Hai creato una whitelist per software e hardware, hai impostato le policy del firewall e hai rivisto tutti i permessi utente. Ma hai chiuso la porta d’ingresso?

Le aziende dedicano enormi risorse alla cyber security – e a ragione, perché una singola violazione può avere effetti devastanti su tutto il business. In questa corsa verso la protezione digitale perfetta è facile dimenticare che esiste anche un lato fisico della sicurezza informatica.

Le valutazioni di social engineering fisico sono esercitazioni che verificano la capacità di un’azienda di difendersi dagli hacker che cercano di sfruttare i loro obiettivi all’interno delle sedi. Se condotte da un consulente esperto, le organizzazioni ottengono preziose informazioni su quanto siano realmente sicure.

Spesso considerata il tassello mancante del puzzle della cyber security, la valutazione di social engineering fisico sta diventando sempre più popolare negli Stati Uniti. Con solo pochi consulenti specializzati nel Regno Unito e in Irlanda, ecco perché tante aziende la vedono come il prossimo servizio indispensabile.

 

pentestcta-IT

 

Cos’è una valutazione di social engineering fisico?
Il social engineering fisico è una valutazione volta a determinare se un attaccante può ottenere accesso fisico ai locali di un’organizzazione nel tentativo di raggiungere informazioni sensibili e sistemi interni. Fornisce poi raccomandazioni su come proteggersi al meglio da questi tipi di attacchi, spesso trascurati dalle organizzazioni nella definizione di una strategia di cyber security.

Il social engineering fisico è un’area spesso trascurata della sicurezza informatica. Consiste nel testare la capacità di un’organizzazione di prevenire accessi fisici non autorizzati ai propri siti e sistemi. Una valutazione tipica può includere tentativi di entrare nei locali, ottenere accesso alla rete o installare dispositivi progettati per mantenere accessi remoti, osservando al contempo le pratiche quotidiane come le policy sulle scrivanie sgombre, le postazioni lasciate incustodite e i documenti riservati lasciati in vista.

Sebbene molte organizzazioni conducano regolarmente penetration test interni ed esterni, le valutazioni di sicurezza fisica sono molto meno comuni. Questo è spesso dovuto alla mancanza di specialisti con le competenze adeguate per eseguire valutazioni complete. In molti casi questi test sono svolti da consulenti con competenze principalmente nel campo tecnico della sicurezza delle informazioni piuttosto che nelle intrusioni fisiche. Di conseguenza, le organizzazioni possono sviluppare un falso senso di sicurezza, credendo che proteggere solo le reti sia sufficiente per mettere al sicuro i dati riservati.

Quando finalmente viene effettuata una valutazione di sicurezza fisica, i risultati possono essere illuminanti. Le aziende spesso scoprono con sorpresa quanto sia facile per qualcuno entrare in edifici considerati sicuri, installare un dispositivo nella rete aziendale o raccogliere informazioni sensibili scartate, senza essere scoperti per giorni o addirittura settimane. Queste rivelazioni spingono spesso le organizzazioni ad aggiungere la sicurezza fisica alla loro agenda di cyber security, introducendo valutazioni regolari e misure correttive per colmare le lacune.

Nell’attuale panorama delle minacce, la sicurezza fisica è davvero il tassello mancante del puzzle. Senza prenderla seriamente, le organizzazioni rischiano di lasciare la porta aperta – talvolta letteralmente – agli attaccanti. I gruppi criminali hanno riconosciuto questa debolezza e gli episodi di intrusioni fisiche come parte di attacchi informatici più ampi sono in costante aumento.

In che cosa una valutazione di social engineering fisico è diversa da una valutazione red team?

Il social engineering fisico assume comunemente due forme:

  1. Penetration testing – questo approccio si concentra esclusivamente sull’elemento fisico/individuale: può un hacker ottenere accesso fisico non rilevato alle reti interne e alle aree riservate di un’organizzazione?

  2. Red teaming – questo approccio esplora se il vettore di attacco fisico offre un percorso valido per raggiungere gli obiettivi dell’ingaggio: può un hacker ottenere accesso fisico non rilevato alle reti interne per fornire al red team accesso logico e proseguire l’ingaggio?

Perché è importante una valutazione di social engineering fisico?
I criminali informatici puntano al “frutto più basso” e, poiché nelle strategie di cyber security la sicurezza di rete è stata prioritaria rispetto a quella fisica, entrare in sede e accedere ai dati di un’organizzazione è diventato più facile che hackerare reti e applicazioni online.

La cyber security significa stare sempre un passo avanti alle potenziali minacce; le aziende devono sapere dove sono vulnerabili e quali minacce possono rappresentare un rischio concreto per i loro asset e la loro reputazione, così da poter mitigare i rischi o adeguare le difese. Poiché si presta poca attenzione a quanto possa essere inefficace la sicurezza fisica delle aziende, questa rimane un vettore di attacco praticabile per i criminali informatici.

Ti stai chiedendo come la tua azienda reagirebbe a una valutazione di social engineering fisico? Scoprilo contattando Integrity360 e organizzando subito una valutazione.

 

Contattaci