Oavsett hur bra serverhärdning, avancerade brandväggar och AI-detektionsprogram som implementerats i verksamheten, är det fortfarande game over om en hotaktör kan ta sig in i serverrummet.
Fysiska penetrationstester är en form av säkerhetstestning där man undersöker hur sårbar en anläggning är för obehörigt intrång. Till skillnad från digitala penetrationstester som fokuserar på nätverk och system, handlar fysiska penetrationstester om att ta sig förbi säkerhetsåtgärder såsom lås, övervakningssystem och såklart även anställda. Alla som arbetar på en anläggning är en viktig del av säkerhetsskyddet och har i uppgift att observera, rapportera och vid behov konfrontera okända besökare.
När det gäller just fysiska penetrationstester är målet att identifiera säkerhetsbrister som en hotaktör skulle kunna utnyttja för att få åtkomst till känsliga områden eller information. Tekniker som tailgating eller piggybacking, där en obehörig följer efter en behörig person genom en säkerhetsbarriär utan att behöva autentisera sig, är vanliga inom denna form av testning. Detta är en av de mest subtila och samtidigt effektivaste metoderna för att kringgå fysisk säkerhet, eftersom mänskliga brister och implicit samtycke missbrukas.
Den mänskliga faktorn är största risken
Vi har genomfört flera fysiska penetrationstester där vi har använt tekniker som piggybacking, och resultatet för verksamheten hade varit förödande om det inte varit en simulerad attack. Genom dessa tester har vi kunnat påvisa hur lätt det kan vara att ta sig förbi säkerhetsbarriärer och komma åt känsliga områden eller information.
Många företag och organisationer förlitar sig på sina fysiska säkerhetssystem, men våra tester visar att den mänskliga faktorn är en av de största riskerna, antingen genom attackvektorer så som phishing via mail, eller som i detta fall där anställda blir lurade på arbetsplatsen. Social ingenjörskonst kan dessutom användas för att göra denna attack mer effektiv, genom att till exempel klä sig som anställda brukar klä sig, klona passerkort och förbereda en fiktiv bakgrund som man kan citera felfritt vid en konfrontation.
När en behörig släpper in en obehörig
Under förberedelserna till ett test hos en kund identifierade vi att det fanns en Convini-kiosk på plats och skapade därför även en utklädnad som leveransbud för påfyllning av kiosken som en reservplan, ifall andra tillvägagångssätt inte hade fungerat.
Convinis egna bild på sin personal till vänster, och testarens utklädnad till höger
Vi tog oss enklast in genom att vänta utanför en entrédörr och diskret följa med bakom när en anställd gick till sitt jobb på morgonen. Detta test genomfördes framgångsrikt vid flera tillfällen, vilket visade på systematiska brister i säkerhetsmedvetenheten hos olika medarbetare. Dessutom passerades säkerhetsvakter vid flertalet tillfällen utan konfrontation. Det var tydligt att det var enklast att genomföra denna typ av attack vid tillfällen när många medarbetare anländer och det är mycket aktivitet kring entréer, så som tidig morgon och eftermiddag samt även kring lunchtid. Vi hade dessutom studerat klädkoder och klonat passerkort under förberedelserna, vilket gjorde att vi smälte in i normalbilden. Vi behövde varken hacka några it-system eller fysiskt bryta upp några lås för att få direkt tillgång till de interna nätverken.
Kan du lita på dina säkerhetsrutiner?
Basalt genomför regelbundet skräddarsydda fysiska penetrationstester för att validera befintliga skyddsåtgärder och säkerställa att de håller mot verkliga hot. Genom att simulera intrång med tekniker såsom piggybacking (se ovan), kan vi identifiera exakt var verksamhetens säkerhetsprocesser brister och hjälpa våra kunder att förbättra dem. Genom våra fysiska penetrationstester skapar vi ovärderliga insikter i hur väl kundens skyddsåtgärder fungerar i praktiken, vilket minskar risken för allvarliga säkerhetsincidenter. Vi rekommenderar att regelbundet validera skyddsåtgärderna så att de är lika starka i verkligheten som på pappret.
Vill du ha mer information om hur Basalt kan säkerställa att din organisation får en ökad säkerhetsmedvetenhet är du varmt välkommen att kontakta oss
Skribent
- Christian Wallin, It-säkerhetskonsult