Security Manager - ΤΕΥΧΟΣ 82

smartpress
  • No tags were found...

Περιοδικό για την ασφάλεια.

management.Analysis

Οι εισβολείς προτιμούν να διαπράξουν μια υβριδική εισβολή

μικτού τύπου, δηλαδή εισβολή τόσο κάνοντας χρήση των α-

δυναμιών ασφάλειας της ψηφιακής υποδομής όσο και μέσω

του φυσικού χώρου. Για παράδειγμα, αντί να προσπαθήσει

να διεισδύσει μέσω ενός φράκτη ή μιας πύλης, ένας εισβολέας

μπορεί να αναλάβει μια σειρά από δράσεις που είναι

εξίσου αποτελεσματικές, όπως:

••

Εξουδετέρωση του συστήματος συναγερμών & ειδοποιήσεων

- μπλοκάρισμα ή κορεσμός συναγερμών από τον

έξυπνο φράκτη

••

Δημιουργία ψευδών αντιλήψεων - πάγωμα των εικόνων

που καταγράφονται από ψηφιακά καταγραφικά (IP

cameras & videos) ή εκπομπή ήδη καταγεγραμμένων

λήψεων στις οθόνες των φρουρών

••

Δημιουργία πλαστών ταυτοτήτων - αναπαραγωγή κάρτας

φυσικής πρόσβασης

••

Μη εξουσιοδοτημένη πρόσβαση σε λειτουργικά συστήματα

μέσω hacking - δημιουργώντας άμεση διακοπή ή

ζημιά στη παροχή ηλεκτρισμού, στους ανελκυστήρες,

στους συναγερμούς πυρκαγιάς, ακόμη και να βλάψει τα

συστήματα παραγωγής

Πώς μπορούν οι φυσικές επιθέσεις να εξουδετερώσουν

την ασφάλεια στον ψηφιακό χώρο καθώς και τους ψηφιακές

δικλείδες ασφάλειας;

Μόλις ένας εισβολέας αποκτήσει φυσική πρόσβαση στο ε-

σωτερικό ενός οργανισμού μπορεί να πλήξει τη ψηφιακή υ-

ποδομή. Ακολουθούν ορισμένα συνηθισμένα παραδείγματα

για το πώς οι φορείς φυσικής απειλής μπορούν να θέσουν σε

κίνδυνο την ψηφιακή ασφάλεια:

••

Ένας μολυσμένος δίσκος USB τοποθετείται σε ένα εταιρικό

πάρκινγκ, χώρο υποδοχής κ.λπ., τον οποίο ένας υπάλληλος

τον μαζεύει και τον φορτώνει στο εταιρικό δίκτυο

••

Ένας εισβολέας εισέρχεται σε ένα υπολογιστικό κέντρο

και εγκαθιστά συσκευές υποκλοπής δεδομένων

••

Η γραμμή σύνδεσης στο διαδίκτυο είναι προσβάσιμη

από το εξωτερικό μέρος του κτιρίου, επιτρέποντας σε

κάποιον να υποκλέψει δεδομένα ή να κόψει εντελώς τη

γραμμή

••

Ένας εισβολέας προσποιείται ότι είναι ένας υπάλληλος

και εκμεταλλεύεται την ευγένεια ενός πραγματικού εργαζομένου

να κρατήσει την πόρτα γι 'αυτόν καθώς εισέρχονται

μαζί στο κτίριο

••

Ένας εσωτερικός χρήστης κοιτάζει πάνω από τον ώμο

ενός μηχανικού συστήματος καθώς πληκτρολογεί τους

κωδικοί πρόσβασης σε ένα σύστημα

Ένας επιτιθέμενος δεν χρειάζεται καν να διεισδύσει στο μέρος

όπου βρίσκονται οι διακομιστές ενός οργανισμού για να

προκαλέσει εκτεταμένες ζημιές. Εάν για παράδειγμα μπορεί

να εισχωρήσει στο κτίριο και να αποκτήσει πρόσβαση σε

έναν Η/Υ που ανήκει στο τμήμα Ανθρώπινου Δυναμικού,

θα μπορεί να έχει πρόσβαση σε αρχεία προσωπικού και να

αντιγράψει αρχεία υπαλλήλων που περιέχουν ευαίσθητες &

προσωπικές πληροφορίες. Παρόλο που όλοι οι Η/Υ μπορεί

να έχουν εγκατεστημένες ψηφιακές δικλείδες ασφάλειας, μια

αδυναμία φυσικής ασφάλειας μπορεί να επιτρέψει σε έναν

εισβολέα να τις παρακάμψει.

Πώς οι αδυναμίες της ψηφιακής ασφάλειας συνηγορούν/βοηθούν

στις φυσικές επιθέσεις;

Έχοντας στόχο την απόκτηση φυσικής πρόσβασης σε συστήματα

που περιέχουν εμπιστευτικά δεδομένα, ο εισβολέας

μπορεί να εισέλθει φυσικά στον χώρο που τον ενδιαφέρει,

τροποποιώντας ή απενεργοποιώντας τις δικλείδες φυσικής

ασφάλειας, μέσω των ψηφιακών ευπαθειών ασφάλειας. Αυτός

ο τύπος ψηφιακής επίθεσης είναι ιδιαίτερα επικίνδυνος

σε περιβάλλοντα βιομηχανιών και εργοστασίων.

Τα παρακάτω αποτελούν παραδείγματα για το πώς οι ευπάθειες

ασφάλειας στον ψηφιακό κόσμο μπορούν να α-

ποδυναμώσουν μια φυσική άμυνα και έχουν πραγματικές

επιπτώσεις:

••

Ο επιτιθέμενος απενεργοποιεί τις συνδεδεμένες με το δίκτυο

(ή το διαδίκτυο) κάμερες ασφαλείας, επιτρέποντας

να μην εντοπιστεί κάποια φυσική μη εξουσιοδοτημένη

πρόσβαση στο χώρο, επίσης θα μπορούσε να διαγράψει

τα βίντεο κάποιου τέτοιου συμβάντος

••

Μη εξουσιοδοτημένη πρόσβαση στο σύστημα διαχείρισης

της φυσικής πρόσβασης, επιτρέποντας σε έναν

εισβολέα να παραχωρήσει ή να καταργήσει σε κάποιον

τη φυσική πρόσβαση στο κτίριο

••

Διακοπή λειτουργίας ή μη εξουσιοδοτημένη πρόσβαση

σε συστήματα παραγωγής που συνδέονται με το δίκτυο,

μπορεί να προκαλέσει απώλεια παραγωγικότητας ή συμβάν

φυσικής ασφάλειας

••

Χρήση κακόβουλου λογισμικού τύπου malware που

20 . security manager

More magazines by this user
Similar magazines