Quando una società richiede di testare la sicurezza fisica, quali sono alcune tecniche che si potrebbero usare per ottenere l'accesso?

Question

Quando una società richiede di testare la sicurezza fisica, quali sono alcune tecniche che si potrebbero usare per ottenere l'accesso?

#1 da (6 voti)

3

Quando una società richiede di testare la sicurezza fisica / dell'infrastruttura, quali sono alcune tecniche che si potrebbero usare per testare i dipendenti?

Ciò potrebbe includere buone scuse per accedere ad alcuni hardware / software.

physical social-engineering

posta Lucas Kauffman 15.08.2012 - 22:48

fonte

1 risposta

Leggi altre domande sui tag physical social-engineering

Ftp ha costantemente chiesto un file .exe, cosa posso fare? PCI-DSS e conservazione del sale

score 6 · Accepted Answer

L'arte dell'ingegneria sociale è costruita attorno alla fiducia, quindi prima devi pianificare come guadagnare la fiducia del bersaglio. Questo è diverso in ogni organizzazione, quindi sfortunatamente nessuno può davvero dirti cosa dovresti fare, ma conoscere alcune storie di guerra può aiutarti a ispirarti. Raccomando il libro " The Art Of Deception " di Kevin Mitnick come una brillante fonte di storie di guerra.

Alcune tattiche di social engineering comuni a me personalmente piacciono:

Lasciare cadere le chiavette USB di fronte alla lobby per provare e attirare un dipendente di usarli internamente.
Creare falsi ticket di parcheggio e incollarli su una finestra di dipendenti con un URL per "visualizzare ulteriori informazioni sul reato".
Solo chiedendo - sarai sorpreso quante volte solo chiedendo la persona giusta per le informazioni funzionerà.

Riguardo alla sicurezza fisica, ancora una volta è difficile sapere che cosa funzionerà meglio senza prima avere informazioni sul bersaglio, a volte è possibile camminare fino al rack e iniziare a collegare i cavi, altre volte ci vuole più pianificazione per spiegare perché devi accedere a una stanza del server.

Una cosa che dovresti fare quando pianifichi il tuo test di sicurezza fisica è la ricerca sull'ambiente, conosci qualcuno in azienda? Sarai probabilmente identificato da chiunque come un tester di penetrazione? C'è un servizio di sicurezza tra te e la sala server? Quanti dipendenti lavorano nell'edificio? Sarai probabilmente avvistato se ti siedi accanto a un dipendente che non hai mai incontrato? Questi tipi di domande dovrebbero essere considerati prima di entrare nell'edificio.

Infine, sii sempre fiducioso in quello che stai facendo, non c'è niente di più di una sorpresa che qualcuno che inciampi sulle proprie parole quando viene interrogato su quello che stanno facendo. Ricorda che ottieni solo 1 colpo, quindi essere in grado di pensare in piedi sarà un grande vantaggio.