paint-brush
Ֆիզիկական ներթափանցման փորձարկման գաղտնիքների ներսումկողմից@zacamos
7,753 ընթերցումներ
7,753 ընթերցումներ

Ֆիզիկական ներթափանցման փորձարկման գաղտնիքների ներսում

կողմից Zac Amos5m2024/09/07
Read on Terminal Reader

Չափազանց երկար; Կարդալ

Ֆիզիկական ներթափանցման փորձարկումը նպատակ ունի նյութական հասանելիություն ձեռք բերել ընկերության տեղեկատվության կամ համակարգերի նկատմամբ: Մեթոդներն ու ռազմավարությունները ներառում են սոցիալական ճարտարագիտություն, կողպեքի շրջանցում, RFID կլոնավորում, ուսերի սերֆինգ, աղբարկղերի սուզում և այլն:
featured image - Ֆիզիկական ներթափանցման փորձարկման գաղտնիքների ներսում
Zac Amos HackerNoon profile picture
0-item

Ներթափանցման թեստը կամ «գրիչի թեստը», կարճ ասած, առանցքային է շատ կազմակերպությունների կիբերանվտանգության գործառնությունների համար: Չնայած պրակտիկան ձեռք է բերել ժողովրդականություն, այն հաճախ թերի է: Թվային մեթոդները սովորաբար ուշադրության կենտրոնում են, բայց ֆիզիկական ներթափանցման փորձարկումը կարող է նույնքան կարևոր լինել և ավելի հաճախ անտեսվել:

Ի՞նչ է ֆիզիկական ներթափանցման փորձարկումը:

Բոլոր ներթափանցման փորձարկումները նպատակ ունի գտնել անվտանգության խոցելիությունը հաքերային փորձի նմանակմամբ: Ֆիզիկական գրիչի թեստավորումը տարբերվում է սովորական մոտեցումներից նրանով, որ այն նման է անձնական հարձակումների: Ցանցը հեռակա թալանելու փոխարեն գրիչի փորձարկիչը կփորձի նյութական հասանելիություն ձեռք բերել ընկերության տեղեկատվության կամ համակարգերի համար:


Կիբերանվտանգությունը հիմնականում թվային ոլորտ է, սակայն ֆիզիկական ռիսկերը դեռ կարող են ազդել դրա վրա: Հանցագործը կարող է գողանալ զգայուն տվյալներ՝ դրանք փոստում գտնելով կամ չարամիտ ծրագրեր մատակարարել բաց համակարգչի ֆլեշ կրիչի միջոցով, երբ ոչ ոք չի փնտրում: Թեև նման հարձակումները հաճախ հեշտ է բաց թողնել, դրանք ազդել են 2023 թվականին ավելի քան 127,000 զոհ միայնակ.

Ֆիզիկական ներթափանցման փորձարկման մեթոդներ և ռազմավարություններ

Ինչպես սովորական հաքերային սիմուլյացիաները, ֆիզիկական ներթափանցման թեստավորումը կարող է կիրառել մի քանի ռազմավարություններ՝ ընդգծելու ընդհանուր խոցելիությունը: Ահա այս մեթոդներից ամենատարածված հինգը:

Սոցիալական ճարտարագիտություն

Սոցիալական ճարտարագիտությունն է տվյալների խախտման հարձակման ամենատարածված վեկտորը , և չնայած այն հաճախ ունենում է թվային ձևեր, ինչպես ֆիշինգը, այն կարող է նաև հիմնվել ֆիզիկական միջոցների վրա: Գրիչի փորձարկողները կարող են անձնավորել տեխնիկական սպասարկման անձնակազմին, ՏՏ մասնագետներին կամ այլ բաժինների աշխատակիցներին՝ աշխատողների վստահությունը շահելու համար: Այնուհետև նրանք կարող են մտնել շենք կամ սենյակ՝ առանց որևէ կասկած հարուցելու:


Պոչամբարը ֆիզիկական սոցիալական ինժեներական ռազմավարության ընդհանուր ձև է: Այստեղ հարձակվողները հետևում են որևէ մեկին, ով լիազորված մուտք ունի՝ առանց իրենց թույլտվության ինչ-որ տեղ հասնելու համար: Նրանք կարող են դա անել՝ խնդրելով աշխատակիցներին բռնել դուռը, քանի դեռ ձեռքերը լի են փաստաթղթերով կամ սուրճի բաժակներով, ինչը կարելի է սպասել գրասենյակում:

Կողպեք շրջանցում

Երբեմն գրիչի փորձարկողները չեն կարողանում լիազորված աշխատողին տանել տարածք: Բարձր անվտանգության սենյակները, օրինակ՝ տվյալների կենտրոնները, սովորաբար ավելի խիստ քաղաքականություն ունեն այն մասին, թե ովքեր կարող են մուտք գործել և ինչպես են մարդիկ մտնում: Նման դեպքերում հարձակվողը կարող է շրջանցել կողպեքը՝ ներս մտնելու համար:


Lockpicking-ը ամենահայտնի օրինակն է, բայց միակ տարբերակը չէ: Ընդհանուր այլընտրանքներից մեկը շարժման սենսորների գործարկումն է, որոնք բացում են ելքերը ներսից: Դրանցից շատերն օգտագործում են ինֆրակարմիր սենսորներ տեխնիկապես հայտնաբերել ջերմաստիճանի փոփոխությունները , ոչ թե խիստ շարժում, այնպես որ հանցագործները կարող են սեղմված օդը ցողել դռան տակ՝ դրանք ակտիվացնելու և ելքը բացելու համար:

RFID կլոնավորում

Ռադիոհաճախականության ID-ն (RFID) այսօր ֆիզիկական անվտանգության համակարգերում մեկ այլ տարածված տեխնոլոգիա է: Շատ կողպեքներ հիմնված են յուրաքանչյուր աշխատակցին հատկացված RFID պիտակների վրա, ուստի միայն կրծքանշան կրող աշխատողները կարող են բացել որոշ դռներ: Թեև նման համակարգերը սովորաբար ավելի ապահով են, քան սովորական կողպեքները, գրիչի փորձարկողները երբեմն կարող են շրջանցել դրանք RFID կլոնավորման միջոցով:


RFID կլոնատորները սարքեր են, որոնք վերլուծում են մոտակայքում գտնվող RFID ազդանշանները և այնուհետև կրկնօրինակում են նույն հաճախականությունը: Օգտագործելով այս տեխնոլոգիան՝ հարձակվողները կարող են հեշտությամբ մուտք գործել արգելված տարածքներ, և թվային ռեգիստրը ցույց կտա աշխատակցին, ում կրծքանշանը նրանք սկանավորել են, ով մուտք է գործել տարածք:

Ուսի սերֆինգ

Ֆիզիկական ներթափանցման փորձարկման ոչ բոլոր մեթոդներն են այդքան բարդ: Ամենապարզ, բայց դեռևս արդյունավետներից մեկը աշխատակիցների էկրաններին և գրասեղաններին նայելն է. հարձակումը հայտնի է որպես «ուսերի սերֆինգ»:


Մարդիկ հաճախ տեղյակ չեն, թե ուրիշ ով է իրենց շրջապատում կամ որտեղ են փնտրում մյուսները, երբ մուտք են գործում կամ մուտքագրում են զգայուն տվյալներ: Հետևաբար, հեշտ է տեսնել, որ ինչ-որ մեկը մուտքագրում է իր PIN-ը կամ վերցնում բանկային տվյալները: Որոշ դեպքերում թիրախը նույնիսկ անհրաժեշտ չէ ներկա լինել. Ամերիկացի օգտատերերի 41%-ը Գրեք նրանց գաղտնաբառերը, այնպես որ գրասեղանի վրա փաստաթուղթը պարզապես սկանավորելը կարող է հարձակվողին տալ կարևոր տեղեկատվություն:

Dumpster Diving

Նմանապես, հանցագործները կարող են հավաքել զարմանալի քանակությամբ տվյալներ՝ անցնելով աղբարկղով: Չփշրված փաստաթղթերը, որոնք հայտնվում են աղբում, կարող են ներառել ֆինանսական հաշվետվություններ, կոմունալ վճարումներ և անձնական նամակագրություն, որոնք բոլորը պոտենցիալ զգայուն տեղեկություններ են պարունակում:


Գրիչի փորձարկողները, ովքեր նման տվյալներ են գտնում աղբարկղում, կարող են օգտագործել դրանք ավելի համոզիչ նիզակային-ֆիշինգ հարձակումներ ստեղծելու կամ վարկային քարտի խարդախություն կատարելու համար: Թեև այս խոցելիության լուծումը պարզ է. ձեռնարկություններին միայն պետք է մանրացնել հին փաստաթղթերը, բայց դա հեշտ է անտեսել՝ դարձնելով աղբարկղերի սուզումը սովորական ֆիզիկական հարձակման մեթոդ:

Ֆիզիկական ներթափանցման փորձարկման առավելությունները

Այս բոլոր ռազմավարությունների ընթացքում ֆիզիկական գրիչի թեստերն ունեն մի քանի առավելություններ: Ամենակարևորն այն է, որ դրանք բացահայտում են այն խոցելիությունը, որոնք կազմակերպությունները կարող են բաց թողնել: Թեև ընկերության վրա հարձակվելու համար ինչ-որ մեկին վարձելու հեռանկարը սարսափելի է թվում, գրիչի փորձարկողները ամրապնդել պաշտպանությունը ապագա սպառնալիքներից երկարաժամկետ հեռանկարում՝ բացահայտելով, թե որտեղ պետք է բարելավվեն բաները:


Կիբեր միջադեպերի բոլոր մոդելավորումները թույլ են տալիս նման բարելավումներ, բայց ֆիզիկականները ներառում են սովորական մոտեցումներ բաց թողնված թիրախներ: Որքան էլ կարևոր են թվային պաշտպանությունները, դրանք չեն կարող դադարեցնել անձնական խախտումները: Հետևաբար, ձեռնարկություններին անհրաժեշտ են նաև ֆիզիկական անվտանգության ստուգումներ, եթե նրանք հույս ունեն հասնել համապարփակ ծածկույթի:

Նկատառումներ ֆիզիկական գրիչի թեստերի իրականացման ժամանակ

Ինչպես ավանդական գրիչի փորձարկման դեպքում, ֆիզիկական ներթափանցման թեստերը պահանջում են զգույշ մոտեցում: Ընկերությունները, որոնք ցանկանում են առավելագույնս օգտվել դրանցից, պետք է նկատի ունենան մի քանի գործոն:


Երբ համեմատելով ներթափանցման փորձարկման լավագույն ծառայությունները , կազմակերպությունները պետք է փնտրեն հավատարմագրված, լավ վերանայված անվտանգության ընկերություններ: Անհայտ թիմի վարձելը կարող է ռիսկային լինել՝ հաշվի առնելով, որ բիզնեսը հրավիրում է նրանց խախտել իրենց համակարգերը:


Կարևոր է նաև վերանայել տարբեր մատակարարների մեթոդներն ու անցյալի փորձը: Իդեալում, նրանք պետք է օգտագործեն հնարավորինս լայն տեխնիկա և ծանոթ լինեն տվյալ ոլորտին, որպեսզի կարողանան ապահովել համապատասխան, համապարփակ արդյունքներ: Հաճախորդների լայնածավալ աջակցությունը և արագ շրջադարձային ժամանակները այլ կարևոր հատկություններ են, որոնք պետք է փնտրել:


Ի վերջո, կազմակերպությունները պետք է հաշվի առնեն գինը: Փորձագիտական ծառայությունները կարող են թանկանալ, բայց ավելի մանրակրկիտ փորձարկումը կարող է արժե ծախսել: Ավելի էժան է վարձել գրիչի փորձարկող՝ խոցելիությունը գտնելու և շտկելու համար, քան խախտման դեմ պայքարելը, երբ հանցագործն օգտվում է թուլությունից:

Ներթափանցման փորձարկումը պետք է լինի համապարփակ

Գրիչի թեստավորումը պետք է լուծի հնարավորինս շատ պոտենցիալ թույլ կետեր՝ արդյունավետ պաշտպանություն լինելու համար: Հետևաբար, ձեռնարկությունները, որոնք ցանկանում են վստահություն ունենալ իրենց կիբերանվտանգության նկատմամբ, պետք է ներառեն ֆիզիկական ներթափանցման թեստավորում իրենց խոցելիության գնահատման մեջ: Այս ռիսկերի որոնումը կապահովի, որ կազմակերպությունները ապահով մնան բոլոր սպառնալիքներից, ոչ միայն սովորական կասկածյալներից: