如何准备您的物理渗透测试

安全资讯 小布 275浏览 0评论

“保护边界。”

这些词往往会让人联想到电影中某些 VIP 处于危险之中的惊险场景。然而,数据中心、办公室、变电站、关键基础设施等都需要确保它们的周边也得到保护。物理渗透测试衡量您组织的物理安全控制的强度。以下是您需要了解的有关物理笔测试方法以及如何为下一次测试活动做准备的信息。

物理渗透测试方法

物理渗透测试旨在在不良行为者能够发现和利用它们之前发现您的物理安全中的弱点。这种类型的测试,也称为物理入侵测试,试图破坏周边安全、入侵警报、运动探测器、锁、传感器、摄像头、陷阱和其他物理屏障,以获得对敏感区域的未经授权的物理访问。

物理渗透测试通常由以下三件事之一激发:

  • 认识到物理安全是不可忽视的攻击因素
  • 希望得到决策者的支持,对任何未知数有更好的了解
  • 合规性要求。

有全球公认的物理渗透测试行业标准框架至少,测试框架应该基于 NIST 特别出版物 800 系列指南和 OSSTMM。一次彻底的物理渗透测试有很多阶段:

  • 被动侦察——收集有关目标周围环境的信息,可能使用谷歌地球等工具。
  • 开源情报——利用免费提供的关于目标及其人员和环境细节的信息。
  • 主动侦察——通过电话、电子邮件或以其他方式直接询问目标员工或供应商来获取信息。
  • 隐蔽观察— 放样、无人机和隐蔽摄影有助于识别物理安全控制措施并在员工进出时对其进行监控。
  • 攻击计划——利用对漏洞、出口和入口点、摄像头、警卫、围栏、公司技术、员工等的了解。
  • 借口——确保测试设备、运输和人员准备就绪。
  • 渗透、利用——执行有计划的攻击。
  • 后利用——进一步渗透到环境中并设置以维持一个持久的后门。

在最好的渗透测试人员将圆这一切了与报告和补救。那时,他们将从渗透物理环境中学到的东西带给客户,并就如何解决发现的问题提出意见。

为您的物理渗透测试做准备

您可以拥有最坚固的防火墙和最新的密码策略以及严格的用户权限,但如果有人可以直接访问您的建筑物,那么这些其他预防措施可能无济于事。利用您的物理安全的不良行为者可能会导致设备被盗或提供对不安全的台式计算机、内部网络、书柜、数据中心以及卫星设施和分支机构的访问。

1. 要准备测试,您首先要了解您的资产。那些怀有恶意的人可能会寻求访问什么?这在医疗办公室环境中(目标可能是收集个人身份信息?)与在变电站(目标可能是中断电力流动)不同

2. 接下来,使用第 1 项中确定的资产来确定参数和优先级。既然您了解了渗透测试中可能涉及的内容,请花时间确定您的目标。您想验证或评估什么?另外,谁会知道测试?您只希望少数合适的人提前了解物理渗透测试,以免过早地提示测试人员。

3.考虑您的威胁因素。这可能是一个恶意的内部人员、一个愤怒的前雇员、一个有组织的犯罪部门、一个投机取巧的机会主义者、民族国家,不胜枚举。制定参与计划的同时还要考虑威胁参与者是一个好主意(除了如上所述考虑您的资产之外)。

4. 另外,请确保您已确定在执行测试期间谁将成为公司的联系人。此人应具备将测试人员的行为与公司员工的反应和响应时间进行比较的知识库。授权此人解决任何应紧急修复的严重安全漏洞(或至少直接与可以解决问题的人沟通)。

如果没有彻底的物理渗透测试,您就无法验证有关当前安全设置的假设。您将无法确定哪些有效,哪些无效,也无法评估在发生违规或入侵时的响应能力和响应速度。

为确保进行健全和全面的物理安全测试,布尔云安团队利用行业标准框架作为执行渗透测试的基础。立即询问免费的物理渗透测试报价,让我们开始对话。

转载请注明:布尔云安的博客 » 如何准备您的物理渗透测试

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址