Fyysinen penetraatiotestaus ehkäisee vakavia turvallisuusuhkia
Mikä on organisaatiosi turvallisuusjärjestelmien Akilleen kantapää?
Se voi olla vaikkapa kulkua kriittisiin tiloihin rajoittava lukitusjärjestelmä tai henkilöiden tunnistamiseksi hankittu kameravalvonta. Tai ehkä organisaatiossasi on haavoittuvuuksia, joita kukaan ei ole tullut edes ajatelleeksikaan?
Fyysisen penetraatiotestauksen avulla voit selvittää turvallisuutta valvovien järjestelmien heikkoudet ja estää ulkopuolisia ihmisiä pääsemästä organisaatiosi fyysisiin tiloihin. Tässä blogissa kerromme, mitä fyysinen penetraatiotestaaminen tarkoittaa ja kuinka se parantaa organisaatiosi kokonaisturvallisuutta.
Fyysinen penetraatiotestaus paljastaa kulunvalvonnan kriittiset haavoittuvuudet
Fyysisen penetraatiotestauksen tarkoitus on paljastaa organisaation fyysisien tilojen kulunvalvontaan ja -rajoittamiseen liittyvät kriittiset haavoittuvuudet ja siten muodostaa organisaation turvallisuustilanteesta realistinen kuva mahdollisen hyökkääjän näkökulmasta.
Testauksen piiriin kuuluvat niin turvallisuuslaitteisto kuin henkilöstökin. Laitteiston osalta haavoittuvuuksia kartoitetaan esimerkiksi erilaisten lukkojen, aitojen ja kameroiden sekä muiden turvakontrollien osalta. Henkilöstön valveutuneisuutta turvallisuusasioissa testataan puolestaan empiirisin keinoin: Onko toimistoon, varastoon tai muuhun ulkopuoliselta kiellettyyn tilaan mahdollista päästä yksinkertaisesti työntekijöitä seuraamalla? Miten työntekijät reagoivat, jos tuntematon henkilö pyytää päästä kulkulupaa edellyttävään kiinteistöön?
Testissä havaittujen puutteiden perusteella organisaatio voi täydentää fyysistä turvallisuutta suojaavia ratkaisujaan ja henkilöstön turvallisuustietämystä ja siten ehkäistä luvatonta tunkeutumista fyysisiin tiloihin. Näin arvokas tieto ja laitteet ovat paremmassa suojassa hakkeroinnilta ja muulta rikolliselta toiminnalta.
"Jopa turvallisella pilvialustalla oleva data on vaarassa, jos organisaation tiloihin tunkeutunut hyökkääjä onnistuu asentamaan pilvipalveluiden tunnuksien kaappaamista varten suunnitellun laitteen."
Luvaton pääsy organisaation fyysisiin tiloihin vaarantaa turvallisuuden monin tavoin
Varsinaisessa testauksessa tietoturva-alan asiantuntijaorganisaatio simuloi tilanteen, jossa hyökkääjä tunkeutuu asiakkaan tiloihin pyrkimyksenään päästä käsiksi sisäverkkoon tai muuhun kriittiseen ympäristöön tai toimintoon. Testaus itsessään toteutetaan siten, että se ei aiheuta todellista vaaratilannetta tai häiritse organisaation muuta toimintaa.
Asiantuntijan havaitsemat haavoittuvuudet ovat kultaakin kalliimpaa tietoa, sillä luvaton pääsy organisaation fyysisiin tiloihin vaarantaa kokonaisturvallisuuden monin tavoin:
- Onnistunut murtautuminen kohdeorganisaation sisäverkkoon avaa rikollisille mahdollisuuden hyödyntää sellaisia sisäverkkoon kytkettyjä laitteita, joiden päivitykset eivät ole ajan tasalla. Toisaalta päivitetytkään laitteet eivät ole täysin turvassa, sillä hyökkääjä voi hyödyntää esimerkiksi tulevia nollapäivityshaavoittuvuuksia asentamalla sisäverkkoon erillisen hyökkäyslaitteen.
- Järjestelmätiloihin murtautunut rikollinen voi asentaa kaapeleiksi tai adaptereiksi naamioituja etäyhteyspisteitä, jotka ovat todellisuudessa etäyhteydellä hallittavia tietokoneita.
- Mikäli rikollinen pääsee käsiksi organisaation työntekijöiden telakoihin, hän voi asentaa niihin esimerkiksi näppäimistön painalluksia tallentavan haittaohjelman (keylogger) tai työntekijän näytöllä olevaa dataa kaappaavan ja sitä verkkoon vuotavan laitteen. Näin rikollinen saa sekä varastettua työntekijän salasanat että pääsyn kaikkeen päivän aikana tietokoneen ruudulla näkyvään arvokkaaseen dataan.
Onnistunut fyysinen tunkeutuminen altistaa organisaation myös merkittäville taloudellisille vahingoille, sillä rikollinen voi pahimmillaan onnistua salaamaan kaiken paikallisen datan kiristyshaittaohjelman avulla ja vaatia merkittäviä lunnaita salauksen purkamisesta. Jopa turvallisella pilvialustalla oleva data on vaarassa, jos organisaation tiloihin tunkeutunut hyökkääjä onnistuu asentamaan pilvipalveluiden tunnuksien kaappaamista varten suunnitellun laitteen.
Tietoturva-alan asiantuntijaorganisaatio toteuttaa fyysisen penetraatiotestauksen turvallisesti
Penetraatiotestaukseen tarvitaan aina tietoturva-alan asiantuntijaorganisaatio, jolla on työhön tarvittavaa erityisosaamista ja -työkaluja sekä tietoturva-asiantuntijoista koostuva tiimi.
Ennen testauksen aloittamista palveluntarjoaja ja asiakas sopivat yhdessä hyökkäyksen rajapinnoista ja rajoituksista. Asiakkaan tarpeista riippuen testin voi rajata eri tavoin: saavutetaanko tarvittavat tulokset esimerkiksi sosiaalisen manipuloinnin kaltaisilla yksinkertaisilla keinoilla, vai onko tarpeen turvautua monimutkaisempiin menetelmiin, kuten kulkulätkien kloonaukseen tai kiinteistöautomaation järjestelmien hakkerointiin? Testauksen laajuuden määrittely on tärkeää, jotta se ei aiheuta tarpeetonta häiriötä organisaation muulle toiminnalle.
Tietoturva-alan asiantuntijan toteuttama fyysinen penetraatiotestaus tarjoaa kattavan kuvan organisaation fyysisen turvallisuuden nykytilasta. Varsinaisten turvallisuuspuutteiden havaitsemisen lisäksi testaus myös parantaa ymmärrystä työntekijöiden turvallisuuskoulutuksen tarpeista ja priorisoitavista kehityskohteista sekä antaa paremman valmiuden reagoida tuleviin häiriö- ja poikkeustilanteisiin.
Fyysisellä penetraatiotestauksella on siis kaikin puolin merkittävä positiivinen vaikutus organisaation kokonaisturvallisuuteen.
Täydennä organisaatiosi digitaalista kyberturvaa fyysisellä penetraatiotestauksella. Tutustu aiheeseen tarkemmin verkkosivuillamme ja ota yhteyttä tietoturva-alan asiantuntijaan!
Patrik työskentelee Innofactorin kyberturvallisuustiimissä MDRaaS-toiminnassa sekä Red Team -alueilla. Palveluiden kehitys on hänelle tuttua ja siten myös asiakkaiden tarpeiden tunnistaminen ja täyttäminen. Turvallinen ympäristö luodaan puolustavalla kyberturvalla ja varmistetaan hyökkäävällä kyberturvallisuudella.