November 24, 2024

PAPERS

A volte la vita ti colpirà alla testa con un mattone

il nuovo cyber gap post-pandemia

Quando la parola attacco informatico viene utilizzato, molte persone immaginano un hacker curvo su un computer in un luogo lontano, che accede alle reti in remoto. Ma gli attacchi alle tue reti non devono necessariamente iniziare fuori sede. Molte aziende hanno punti deboli nella loro posizione di sicurezza fisica, rendendo facile per gli attori malintenzionati accedere a sistemi vitali dall’interno dell’ufficio.

Dall’inizio della pandemia, molti uffici sono stati vuoti o molto meno affollati rispetto all’anno prima. Ciò crea le condizioni ideali per consentire agli aggressori di ottenere l’accesso fisico a luoghi abbandonati o con personale minimo. Sebbene le opportunità di accedere al portellone (seguire qualcuno) nelle strutture siano diminuite a causa del basso traffico pedonale, è ancora facile accedere a un edificio.

Gli uffici con personale scarso offrono inoltre a un utente malintenzionato più tempo per individuare punti di ingresso scarsamente protetti o sbloccati. Esistono numerosi strumenti prontamente disponibili che consentono a un utente malintenzionato con competenze minime di aggirare i meccanismi di blocco. Sebbene la maggior parte delle località disponga di sistemi di allarme in atto, spesso seguono una pianificazione prestabilita, qualcos’altro che un utente malintenzionato potrebbe tenere a mente. Ma un attaccante può anche bussare alla porta d’ingresso altrettanto facilmente.

bussare bussare

Nel bel mezzo della pandemia, ero in loco presso gli uffici di una catena di vendita al dettaglio, eseguendo la parte di revisione della sicurezza fisica di un lavoro di ingegneria sociale. Ho finto di essere un ispettore di estintori. Ho guardato la parte, con stivali con punta d’acciaio, blue jeans, un portablocco e una camicia da lavoro che avevo fatto fare su misura che corrispondeva al loro venditore.

Il luogo che ho visitato avrebbe in genere vicino a 100 persone durante la giornata lavorativa, ma a causa della pandemia, loro adottato una politica del lavoro da casa e probabilmente c’erano solo cinque persone quando ho visitato. Ho suonato il campanello alla porta d’ingresso diverse volte prima che un dipendente aprisse la porta.

Non ho nemmeno avuto la possibilità di dargli la mia storia di copertura prima che tornasse alla sua scrivania, situata vicino al retro dell’ufficio. Era più irritato per il fatto che il suo lavoro fosse stato interrotto che preoccupato di verificare un venditore che aveva fatto entrare nell’edificio. A volte è così facile!

Una volta dentro…

Una volta che un utente malintenzionato ha accesso a una posizione, ci sono molte opzioni. Potrebbero fare qualcosa di semplice come rubare apparecchiature che potrebbero contenere informazioni sensibili o fare qualcosa di più dannoso che potrebbe consentire l’accesso permanente alla rete.

Per un accesso permanente, potrebbero individuare una presa di rete attiva e collegare un dispositivo che richiama un IP controllato da un aggressore. L’attaccante potrebbe quindi utilizzare questo come punto d’appoggio all’interno della rete. Un utente malintenzionato potrebbe anche connettere un dispositivo wireless alla rete e, purché si trovasse a una distanza ragionevole, potrebbe semplicemente connettersi tramite Wi-Fi.

Questi sono solo due esempi di dispositivi utilizzati, ma esistono numerosi altri metodi. Un utente malintenzionato potrebbe semplicemente cancellare la password dell’amministratore locale se i dischi rigidi della workstation non sono crittografati. L’attaccante accederà quindi all’host per iniziare un attacco o caricherà un beacon che si riconnetterà al proprio server di comando e controllo (C2).

Questo può sembrare irrealistico, ma in alcuni degli impegni in cui sono stato, interi piani erano privi di dipendenti e sono stato in grado di lavorare a un ritmo relativamente calmo. Prima della pandemia, di solito ero frettoloso e dovevo individuare uno spazio di lavoro vuoto prima di poter iniziare.

A causa delle raccomandazioni sul distanziamento sociale, in genere ti viene dato un ampio spazio con poche persone in un luogo. Ciò offre anche a un utente malintenzionato più tempo per rovistare tra le scrivanie per trovare informazioni sensibili, come password o informazioni di identificazione personale (PII).

Cosa puoi fare per proteggere la tua posizione fisica, anche se non ci sei?

Recensioni sulla sicurezza fisica

Mentre molte aziende si sono riprese dal difficile compito di abilitare una forza lavoro remota in un lasso di tempo così breve, ora inizia il compito di colmare eventuali lacune di sicurezza scoperte durante la pandemia. Consiglio vivamente di condurre una revisione della sicurezza fisica.

Mentre potresti pensare di sapere quali sono le lacune, un altro paio di occhi potrebbe essere in grado di individuare ulteriori punti deboli. I risultati di un rapporto di un esperto esterno aiutano a convalidare le preoccupazioni attuali e le richieste di aiuto per affrontare queste carenze.

Più formazione dei dipendenti

I dipendenti potrebbero già avere familiarità con l’ingegneria sociale grazie alla formazione sul phishing. I dipendenti in genere non hanno familiarità con gli ingegneri sociali che possono presentarsi fisicamente sul posto. Le persone sono utili per natura e continueranno a essere un anello debole all’interno di un’organizzazione, quindi è imperativo che formazione regolare sulla sensibilizzazione alla sicurezza copre una vasta gamma di argomenti, compresi i rischi remoti e in loco.

Protezione della rete multilivello

La protezione della rete richiede diversi livelli per garantire che nulla scivoli. Il controllo dell’accesso alla rete dovrebbe essere in atto per identificare e avvisare quando un nuovo controllo dell’accesso ai media (MAC) indirizzo viene rilevato. Sebbene gli indirizzi MAC possano essere falsificati, ciò potrebbe catturare alcuni dispositivi dannosi. Dovrebbero essere eseguite anche scansioni regolari per individuare punti di accesso wireless non autorizzati. Anche se i punti di accesso wireless possono essere impostati per non trasmettere i loro identificatori di set di servizi (SSID), è ancora possibile intercettare le loro trasmissioni se si ascolta con gli strumenti corretti.

I dispositivi non autorizzati come i dispositivi USB sono più difficili da rilevare perché spesso si mascherano da dispositivi innocui, come una tastiera. La registrazione completa dei dispositivi USB può aiutare a rilevare questi dispositivi. Le azioni intraprese da questi dispositivi potrebbero anche essere rilevate dalla protezione degli endpoint. Fortunatamente per i difensori, la protezione degli endpoint è migliorata nel rilevare azioni dannose, ma gli aggressori motivati ​​di solito trovano un modo per aggirarla.

E per salvaguardare i dischi rigidi, la crittografia è altamente raccomandata. Se un computer viene rubato, è improbabile che un utente malintenzionato sia in grado di recuperare informazioni dal sistema. Ciò impedisce anche a un utente malintenzionato di cancellare semplicemente la password per un account di amministratore locale per accedere al sistema.

Mentre quanto sopra è solo una manciata di scenari che potrebbero verificarsi, è importante ricordare che la sicurezza riguarda la difesa in profondità. Piccoli accorgimenti per aumentare la tua posizione di sicurezza ripagheranno nel tempo e aiuteranno a evitare che la tua organizzazione sia oggetto del prossimo articolo di notizie su una violazione.

Kyle Gaertner è responsabile delle operazioni di sicurezza e conformità a Difesa Digitale, a HelpSystems azienda e leader in soluzioni di gestione delle vulnerabilità e valutazione delle minacce. Seguilo su LinkedIn.