介绍

随着科技的快速发展, 网络威胁变得越来越复杂和复杂, 使组织难以保证其敏感数据和关键资产的安全. 这些不良行为者或黑客的动机从政治“黑客行动主义”到经济利益或名誉. 保持领先于黑客, 安全专业人员采用了他们对手的思维方式和策略.

渗透测试, 通常称为“渗透测试”,是一种模拟网络攻击,旨在评估系统的安全性, 网络或应用程序识别潜在风险. 结果是, 渗透测试已经成为组织识别其系统中的漏洞并改进其安全状态的基本工具.

然而,随着技术的进步,攻击者的方法也在进步. 除了网络威胁, 物理威胁还可以用来利用漏洞并获得对系统和数据的未经授权访问.

Pro-Vigil的年度研究调查显示,28%的受访者认为2021年和2022年的物理安全事件有所增加, 而在2020年,这一比例仅为20%.1 根据Verizon的2023年数据泄露调查报告(DBIR), “74%的违规行为涉及人为因素, 其中包括社会工程攻击, 错误或误用.”2

物理渗透测试

物理渗透测试包括模拟对组织场所的物理攻击, 比如一栋建筑, 数据中心或服务器机房.

这种类型的测试评估用于保护资产(如硬件)的物理安全措施, 保密信息及人员.

物理渗透测试旨在识别组织的物理安全控制中的弱点,并模拟真正的攻击者如何尝试访问受限制的区域或信息. 这种类型的测试可能包括使用社会工程技术(例如冒充员工)。, 试图未经授权进入禁区或窃取公司资产.

物理渗透测试旨在识别组织的物理安全控制中的弱点,并模拟真正的攻击者将如何尝试 获得进入限制区域或信息的途径.

这可以通过各种手段来实现, 比如偷偷从后门进入, 伪装自己以混入授权人员或利用分散注意力的机会.

然而, 物理安全咨询行业的大多数专业人士都会同意,获得对组织建筑物的物理访问比我们在电影中看到的要容易得多. 这就是为什么, 在当今迅速变化的威胁形势下, 定期的物理渗透测试对于维护强大的安全状态至关重要.

试验方法

在比较物理渗透测试和网络渗透测试时, 在范围和执行上有显著的区别. 网络渗透测试主要侧重于识别数字系统中的漏洞和弱点, 网络和软件. 它涉及模拟网络攻击,以评估组织数字基础设施的安全态势.

物理渗透测试有以下测试方法:

社会工程
社会工程是操纵人们泄露敏感信息或执行允许攻击者访问安全区域的操作的实践. 这可以通过各种策略来实现,例如向员工发送网络钓鱼电子邮件或网络钓鱼电话,并通过访问控制区域跟踪员工.

社会工程技术的结合将物理渗透测试与其他形式的网络安全和渗透测试方法区分开来. 这种形式的测试旨在评估物理基础设施和员工中存在的漏洞.

社会工程技术的结合将物理渗透测试与其他形式的网络安全和渗透测试区分开来 方法.


因此, 这些攻击暴露了存在于外部(物理领域)和内部(员工之间)的弱点。. 简单地说,计算机用二进制进行交流,没有情感:1和0,是或否,打开或关闭. 然而,人类是根据情感来权衡决定的.

昨天没有升职的员工今天会挑战走在他身后的送餐员吗?

一个不知道风险的员工会试图用一个令人信服的故事来“帮助”一个在电话里要求密码的坏人吗?

通过社会工程测试, 组织可以确定他们的员工意识培训在哪里起作用,以及需要更多关注的地方,以帮助防止未来的物理和网络入侵.

社会工程方法
以下是一些社会工程方法,物理渗透测试人员可以使用这些方法进入建筑物:

  • 模拟-社会工程师可能会冒充有合法进入大楼的人, 比如快递员, IT技术员或雇员. 他们可能会穿着得体,表现得很自信,以说服保安人员或其他员工让他们进去.
  • 追尾-这包括在没有出示凭证或获得适当授权的情况下跟随授权人员进入安全区域. 社会工程师可能表现得好像他们很着急,或者有正当的理由去那里. 这可以采取这样的形式:某人故意让自己忙得不可开交,要求员工帮他开门,或者相反,主动为他开门,以迅速获得员工的信任.
  • 网络钓鱼或钓鱼-社会工程师可能会向员工发送网络钓鱼邮件或拨打网络钓鱼电话(vishing), 假装成别人索要敏感信息或密码. 有了这些信息, 社会工程师也许能够绕过安全措施进入大楼.
  • 电话窃听丑闻-这包括创建一个虚假的场景来获得访问权限. 例如, 社会工程师可能会冒充IT部门的成员并联系员工, 声称他们的电脑出了紧急问题,需要他们立即到IT办公室来. 一旦员工来了, 社会工程师可能能够进入建筑物或建筑物内的敏感区域.

社会工程攻击可以采取多种形式,并且很难防御,因为它们利用的是人类的弱点,而不是技术漏洞.

不过, 个人和组织必须对社会工程带来的威胁保持警惕,并采取行动保护自己免受这些类型的攻击.

以下是社会工程的两个现实例子:

  • 有记录以来最严重的社会工程攻击之一涉及一个诈骗组织,该组织以两家知名跨国公司为目标. 该团队设计了一个精心设计的计划,通过创建一个与真正的计算机制造商同名的假冒公司,该公司经常与这些大公司做生意. 来执行他们的计划, 这些骗子会向Facebook和谷歌的特定员工发送网络钓鱼邮件, 出示货主实际提供的合法商品和服务的发票. 然而, 这些电子邮件狡猾地引导员工将资金存入骗子的欺诈账户. 在两年的时间里, 2013 - 2015年, 该组织成功地从这些知名科技公司骗取了1亿多美元.3
  • 2022年2月, 俄罗斯和乌克兰之间的紧张局势不断升级, 微软就俄罗斯黑客组织Gamaredon发起的新的鱼叉式网络钓鱼活动发出警告,4 积极攻击乌克兰政府机构和非政府组织的组织. 这一组, 被微软命名为Actinium, 据报道,自2021年以来,该组织一直专注于渗透对应急反应和乌克兰领土安全至关重要的组织. Gamaredon采用的攻击策略包括使用嵌入恶意软件的鱼叉式网络钓鱼邮件. 另外, 这些电子邮件包含一个跟踪像素, 使网络罪犯能够监视电子邮件是否已被打开. 这一事件提醒人们,网络安全如今在国际冲突中发挥着重要作用. 它强调了所有组织加强其安全措施和防范社会工程攻击的重要性. 通过优先考虑网络安全, 组织可以加强他们的防御机制,并减轻与此类目标活动相关的潜在风险.5

物理/技术绕过
除了社会工程, 物理渗透测试涉及使用可以绕过物理或技术安全措施的工具和技术. 这方面的测试旨在发现锁中的漏洞, 访问控制系统和其他可能被对手利用的安全机制.

通过了解攻击者可能使用的方法来获得未经授权的访问, 组织可以采取积极主动的步骤来减轻这种风险.

绕过物理安全措施的一种常见方法是开锁. 用这种方法, 熟练的测试人员可以演示如何轻松地操纵或绕过传统的锁, 强调需要更健壮的锁定机制. 另一种绕过技术是射频识别(RFID)克隆, 测试人员克隆RFID卡或徽章以获得未经授权的安全区域访问.

类似的, 蓝牙黑客可以用来利用蓝牙安全系统中的漏洞, 允许未经授权进入受限制的空间. 虽然提到的方法是一些更常见的物理渗透测试方法, 还有许多其他技术被设计用来模拟物理攻击.

破坏性的和. 无损检测
隐蔽入口是物理渗透测试澳门赌场官方下载广泛接受的另一种方法. 在进入时, 这些专业人士认为,他们应该尽可能做到无损.

因此, 所有输入方式, 比如绕过门和锁, 应该在不造成任何损害的情况下使用吗.

测试人员有时会利用锁定机制中预先存在的漏洞. 他们还可能利用建筑规范的弱点或物理安全措施的技术功能, 通常都是尽可能隐蔽地行动.

这种方法的目的是双重的:

  1. 对组织造成的损害很小,甚至没有损害
  2. 演示攻击者如何在几乎不被发现的情况下危害组织

然而, 重要的是要认识到,这种非破坏性方法在提供全面的安全性测试方面有局限性.

根据… 《澳门赌场官方下载》 2022年12月文章, 大约35,摩尔县有1000人, 北卡罗莱纳因袭击而断电, 嫌犯通过枪击变电站摧毁了整个系统. 这篇文章提到了北卡罗来纳州其他地区发生的类似袭击, 俄勒冈州和华盛顿州使用手工工具, 纵火, 枪支和金属链回应了网络上攻击关键基础设施的号召.”6

物理渗透测试人员努力像他们防范的对手那样思考问题, 这意味着他们设想了潜在攻击者破坏组织的不同破坏性方式. 例如, 测试人员可以通过激活或关闭灭火系统中的水来模拟攻击. 这种方法, 虽然可能会给澳门赌场官方下载带来麻烦, 允许测试人员在恶意行为者利用漏洞之前识别并处理漏洞.

高级持续性威胁
高级持续性威胁(apt)可以利用物理手段破坏组织的安全. apt通常与针对网络和系统的复杂网络攻击有关, 他们还可以使用物理策略来获得未经授权的访问或泄露敏感信息.

物理穿透技术, 比如社会工程, 隐蔽进入和尾随, 10 + 3行为者是否可以利用它绕过物理安全措施,进入禁区. 这些是有针对性的攻击,目的是在很长一段时间内不被发现.

例如, APT行动者可以冒充员工或联系人, 利用社会工程技术进入安全设施. 一旦进入, 他们可以植入恶意设备, 捣毁设备或进行侦察以收集有价值的信息以供进一步利用.

通过将身体战术融入他们的整体进攻策略, APT行为者可以增加他们成功和逃避检测的机会. 这突出了在组织的整体安全态势中同时考虑物理和数字安全措施的重要性.

通过将身体战术融入他们的整体进攻策略, APT行为者可以增加他们成功和逃避检测的机会.

有一些已知的案例表明,APT攻击者利用物理手段作为攻击策略的一部分. 一个显著的例子是震网蠕虫病毒, 这是2010年发现的,并被认为是情报机构共同努力的结果, 可能包括美国和以色列.

Stuxnet的设计目标是伊朗的核计划,并专门针对破坏用于铀浓缩的工业控制系统(ICS). 据信这种蠕虫已经被物理地引入了纳坦兹核设施, 可能是通过受感染的USB驱动器或其他方式, 然后在基地的网络中传播以破坏其运作.7

这个例子展示了apt利用物理手段作为其攻击方法的一部分的可能性. 它强调了考虑数字和物理漏洞的整体安全方法的重要性,以防御这些持续和不断发展的威胁.

物理渗透测试的类型

物理渗透测试可以由专门的团队或专门从事物理安全评估的第三方供应商执行. 许多网络安全咨询公司为希望评估其物理安全措施的组织提供物理渗透测试服务.

经常, 组织要求进行物理渗透测试以及网络和应用程序渗透测试. 组织和测试公司商定的测试类型将根据以下几个因素而有所不同:

  • 预算
  • 业务范围
  • 组织提供的内部信息

这些因素将影响契约的持续时间, 发现了多少漏洞,测试的真实性如何.

物理渗透测试有多种类型, 就像有各种各样的网络渗透测试一样, 它们的定义非常相似. 因为有些测试具有破坏性, 组织的舒适程度可能在决定哪种类型适合他们方面发挥作用.

红色的团队
红队通常包括一个全面和系统的方法, 采用各种方法和技术来模拟真实世界的威胁. 团队可能参与渗透测试之类的活动, 社会工程, 物理安全评估,甚至基于场景的模拟,以评估组织的检测能力, 防止和响应潜在的攻击或破坏.

红队通常独立于组织的内部安全团队运作, 允许对安全基础设施进行公正和客观的评估. 这种方法有助于发现可能被更熟悉系统设计和限制的内部团队所忽视的盲点和弱点.

黑盒
黑盒物理渗透测试意味着组织为被测试的位置提供的信息和/或访问权限很少或没有. 通常, 在黑盒测试期间, 测试人员只会得到建筑物的地址。. 这种类型的测试更接近于模拟真实世界的对手,只提供很少的信息, 但这种做法通常会比红队更彻底.

白盒子
白盒物理渗透测试意味着组织向测试人员提供全面的信息和对被测试位置的访问, 包括已知的漏洞, 使用的技术和建筑布局. 这种类型的测试将增加测试人员成功的机会和测试漏洞的彻底性, 从而加快了测试的信息收集部分,并最终节省了组织的资金.

灰色的盒子
正如名字所示, 灰盒测试介于白盒和黑盒测试之间. 灰盒物理渗透测试意味着组织提供有限的信息和/或对测试人员的访问. 组织可能希望提供某些信息来帮助加速测试人员的信息收集过程,同时仍然希望保持测试的真实性.

尽职调查评估(演练)
尽职调查在技术上不属于渗透测试. 而, 对于寻求许多相同好处的澳门赌场官方下载来说,它是一种更加预算友好的选择. 尽职调查评估是授权的, 经常陪同, 公司位置的演练,测试提供者在其中识别攻击者可能利用的潜在漏洞. 这种方法可以更有效地发现漏洞,并为公司提供第一手培训, 但它缺乏实时测试组织安全状况的真实性.

工具

物理渗透测试人员使用各种工具来评估和利用物理安全环境中的漏洞. 这些工具旨在帮助绕过或破坏访问控制, 监视系统和其他物理防御.

以下是物理渗透测试人员使用的一些常用工具:

  • 开锁/印象工具如前所述,开锁是一种绕过物理锁的技术. 物理渗透测试人员可能会使用开锁工具,比如pick, 张力扳手和抖动钥匙操纵锁机制和获得未经授权的访问.
    印模是一种通过对锁的机制进行印模来为锁创建工作钥匙的技术. 物理渗透测试人员可能会使用诸如空格键之类的印象工具, 文件和印痕材料来制造一把可以打开锁的钥匙,而不需要访问原来的钥匙.
  • 绕过工具—旁路工具是专门为克服或绕过告警传感器等安全措施而设计的工具, 不触发警报的运动探测器或其他物理障碍. 它们帮助渗透测试人员识别警报系统中的漏洞并测试其有效性. 这些工具包括不同尺寸的细长金属杆,弯曲成各种形状,可以在不需要钥匙的情况下从外面快速解锁和打开门.
  • 射频识别工具-如上所述,RFID工具用于与基于RFID的访问控制系统交互. 这些工具可以扫描和读取RFID卡或徽章, 检测系统中的漏洞,甚至克隆或模拟RFID凭据以进行未经授权的访问.
  • 伪装和社会工程工具物理渗透测试人员经常使用工具和道具将自己伪装成授权人员,并帮助他们进行社会工程工作. 这些可能包括假身份证、制服、徽章、与他们所扮演的角色相关的道具.g., 手推车(用于送货人员)和其他物品,以提高其可信度并欺骗保安人员或其他员工.

物理渗透测试人员必须了解新的锁定机制和其他安全技术, 实践他们的社会工程方法,并不断改进他们的技术,以有效地绕过物理安全措施, 因为这些能力会随着时间的推移而退化.

简易工具
前面提到的许多工具都起源于原型. 在某些情况下, 可能没有适合测试特定需求的现有工具, 需要建立一个新的. 在高度安全的设施中尤其如此,这些设施采用x射线扫描仪和金属探测器等措施来防止盗窃并确保安全. 在这种情况下,物理渗透测试人员必须依靠他们的创造力.

对于物理渗透测试人员来说,利用在组织的垃圾箱中发现的废弃物品来绕过门锁机制是很常见的. 另外, 他们认识到,由于消防法规和其他建筑法规,漏洞可能存在. 有了这些知识, 测试人员即兴创作并开发工具来有效地利用这些弱点.

物理渗透测试人员理解跳出框框思考和适应独特环境的重要性. 他们创造性地应对挑战和开发创新解决方案的能力使他们在渗透测试领域脱颖而出.

物理渗透测试方法

物理渗透测试方法通常与广泛接受的网络渗透测试框架保持密切一致, 例如开放Web应用程序安全项目(OWASP)测试指南8 和渗透测试执行标准(PTES).9

这些网络渗透测试框架为评估数字资产的安全性提供了全面的指导方针和方法, 包括web应用程序, 网络和系统. 而网络渗透测试或行业特定框架可能会提到物理安全控制的实现, 测试这些控件的需求很少, 如果有的话, 强调.

而网络渗透测试或行业特定框架可能会提到物理安全控制的实现, 测试的要求 这些控制很少被强调,如果有的话.

尽管可能没有那么多广泛认可的专门为物理渗透测试量身定制的框架, 物理渗透测试中使用的方法借鉴了网络渗透测试框架中建立的原则和实践. 这确保了从数字和物理角度评估组织安全状况的系统和全面的方法.

熟练的测试人员, 利用他们的专业知识, 经验和专用工具, 在结构化框架内仔细评估组织的物理安全措施, 如下所述.

Pre-参与ment

交战前阶段可能是物理渗透测试交战中最重要的部分. 当作为一名渗透测试人员发起与组织的讨论时, 首先确定组织的需求和目标是必要的. 这包括理解他们期望的测试结果, 他们希望实现的目标以及他们所关心的任何具体威胁或情况. 另外, 确定进行的测试是否符合法规要求是很重要的. 这些查询构成了构建一个成功的渗透测试的基础,它满足了组织的需求并解决了他们的关注点.

范围
范围界定是测试公司和招聘组织之间关于测试的详细性质的来回讨论. 范围定义了测试活动的边界、目标和约束条件. 它包括识别测试类型和地点, 以及任何要遵循的特定测试方法或场景.

通过范围, 组织应该对他们从测试过程中寻找什么以及最终将花费多少有一个清晰的概念. 测试公司, 与此同时, 试图理解组织的需求, 解决这些需求的最佳方式, 这个过程需要多长时间,需要多少资源.

成本
物理安全评估的成本可能差别很大, 受影响审计业务范围和复杂性的几个因素的影响. 渗透测试的平均成本从4美元不等,000美元, 纯朴的组织要100多美元,大的要000英镑, 复杂的.10 然而, 值得注意的是,这些数字是近似值,可能会根据具体要求进行调整.

定价的一个关键因素是所进行的测试的类型. 不同类型的测试, 例如综合设施评估, 目标脆弱性评估或特定组件评估, 可能需要不同程度的努力, 资源和专业知识, 从而影响总体成本.

要评估的地点数量也在决定价格方面发挥了作用. 拥有多个设施或分支机构的组织需要更广泛的评估范围, 需要额外的时间和资源来彻底评估各个站点的物理安全措施. 每个地点的复杂性和大小进一步影响所涉及的工作量, 对总成本有贡献.

值得注意的是,定价也可能受到其他因素的影响, 比如测试提供商的声誉和专业知识, 组织要求的任何特定定制或额外服务以及业务的持续时间.

交战规则
交战规则(RoE)作为概述规则的指导框架, 测试过程的限制和期望. 它在测试团队和客户组织之间建立了商定的参数和行为规范.

RoE有助于确保物理渗透测试以受控和合乎道德的方式进行, 尽量减少对正常运营的潜在干扰,并防止任何未经授权的访问敏感区域或资产. 它定义了测试的目标, 允许的技术和工具以及在评估过程中不应损害的任何禁区或资产.

通过建立清晰和全面的RoE, 双方可以调整他们的期望,确保顺利有效的测试过程. RoE有助于防止误解, 降低法律和道德风险,促进合作,以达到预期的结果. 组织是否希望测试人员简单地尝试通过前台然后停下来, 或者继续到服务器机房? 组织是否希望测试人员试图获得对网络的“未授权”访问? 这些是RoE中应该解决的问题类型.

授权
物理渗透测试的授权是测试过程的一个关键方面, 确保测试合法进行, 在道德和客户组织明确同意的情况下. 同意的授权文件, 哪一个是测试人员访问组织的场所所需要的, 进行物理渗透测试的设施和资产. 这可能包括进入限制区域, 测试安全系统,并在评估期间与员工或人员进行互动.

物理渗透测试的授权是测试过程的一个关键方面, 确保测试合法进行, 在道德和客户组织明确同意的情况下.

授权过程通常从创建正式文档开始, 如书面协议或合同, 概述范围, 测试的目标和RoE. 这个文档, 通常被称为“免牢狱之灾”信件, 说明测试的目的, 测试人员的身份, 将要执行的活动, 预期的结果以及测试人员需要遵循的任何限制或限制.

从组织内适当的涉众那里获得授权是至关重要的, 包括管理, 保安人员和法定代表人. 这些个人有权授予物理渗透测试的权限,并确保它符合组织的目标, 政策和法律义务.

作为一个整体,参与前阶段对于理解组织的需求和目标是至关重要的, 成功的渗透测试的基础是什么. 范围, cost, RoE and authorization are each essential; together, 这些元素有助于进行精心规划和执行的物理安全评估, 促进有效降低风险和保护关键资产.

利用OSINT和监视收集信息

开源智能(OSINT)在物理渗透测试中起着至关重要的作用, 因为它使聚会成为可能, 对公开信息的分析和解释. 通过使用谷歌地图和街景等工具, 测试人员可以利用OSINT来识别附近的设施,如澳门赌场官方下载和停车场, 哪些可作为潜在的监控点或客户设施的接入点.

物理渗透测试人员还可以发现在线视频和图片,这些视频和图片显示了有关安全措施的信息. 例如, 在社交媒体或公司网站上搜索公司活动中的员工徽章图片,可以暴露徽章的设计和特点, 可能促进未经授权的访问.

收集OSINT的另一个有效方法是分析LinkedIn的个人资料,以确定组织内的职位和头衔, 启用有针对性的社会工程攻击.

OSINT和监视是不同的, 它们都可以归类为传统渗透测试的信息收集部分. 网络渗透测试和物理渗透测试的关键区别在于前者是使用计算机远程执行的, 而后者则涉及在其他人在场的情况下进行现场测试. 监视代表物理渗透测试的现场信息收集组件. 测试人员不仅验证和验证在OSINT期间发现的信息, 但也要通过谨慎的观察积极寻找其他漏洞和进入方法.

网络渗透测试和物理渗透测试的关键区别在于前者是使用计算机远程执行的, 而后者则涉及在其他人在场的情况下进行现场测试.

在监视, 测试人员使用各种工具,如相机, 用双筒望远镜和伪装来秘密收集目标位置的信息, 它周围的人和任何正在进行的活动. 监视需要耐心, 它应该集中于摄取尽可能多的信息,以使测试人员能够设计出多种方法来破坏目标建筑物.

监视最重要的部分是为目标“建立一种生活模式”. 这样做需要观察和记录例程, 个人和团体在现场的行为和活动. 通过了解员工的规律和习惯, 清洁工, 安全人员和快递员, 测试人员可以发现潜在的漏洞并有效地利用它们.

对于物理渗透测试,融入环境是至关重要的. 这可以采取适当的着装形式,以保持长时间站立或行走时的舒适, 但这也意味着穿着要与该地区的其他人无缝融合.

It is important to note that actions taken during OSINT and surveillance are completely passive; it would not be considered illegal if a random person were to collect this type of information. 这就引出了下一步,侦察.

侦察

在这个阶段,测试人员过渡到参与的主动阶段. 任何超出这一范围而没有得到组织明确许可的行为都可能被视为非法. 侦察(recon)是介于监视和执行之间的灰色地带.

在侦察阶段,主要目标是收集信息. 然而,测试人员也将积极地探测组织及其安全措施. 虽然测试人员可能会利用机会尝试进入建筑物以满足约定的目标, 主要目的将是获得更多的信息,以巩固以后进入的可能性. 测试人员可能, 例如, 垃圾箱搜索不仅要找出被丢弃的敏感信息, 还要从安全人员那里确定响应时间. 这个练习可以帮助回答以下问题:组织是否主动监控指向垃圾的摄像头? 有摄像机吗?

一个更深入的例子是,测试人员将自己伪装成送货员,并提供送货发票和订单表单等虚假文档. 邮件将发送给目标员工——可能是在领英(LinkedIn)上找到的员工. 测试员会去前门送货, 但也要近距离接触,了解该组织的更多细节,比如访客政策, 徽章信息和安全措施. 测试人员将利用这个机会对保安或前台人员执行社会工程, 是获取敏感信息还是进入大楼的安全区域. 就像一个死心塌地的对手那样, 测试人员可能会通过佩戴一个隐藏的摄像头来记录整个交互过程,以供以后回顾,从而使他们的事实发现任务更有价值.

然而, 如果有机会, 测试人员可能会故意走到建筑后面的交付入口,而不是前面, 寻找更好的进入方式. 如果送货入口未被监控, 测试人员可能会探索建筑并收集更多信息. 另外, 测试人员可能会采用一种策略,例如在后门的门闩上放一条胶带,以绕过锁定机制,并在稍后的时间建立重新进入的方法.

执行或利用

所有准备工作的高潮是执行阶段,计划在此阶段付诸行动. 物理渗透测试人员将获取收集到的所有信息——无论这些信息是由客户端提供的, 通过OSINT发现的或在侦察过程中发现的,然后设计进入大楼并破坏组织的方法. 在完成所有必要的准备工作后, 计划付诸实施,测试人员试图获得未经授权的访问. 在此阶段,物理渗透测试人员使用各种技术来执行入侵.

以下是执行阶段可能展开的一些示例:

  • 假的交付-物理渗透测试人员冒充交付人员, 携带包裹或包裹的, 为了进入大楼. 这一诡计使他们能够混入常规送货,并有可能绕过安全措施.
  • 工作面试-假装是一个求职者, 测试人员可以在目标地点安排会议或面试. 这让他们有机会以潜在员工的名义进入建筑并探索敏感区域.
  • 游说分心-在大楼大堂区域制造骚乱可以转移保安人员或工作人员的注意力. 这种转移为测试人员提供了一个滑过并进入限制区域的机会.
  • 后门旁路-如果测试者碰巧进入了一个更隐蔽的入口,就像上面侦察部分讨论的那样, 他们也许能够迅速操纵门和锁,这样他们就可以在不被发现的情况下进入.
  • 克隆徽章的使用-目标组织是否使用RFID标识或门禁卡, 物理渗透测试人员可能会使用与组织的安全系统相匹配的克隆或伪造的徽章. 这允许他们像任何员工一样通过访问控制点.
  • 共用楼宇租赁之旅-如果多个组织共用同一栋大楼, 测试人员可以冒充其中一家承租公司的代表,要求参观场地. 这可以让他们熟悉建筑的布局和安全措施. 另外, 测试人员可以利用这个机会偷偷离开参观,进入客户组织的空间.
  • 建造或清洁小组-冒充建筑工人或清洁工人, 测试人员通过利用与这些角色相关的信任和可信性来获得对建筑物的访问权.
  • 督察(水、消防、电梯等.)在这个场景中, 物理渗透测试人员可以在进行检查或维护工作的幌子下进入受限制的区域. 这可以通过冒充水检查员来实现, 消防安全检查员, 电梯技术员之类的.
  • 深夜紧急信息技术承包商-自称是资讯科技承办商,处理紧急的下班后问题, 测试人员利用一种制造出来的紧迫感和混乱感来进入建筑.
  • 捎带/后挡板这是一个最简单的漏洞, 测试人员谨慎地紧跟在有合法访问安全区域的授权员工后面. 通过融入并表现得好像他们属于这里,他们可以在不引起怀疑的情况下进入.

真正的对手——安全措施旨在阻止的坏人——不断寻找新的方法来利用公司物理安全中的漏洞. 因此, 物理渗透测试人员必须对不断变化的物理攻击保持警惕,并与恶意行为者使用的最新方法和技术保持同步.

数据收集

数据收集是物理渗透测试人员在目标建筑物内收集有价值的信息和见解的阶段. 目标是识别潜在的漏洞, 评估安全措施的有效性,了解组织的操作实践.

在数据收集阶段,测试人员可能会寻找以下关键类型的信息:

  • 物理安全措施-物理渗透测试器评估各种安全措施的有效性, 包括访问控制, 监测系统, 报警系统和安全协议. 他们检查了安全摄像头的位置和覆盖范围, 门锁的可靠性, 安全人员的响应时间和物理安全基础设施的整体健壮性.
  • 敏感地区及资产渗透测试人员识别建筑物中包含有价值资产的区域, 敏感信息或关键基础设施. 这可能包括服务器机房, 数据中心, 行政办公室, 研发实验室或存放机密文件的地方. 了解这些区域的布局和可达性有助于评估潜在风险.
  • 网络基础设施-测试人员还可以收集与组织的网络基础设施相关的信息. 这可能包括识别网络机柜, 补丁面板, 可在建筑物内访问的网络交换机或其他网络设备. 这些信息对于理解基于网络的攻击的潜在入口点非常有用.
  • 员工习惯和行为-物理渗透测试人员观察员工的行为和习惯, 包括他们对安全协议的遵守, 处理敏感信息和应对安全事件. 此信息提供了与人为因素和组织的安全文化相关的潜在弱点的见解.
  • 工作流程和操作实践-渗透测试人员关注大楼内的操作工作流程和实践. 这可能包括观察如何管理访客, 员工进出安全区域的流动, 设备或资产的处理和敏感文件或电子设备的处置. 了解这些实践有助于识别安全过程中的潜在差距或失误.
  • 文件和日志-测试人员可以搜索日志, 访客记录或其他能提供洞察组织运作的文件, 访客管理协议或第三方承包商的存在. 这些记录可能会暴露出漏洞,例如访问控制的松散执行或文档实践的不足.
  • 保安政策及程序渗透测试人员可能会寻找安全策略的副本, 在大楼内方便使用的程序或指导方针. 该信息提供了对组织安全状况的深入了解,并有助于识别策略和实践之间的潜在差距.
  • 个人身份资料(PII)-虽然渗透测试人员必须保持道德标准, 他们可能在数据收集过程中遇到个人身份信息. 这可能包括敏感的员工或客户信息, 财务记录或商业机密文件.

对于渗透测试人员来说,谨慎地处理收集到的所有信息并确保这些信息不被滥用是很重要的. 组织在确定测试如何模拟这些信息的窃取方面有一定的余地.

虽然有些组织对测试人员带着敏感信息或系统离开他们的场所,作为证明组织的脆弱性的概念证明是没问题的, 其他人可能更喜欢只拍一张照片,或者在最终报告中简单地注释信息访问.

报告

测试完成后, 检测公司将编写一份包括所有发现的综合报告, 发现和利用的漏洞,以及测试人员在测试期间能够澳门赌场官方软件以及他们如何做的叙述. 报告还可以包括执行摘要和按功能分解的技术摘要,以便组织内的适当部门可以更容易地采取行动来修复漏洞.

物理渗透测试的好处

任何拥有敏感数据或关键资产的组织都可以从物理渗透测试中受益. 这包括政府机构, 金融机构, 医疗保健提供商和处理敏感信息的任何其他组织.

另外, 依赖门禁系统等物理安全措施的公司, 安全摄像机和安全人员将受益于物理渗透测试. 外包其数据中心运营或使用第三方提供商存储敏感数据的公司也应进行物理渗透测试,以确保其资产的安全性.

法规遵从性

根据法律规定,某些行业有义务进行定期评估,作为其安全实践的一部分, 渗透测试是执行这些评估的一种推荐方法.

例如, 处理患者数据的医疗保健组织必须遵守1996年《澳门赌场官方下载》(HIPAA)。, 这表明被覆盖的实体和商业伙伴执行定期风险评估, 包括物理渗透测试, 识别漏洞并实施适当的安全措施.11

同样,金融机构必须遵守《澳门赌场官方软件》(GLBA),12 这需要定期的风险评估, 包括物理渗透测试, 保护客户资料.

许多其他法规要求组织实施物理安全措施来保护敏感数据和资产. 例如, 支付卡行业数据安全标准(PCI DSS)要求处理信用卡数据的组织建立物理安全措施,如访问控制, 监控摄像头和报警系统,以保护持卡人的信息.13

另外, 国际标准化组织(ISO)提供了实现物理安全控制的指导方针, 包括访问控制, 监察及环境管制.

人员安全

物理渗透测试不仅有助于评估物理安全措施的有效性,而且对确保人员安全起着至关重要的作用.

通过识别物理安全基础设施中的漏洞和弱点, 组织可以采取积极主动的措施来减轻员工面临的潜在风险, 游客, 客户和利益相关者.

在物理渗透测试期间, 测试人员评估安全人员在处理未经授权的访问尝试或可疑活动时的反应和有效性. 这种评估有助于组织识别培训中的差距, 可能影响建筑物内个人整体安全的协议或程序.

此外, 物理渗透测试可以模拟真实世界的场景, 例如,入侵者试图伤害或破坏人员. 通过测试安全团队的响应能力, 紧急程序和通讯系统, 组织可以确定需要改进的领域,以加强其人员的整体安全和保护.

数据/资产保护

物理渗透测试有助于保护组织的敏感数据和其他有价值的资产. 而网络安全措施至关重要, 物理安全在防止未经授权的访问或盗窃物理设备方面也起着关键作用, 机密文件, 知识产权或其他有价值的资产.

通过模拟对物理安全系统和措施的攻击, 物理渗透测试有助于识别可能导致未经授权访问或危及资产的潜在弱点. 这包括评估访问控制系统, 监控摄像头, 报警系统和物理屏障,如锁和栅栏.

此外, 物理渗透测试可以深入了解与数据和资产保护相关的策略和过程的有效性. 这包括测试对安全数据处理实践的遵从性, 物理介质的安全存储, 对数据中心或服务器机房的敏感信息和物理访问控制进行安全处理.

通过解决通过物理渗透测试确定的漏洞, 组织可以实施必要的改进来加强对其数据和资产的保护, 减少被盗的风险, 未经授权的访问或危害.

物理渗透测试的挑战

尽管物理渗透测试带来了许多重要的好处, 还有一些挑战使得保护资产和防止物理攻击变得困难. 最大的挑战之一是人为因素.

员工, 承包商和访客可能会因不锁门或把门打开而无意中破坏物理安全措施, 共享密码或钥匙卡,不报告可疑活动. 另外, 物理安全系统可能容易受到技术攻击, 比如绕过门禁系统.

另一个挑战是不断演变的物理威胁, 随着攻击者不断开发新的方法和工具来规避安全措施.

由于物理安全措施的复杂性和测试人员使用的广泛技术,物理渗透测试对组织来说是具有挑战性的. 组织在物理渗透测试中面临的一些常见挑战包括:

  • 成本物理渗透测试可能很昂贵, 特别是对于拥有多个设施的大型组织. 实际上,与物理渗透测试相关的最大挑战之一是资源分配. 许多组织都意识到了这一点, 渗透测试可以产生有价值的见解,但也需要大量的财务投资.
  • Time物理渗透测试非常耗时, 组织可能需要在测试期间关闭某些操作或借用资源, 把他们从其他项目中抢走. 组织应该提前仔细考虑计划所需的时间, 执行测试, 分析结果并实施补救措施.
  • 法律和道德方面的考虑-物理渗透测试可能引起法律和道德问题, 特别是当测试人员试图访问敏感区域或资产时. 组织必须确保适当的许可和协议到位, 并且测试活动符合适用的法律, 规例及道德指引.
  • 武装警卫-测试活动必须仔细协调,以避免与安全人员发生任何潜在的冲突或误解. 尽管大多数物理渗透测试人员对他们通过口头沟通驾驭具有挑战性的情况的能力充满信心, 人类的行为本质上是不可预测的. 在现实世界中,测试人员可能会因为做这种工作而失去生命, 是什么让物理渗透测试与网络渗透测试截然不同.
  • 限制-某些区域或资产可能禁止测试. 这些地区可能包括高度敏感的地点, 关键基础设施或有法律限制的区域. 组织需要清楚地定义和沟通测试约定的边界,以确保测试人员不会无意中破坏安全性或访问被禁止的区域.
  • 人员-物理渗透测试需要熟练的专业人员,他们不仅具有进行现场评估所需的技术专长,而且具有对该角色至关重要的社会敏锐度. 例如, “燃烧”指的是测试人员试图破坏建筑物的安全性,但被识别或当场抓获的场景. 这种情况提出了一个独特的挑战,因为一旦测试人员的身份被泄露, 这个人要进行后续的渗透尝试就会变得更加困难.

克服挑战的策略

克服物理渗透测试的挑战需要采用多方面的方法. 以下是应对挑战时需要考虑的几点.

  • 主要挑战之一是获得对测试场所和资产的访问权. 为了克服这个问题, 对于测试人员来说,与客户组织建立清晰的沟通和牢固的关系是至关重要的. 检测公司应清楚说明检测的目的和好处, 提供适当的文件,并获得相关干系人的授权, 包括管理, 保安人员和法定代表人.
  • 物理渗透测试人员必须隐蔽地操作,以准确地评估安全措施. 为了应对这一挑战, 测试人员可以采用各种各样的伪装或掩护故事来融入环境. 有效的社会工程技术, 如尾随或冒充授权人员, 也能在不引起怀疑的情况下获得访问权限吗.
  • 物理测试涉及真实世界的场景, 使预测和控制所有变量变得具有挑战性. 测试人员应该准备好快速适应意外情况. 全面的计划, 培训和经验可以帮助测试人员处理不可预见的挑战,同时保持专业性,避免不必要的风险.
  • 物理渗透测试本质上包含一定的风险, 比如潜在的对抗或与执法部门的接触. 为了克服这一挑战, 在每项业务前进行全面的风险评估至关重要, 确保测试团队的安全,并与客户组织的安全和法务团队密切协调. 公开和透明的沟通对于减少潜在的误解或局势升级至关重要.
  • 物理渗透测试人员必须在法律界限和道德标准内操作. 他们必须熟悉适用的法律, 法规和政策, 确保整个测试过程的遵从性. 同样的, 他们应该保持项目范围的清晰文档, 参与规则和客户授权,以证明进行测试是合法和道德的.
  • 物理渗透测试生成了大量的数据和观察结果. 克服有效记录发现的挑战, 测试人员应该保持完整的记录, 照片和录像证据. 向客户组织提供可行的建议是至关重要的, 清楚地识别漏洞并提出改进建议.
  • 物理渗透测试是一个需要不断学习和技能发展的专业领域. 测试人员必须跟上最新的技术, 通过专业培训的工具和方法, 认证和参与行业会议和澳门赌场官方下载. 他们应该定期评估和提高他们的物理安全评估技能,以保持领先于新出现的威胁和挑战.

通过采用这些策略, 物理渗透测试人员可以有效地导航并克服与安全测试的这个独特和关键方面相关的挑战, 帮助组织改进其物理安全状态并减轻潜在风险.

结论

物理渗透测试为不同行业的组织带来了许多好处. 它有助于识别物理安全措施中的漏洞, 评估安全协议的有效性,提高人员的安全. 此外, 它在保护敏感数据和宝贵资产方面发挥着至关重要的作用, 确保遵守行业法规并降低与物理安全漏洞相关的风险. 通过认识物理渗透测试的价值, 组织可以加强其整体安全态势,并保护其关键资源免受潜在威胁.

尾注

1 Pro-Vigil。”进入2023年的物理安全状况,” http://pro-vigil.com/resources/2023-security-survey-report/
2 威瑞森。”2023年数据泄露调查报告,” http://www.verizon.com/business/en-au/resources/reports/dbir/
3 你好,凡妮莎。”男子承认诈骗脸书和谷歌1亿美元的网络钓鱼骗局NPR, 2019年3月25日, http://www.npr.org/2019/03/25/706715377/man-pleads-guilty-to-phishing-scheme-that-fleeced-facebook-google-of-100-million
4 UA.政府”,2022年,Gamaredon对乌克兰进行了74次网络攻击2023年3月17日, http://cip.gov.ua/en/news/gamaredon-carried-out-74-cyberattacks-against-ukraine-in-2022
5 Tessian。”15个真实社会工程攻击的例子2023年2月7日, http://www.tessian.com/blog/examples-of-social-engineering-attacks/
6 拉赫曼,K.; “Physical Attacks on Power Substations in Multiple States—Report,” 《澳门赌场官方下载》2022年12月7日 http://www.Newsweek.com/physical-attacks-power-substations-multiple-states-1765225
7 伪。”什么是震网病毒?,” http://www.malwarebytes.com/stuxnet
8 OWASP, 开放Web应用程序安全项目测试指南.0, 2014, http://owasp.org/www-project-web-security-testing-guide/assets/archive/OWASP_Testing_Guide_v4.pdf
9 《澳门赌场官方下载》,2014; http://www.pentest-standard.org/  
10 Manship R., “渗透测试的成本是多少?,红队安全, http://www.redteamsecure.com/blog/how-much-does-a-penetration-test-cost
11 美国卫生与公众服务部风险分析指引2019年7月22日, http://www.hhs.gov/hipaa/for-professionals/security/guidance/guidance-risk-analysis/index.html
12 《澳门赌场官方下载》,"保护客户信息的标准《澳门赌场官方下载》第314部分,2023年7月5日; http://www.ecfr.gov/current/title-16/chapter-I/subchapter-C/part-314
13 Baykara,年代., “PCI DSS要求9解释《澳门赌场官方下载》,2020年4月7日; http://www.pcidssguide.com/pci-dss-requirement-9/