber security sunt utilizate. De multe ori testele de penetrare securitate fizica sunt prinse in testele de cyber, pentru ca de cele mai multe ori poti afla informatii prin care poti trece de liniile de securitate ale unei organizatii doar in teren.

Ce este un test de penetrare securitate fizica

Testarea  de penetrare securitate  este un tip de evaluare a securitatii care simulează un atac  real asupra unei locații fizice și permite o oportunitate de învățare cu risc scăzut. Testarea de penetrare fizică identifică vulnerabilitățile și punctele slabe ale securității fizice a clădirilor de birouri, campusurilor, fabricilor sau centrelor de date care ar putea fi exploatate de un atacator pentru a obține acces neautorizat sau a perturba operațiunile organizației. Rezultatele pot fi neprețuite și sunt menite să stimuleze conștientizarea securității și să ofere feedback independent. Testele sunt o metoda simpla de evaluare a procedurilor, masurilor de securitate si prin care o companie isi imbunatateste continuu strategia si masurile de securitate.

In general doar companiile mari utilizeaza aceasta metoda de evaluare a masurilor de securitate, ca parte a masurilor globale impuse, si ca masuri suplimentare in planul de audit general.

Cine efectuează testele de penetrare?

Este important de subliniat ca toate testele se efectueaza  cu permisiunea organizatiei, iar testele sunt efectuate de specialisti in securitate fizica, auditori pregatiti pentru astfel de teste. Deasemenea testele functie de scenariul stabilit si validat cu organizatia testata urmeaza anumite scenarii validate, insa sunt bazate pe clamul, inteligenta, calitatile de inginerie sociala si exploatare situatii din teren. Scenariul aplicat de echipa din teren este unul studiat inainte si de fiecare data echipa din teren se asigura ca in cazul in care sunt descoperiti sa detina la ei documentul ce le asigura „iesirea din inchisoare” si telefonul persoanei de contact pentru a  nu escalada situatia.

Testele sunt efectuate in echipa, un observator si un executat, iar in toate etapele de desfasurare a procesului de evaluare pot fi implicati mai multi specialisti

Cum masori reusita in cazul unui test de penetrare securitate fizica

Specialisti care reusesc sa treaca de diferite linii de securitate, incerca să viziteze cât mai multe zone posibil, inclusiv zone sensibile, înainte de a fi reperati sau reținuți de personalul sau de securitate la fața locului. Atentie reusita de penetrare nu inseamna neaparat masuri de securitate deficitare, este posibil ca specialistii sa fi folosit o situatie in avantajul lor, situatie care se poate repeta sau nu. La fel cum nereusita nu este considerata un esec. In ambele cazuri specialistii de vor executa scenariul de penetrare vor face insemnari si acestea vor fi comunicate clientului in raportul de testare. Reusita de multe ori depinde de cat de bine pregatit este scenariul si cat de bine au fost pregatite etapele testului.

Etapele testului de penetrare securitate fizica

Etapele unui test de penetrare securitate  fizica:

  • Contractarea
  • Pregatirea
  • Executia
  • Raport si masuri

Contractarea

Discutii preliminare si contractare

In aceasta faza sunt discutii cu organizatia pentru ca ambele echipe sa inteleaga perfect ce este un test si ce beneficii poate aduce, dar si care sunt obiectivele organizatiei.   Aceasta include înțelegerea rezultatelor dorite din test, obiectivele pe care doresc să le atingă și orice amenințări sau scenarii specifice care îi preocupă.

Socpul  testarii

Definirea exacta as copului evaluarii intre  firma de testare și organizația angajatoare despre natura detaliată a testului. Domeniul de aplicare definește limitele, obiectivele și constrângerile activităților de testare. Aceasta include identificarea tipurilor de teste și a locațiilor, împreună cu orice metodologii sau scenarii specifice de testare care trebuie urmate.

Prin stabilirea domeniului de aplicare, organizația ar trebui să dezvolte o idee clară despre ceea ce caută din procesul de testare și, în cele din urmă, cât de mult îi va costa. Între timp, firma de testare încearcă să înțeleagă nevoile organizației, cele mai bune modalități de a răspunde acestor nevoi, cât timp va dura procesul și ce nivel de resurse va fi necesar.

Buget

Costul unei evaluări/testare a securității fizice poate varia semnificativ, influențat de mai mulți factori si de complexitatea angajamentului.

Un factor cheie pentru stabilirea prețurilor este tipul de test efectuat. Diferitele tipuri de teste, cum ar fi evaluările cuprinzătoare ale instalațiilor, evaluările specifice ale vulnerabilității sau evaluările componentelor specifice, pot implica niveluri diferite de efort, resurse și expertiză, având astfel un impact asupra costului total. Complexitatea și dimensiunea fiecărei locații influențează și mai mult efortul implicat, contribuind la costul total.

Reguli si autorizari

Regulile  servesc drept cadru orientativ care prezintă regulile, limitările și așteptările pentru procesul de testare. Acesta stabilește parametrii și normele de conduită convenite între echipa de testare și organizația clientului.

Regulile stabilite asigura ca testarea este efectuată într-o manieră controlată și etică, minimizând potențialele întreruperi ale operațiunilor normale și prevenind orice acces neautorizat la zone sau active sensibile. Acesta definește obiectivele testului, tehnicile și instrumentele permise și orice zone sau active în afara limitelor care nu ar trebui compromise în timpul evaluării.

Ele ajută la prevenirea neînțelegerilor, la atenuarea riscurilor juridice și etice și la promovarea unei abordări bazate pe colaborare pentru obținerea rezultatelor dorite. Organizația dorește ca testerii să încerce pur și simplu să treacă de recepție și apoi să se oprească sau să continue până la camera serverului? Organizația dorește ca testerii să încerce să obțină acces „neautorizat” la rețea?

Autorizarea unui test fizic de penetrare este un aspect critic al procesului de testare, asigurându-se că testul este efectuat legal, etic și cu consimțământul explicit al organizației client. Documente de autorizare care consimt, ceea ce testerii au nevoie pentru a accesa sediile, facilitățile și activele organizației în scopul efectuării testului fizic de penetrare. Aceasta poate include obținerea accesului în zonele restricționate, testarea sistemelor de securitate și interacțiunea cu angajații sau personalul în timpul evaluării.

Regulile si autorizarile sunt consemnate in  un acord sau un contract scris, care subliniază scopul testarii, obiectivele și regulile pentru test.

Faza de contractare în ansamblu este crucială pentru înțelegerea nevoilor și obiectivelor organizației, ceea ce pune bazele unui test de penetrare reușit.  Împreună, aceste elemente contribuie la o evaluare a securității fizice bine planificată și executată, promovând atenuarea eficace a riscurilor și protecția activelor critice

Evaluare de risc by verifiES

Pregatirea testului de penetrare securitate fizica

Colectarea informațiilor 

Informatiile pot fi colectate prin surse deschise si suprevegherea locatiei.

Informațiile din surse deschise (OSINT) joacă un rol crucial în testarea penetrării fizice, deoarece permit colectarea, analiza și interpretarea informațiilor disponibile publicului. Prin utilizarea unor surse precum Google Maps, testerii pot utiliza OSINT pentru a identifica facilitățile din apropiere, cum ar fi întreprinderile și parcările, care pot servi drept potențiale puncte de supraveghere sau puncte de acces pentru facilitățile clienților.

Testerele fizice de penetrare pot descoperi, de asemenea, videoclipuri și imagini online care dezvăluie informații despre măsurile de securitate în vigoare. De exemplu, căutarea fotografiilor ecusoanelor angajaților de la evenimentele companiei pe rețelele sociale sau pe site-ul companiei poate expune designul și caracteristicile ecusoanelor, facilitând potențial accesul neautorizat.

Distincția cheie dintre testarea de cyber security și testarea fizică de penetrare este că prima este efectuată de la distanță folosind un computer, în timp ce a doua implică testarea la fața locului în prezența altora. Supravegherea reprezintă componenta de colectare a informațiilor la sol pentru testarea fizică a stiloului. Testerii nu numai că validează și verifică informațiile descoperite  ci și caută în mod activ vulnerabilități suplimentare și metode de intrare prin observare discretă.

Distincția cheie dintre testarea penetrării rețelei și testarea fizică de penetrare este că prima este efectuată de la distanță folosind un computer, în timp ce a doua implică testarea la fața locului în prezența altora.

În timpul supravegherii, specialistii aduna discret informații despre locația țintă, oamenii din jurul acesteia și orice activități în curs de desfășurare. Supravegherea necesită răbdare și ar trebui să se concentreze pe ingerarea cât mai multor informații posibil pentru a permite evaluatorilor să conceapă mai multe metode pentru a sparge clădirea țintă. Acest lucru necesită observarea și documentarea rutinelor, comportamentelor și activităților indivizilor și grupurilor la fața locului. Prin înțelegerea modelelor și obiceiurilor obișnuite ale angajaților, curățătorilor, personalului de securitate și furnizorilor, testerul poate descoperi potențialele vulnerabilități și le poate exploata în mod eficient.

Este important de menționat că acțiunile întreprinse în timpul OSINT și al supravegherii sunt complet pasive. Nu ar fi considerat ilegal dacă o persoană aleatorie ar colecta acest tip de informații.

Execuția

După finalizarea tuturor pregătirilor necesare, planul este pus în aplicare și specialistii încearcă să obțină acces neautorizat. În această fază,  se folosesc diverse tehnici pentru a executa penetrarea obiectivului. Tehnicile variază de la alegerea lacătelor la spargerea ușilor până la atacurile de inginerie socială – totul depinde de măsurile de securitate testate. Cela mai utilizate metode sunt Ingineria sociala si baypasare fizica/tehnica

Inginerie socială

Ingineria socială este practica de manipulare a oamenilor pentru a divulga informații sensibile sau pentru a efectua o acțiune care permite unui atacator accesul într-o zonă sigură. Acest lucru poate fi realizat prin diverse tactici:

  • Uzurparea identității– folosirea unei alte indetitati false, livrator, echipa tehnica, mentenata, audit etc;
  • Tailgating – Aceasta implică urmărirea unei persoane autorizate într-o zonă sigură, fără a prezenta acreditări sau a obține autorizația corespunzătoare;
  • Phishing –  trimite e-mailuri de phishing sau poate efectua apeluri telefonice de phishing către angajați, pretinzând că este altcineva și solicitând informații  sensibile.

Atacurile de inginerie socială pot lua multe forme și pot fi dificil de apărat, deoarece exploatează slăbiciunile umane, mai degrabă decât vulnerabilitățile tehnice.

Bypass fizic/tehnic

Implică utilizarea de instrumente și tehnici care pot ocoli măsurile de securitate fizică sau tehnică. Acest aspect al testării își propune să descopere vulnerabilitățile din încuietori, sisteme de control al accesului și alte mecanisme de securitate care ar putea fi exploatate de adversari.

Ei pot exploata, de asemenea, punctele slabe ale codurilor/parolelor uzuale ale sistemelor de securitate.

Raportare

La finalizarea testării, firma de testare va compila un raport cuprinzător care include toate constatările, vulnerabilitățile descoperite și exploatate și o narațiune a ceea ce testerii au reușit să facă în timpul testului și cum au făcut-o. Raportul poate include, de asemenea, un rezumat executiv și un rezumat tehnic defalcat pe funcții, astfel încât departamentele corespunzătoare din cadrul organizației să poată lua mai ușor măsuri pentru remedierea vulnerabilităților.

Raportul

Odată ce execuția s-a încheiat, evaluatorii vor întocmi un raport care detaliază domeniul de aplicare al testului, pașii pe care i-au făcut și, cel mai important, orice vulnerabilități pe care le-au descoperit și exploatat cu succes.

Testarea penetrării securității fizice descoperă vulnerabilități precum uși descuiate, dulapuri de depozitare deschise și verificări neprocedurale ale identității, servind ca un instrument esențial pentru evaluarea securității generale și a conformității angajaților și înțelegerea protocoalelor de securitate.

Pe baza acestui raport compania poate incepe remedierea oricaror vulnerabilități dezvăluite de test. Scopul testului este de a afla despre punctele slabe, astfel încât compania să-și poată consolida securitatea fizică, ceea ce face mai dificilă intrarea intrușilor în viitor.

Organizațiile ar trebui să retesteze orice îmbunătățiri de securitate pe care le-au făcut, astfel încât să se asigure că aceste măsuri funcționează efectiv pentru a proteja spațiile. În cazul în care compania și-a revizuit substanțial sistemele de securitate fizică, ar putea avea sens să se efectueze un nou test  de la zero.

Ce poti invata si aplica rapid astfel incat sa iti protejezi mai bine organizatia:

Acces cu escortă: Dacă vizitatorii sosesc la locatia dvs., sunt escortați la destinație? Escortarea vigilentă a vizitatorilor – indiferent cine sunt – reduce foarte mult oportunitățile de acces neautorizat.

Controale anti-tailgaiting: Este mai ușor decât ați putea crede pentru un actor rău intenționat să intre pur și simplu în clădirea dvs. – adică să meargă în spatele unui angajat autorizat pentru a trece prin ușile altfel încuiate. Preveniți intrarea neautorizată prin consolidarea măsurilor de securitate cu personal de securitate la intrare, ecusoane de identificare sau check-in-uri obligatorii pentru orice persoane necunoscute.

Uzurparea identității angajaților: Oricine poate uzurpa identitatea unui angajat valorificând cunoștințele dobândite prin intermediul resurselor destinate publicului, cum ar fi rețelele sociale sau site-ul web al companiei dvs. Instruiți angajații să fie atenți la apelurile telefonice sau e-mailurile de la persoanele care fac cereri sau caută aprobări pentru orice pare neobișnuit. Phishingul și vishing-ul sunt foarte frecvente și, chiar dacă pot părea sau pot părea legitime, cereți angajaților să sune persoana înapoi pentru a verifica cine spun că sunt sau să implementeze un apel de recunoaștere video înapoi.

Verificarea identității vizitatorilor: Verificările de identitate sunt esențiale pentru a preveni ccesul neautorizat în toate facilitățile  dvs. cardurile de acces false pot fi create și utilizate cu ușurință fără a declanșa alarma, cu excepția cazului în care aveți verificări pentru a vă asigura că toți cei care sosesc cu un card de acces sunt angajați reali și acel card le apartine.

Si cea mai puternică securitate fizică ar trebui testată

Securitate in Romania

Blogul nr 1 din industria de Securitate - Fii primul care afla noutati si informatii din industria de Securitate

Tweet
Share
Share
Pin
0 Shares