Wyobraźcie sobie, że włamujecie się do banku, fabryki lub centrum przetwarzania danych i mało, że nie grożą wam za to żadne konsekwencje, to jeszcze zarabiacie pieniądze. Brzmi ciekawie? I tak jest!
Budynek obserwowaliśmy w sumie przez około 4 godziny. Klient wymagał, by całość testów nie trwała dłużej niż dwa dni, a my musieliśmy jeszcze opracować plan wejścia i zaopatrzyć się w sprzęt, który nam to umożliwi. Dostęp do obiektu zabezpieczono śluzami bezpieczeństwa, uniemożliwiającymi wejście więcej niż jednej osoby na raz. Do tego system monitoringu, ochrona fizyczna i doskonale zabezpieczone karty RFID. Weszliśmy. Nad ranem, przed otwarciem obiektu. Nie potrzebowaliśmy kart. Nie forsowaliśmy śluz. Obraz z kamer nie wzbudził niczyich podejrzeń. Tylko jeden pracownik zainteresował się nasza obecnością w zastrzeżonej strefie. Szybko jednak znudził się, słuchając jak to zostaliśmy oddelegowani i że realizujemy projekt inżynieryjny dla jednego z klientów. Ziewnął, życzył powodzenie i wrócił do swoich obowiązków.
Najważniejszą kwestią w realizacji testów penetracji fizycznej jest oparcie się pokusie rywalizacji. Co mam na myśli, mówiąc o rywalizacji? Przede wszystkim chęć udowodnienia sobie i zlecającemu, że jest się tak dobrym, że żadne zabezpieczenia nie są przeszkodą. A przecież nie o to chodzi. Pentesterzy nie mają być Bondem, Bournem ani Huntem. Mają być jak kontrast, który wpuszczony do obiegu, wskazuje, gdzie jest wyciek.
Jaki jest więc cel profesjonalnych testów penetracji fizycznej? Odpowiedź jest prosta: potwierdzenie odporności badanego obiektu na próby dostania się do środka osób nieuprawnionych, lub wskazanie ewentualnych podatności na takie działania. Nie chodzi zatem o mnożenie fantastycznych scenariuszy, niczym z serii Mission Impossible, ale o określenie faktycznego poziomu zagrożenia. Aby to zrobić, należy wskazać, kto może stanowić zagrożenie dla obiektu, jakie korzyści może z tego tytułu osiągnąć, jakich nakładów musi użyć oraz jaki jest dla niego prawdopodobny, akceptowalny poziom ryzyka.
Po odpowiedzeniu na te pytania, można rozpocząć pracę nad rozpoznaniem badanego obiektu pod kątem wskazania słabych elementów systemu ochrony i kontroli dostępu. Mogą to być zarówno luki w zabezpieczeniu fizycznym, jak i możliwość ich obejścia. Kolejnym elementem sprawdzenia może być także test podatności personelu na manipulację przy użyciu socjotechniki lub uzyskania od nich informacji, a także środków umożliwiających dalsze działania.
Jak to wygląda w praktyce? Cóż, z perspektywy osób realizujących działania, można w skrócie powiedzieć, że to znakomita zabawa. Wyobraźcie sobie, że ktoś pozwala wam się włamać do banku, zakładu przemysłowego lub centrum przetwarzania danych i że nie grożą wam za to żadne konsekwencje. Brzmi ciekawie? I tak jest! Trochę, jak dużych dzieci zabawa w Indian. Mimo tego, testy penetracji fizycznej to bardzo poważne i niezwykle skuteczne narzędzie zarządzania ryzykiem. Dają odpowiedź na pytanie, którego wielu prezesów, dyrektorów, a także pracowników niższego szczebla woli nie zadawać. A co jeśli ktoś niebezpieczny dostanie się do środka?
Jeśli boisz się na to pytanie odpowiedzieć, zapraszam do kontaktu. Wyjaśnię wątpliwości, odpowiem na pytania. Udawanie, że problem nie istnieje, nigdy nie jest rozwiązaniem.
Tytuł nieco przewrotny, ale oddający istotę problemu. Sprawdzenie partnerów biznesowych, kontrahentów, czy pracowników to temat bardzo delikatny i wymagający doświadczenia oraz zaangażowania.
Czym jest i jak wygląda proces weryfikacji? Dlaczego w celu jej przeprowadzenia warto się zwrócić do profesjonalistów oraz w jaki sposób ta niedoceniana czynność może przynieść wymierne korzyści?
Nieuczciwy lub niewiarygodny kontrahent to zmora przedsiębiorcy. Czy chodzi o wyłudzenia towarów, pospolite oszustwa, czy też karuzele VAT, ich konsekwencje mogą doprowadzić do upadku każdą firmę.
Masz czasem wątpliwości, co do wierności swojej drugiej połowy? Każdy czasem przez to przechodzi. Ważne, by wiedzieć, na co zwracać uwagę.
Tytuł nieco przewrotny, ale oddający istotę problemu. Sprawdzenie partnerów biznesowych, kontrahentów, czy pracowników to temat bardzo delikatny i wymagający doświadczenia oraz zaangażowania.
Wyobraźcie sobie, że włamujecie się do banku, fabryki lub centrum przetwarzania danych i mało, że nie grożą wam za to żadne konsekwencje, to jeszcze zarabiacie pieniądze. Brzmi ciekawie? I tak jest!
Zapraszamy do kontaktu:
tel.: +48 607 266 540
pon.-sobota 8.00-19.00
📞︎
607 266 540
✉︎