Du har skapat en vitlista för programvara och hårdvara, ställt in dina brandväggspolicys och granskat alla användarbehörigheter. Men har du låst ytterdörren?

Företag lägger enorma resurser på cybersäkerhet – och med rätta, eftersom ett enda intrång kan få förödande konsekvenser för verksamheten från topp till botten. I jakten på perfekt digitalt skydd är det lätt att glömma att det också finns en fysisk sida av cybersäkerheten.

Bedömningar av fysisk social engineering är övningar som testar ett företags förmåga att försvara sig mot angripare som försöker utnyttja mål på plats. När de utförs av en erfaren konsult får organisationer värdefull kunskap om hur säkra de egentligen är.

Ofta betraktad som den saknade pusselbiten i cybersäkerhet har bedömningen av fysisk social engineering blivit alltmer populär i USA. Med endast ett fåtal specialiserade konsulter i Storbritannien och Irland ser många företag det som nästa självklara tjänst.

Vad är en bedömning av fysisk social engineering?

Fysisk social engineering är en bedömning som fastställer om en angripare kan få fysisk åtkomst till en organisations lokaler för att komma åt känslig information och interna system. Den ger sedan rekommendationer om hur man bäst skyddar sig mot dessa typer av attacker, som ofta förbises när man utformar en cybersäkerhetsstrategi.

Fysisk social engineering är ett ofta förbisett område inom cybersäkerhet. Det handlar om att testa en organisations förmåga att förhindra obehörig fysisk åtkomst till sina anläggningar och system. En typisk bedömning kan inkludera försök att ta sig in i lokaler, få åtkomst till nätverket eller placera ut enheter avsedda för fjärråtkomst – samtidigt som man observerar vardagsrutiner som policyer för rena skrivbord, obevakade arbetsstationer eller känsliga dokument som lämnas framme.

Även om många organisationer regelbundet genomför interna och externa penetrationstester är bedömningar av fysisk säkerhet mycket mindre vanliga. Detta beror ofta på en brist på specialister med rätt kompetens för att utföra heltäckande utvärderingar. I många fall utförs dessa tester av konsulter vars expertis främst ligger inom teknisk informationssäkerhet snarare än fysisk intrångstestning. Som ett resultat kan organisationer utveckla en falsk känsla av säkerhet och tro att det räcker att skydda sina nätverk för att säkra konfidentiell data.

När en fysisk säkerhetsbedömning väl genomförs kan resultaten vara en ögonöppnare. Företag blir ofta förvånade över hur lätt någon skulle kunna ta sig in i lokaler som anses säkra, installera en enhet i företagsnätverket eller samla in bortkastad känslig information utan att upptäckas på dagar eller till och med veckor. Dessa insikter leder ofta till att organisationer lägger till fysisk säkerhet på sin cybersäkerhetsagenda, inför regelbundna bedömningar och åtgärder för att täppa till luckorna.

I dagens hotlandskap är fysisk cybersäkerhet verkligen den saknade pusselbiten. Utan att ta den på allvar riskerar organisationer att lämna dörren öppen – ibland bokstavligen – för angripare. Kriminella grupper har också uppmärksammat denna svaghet och incidenter med fysisk intrång som en del av större cyberattacker ökar stadigt.

Hur skiljer sig en bedömning av fysisk social engineering från en red team-bedömning?

Fysisk social engineering tar vanligtvis två former:

1. Penetrationstestning – detta tillvägagångssätt fokuserar enbart på den fysiska/sociala aspekten: kan en angripare få oupptäckt fysisk åtkomst till en organisations interna nätverk och skyddade områden?

2. Red teaming – detta tillvägagångssätt undersöker om den fysiska attackvektorn erbjuder en väg för att nå uppdragets mål: kan en angripare få oupptäckt fysisk åtkomst till en organisations interna nätverk för att ge red teamet logisk åtkomst och driva uppdraget vidare?

Varför är det viktigt med en bedömning av fysisk social engineering?

Cyberbrottslingar går efter det lättaste bytet och eftersom nätverkssäkerhet har prioriterats framför fysisk säkerhet i cybersäkerhetsstrategier har det blivit enklare att ta sig in på plats och få tillgång till data än att hacka nätverk och applikationer online.

Cybersäkerhet handlar om att ligga steget före potentiella hot; företag behöver veta var de är sårbara och vilka hot som kan utgöra en konkret risk för deras tillgångar och rykte, så att de kan mildra riskerna eller justera sina försvar därefter. Eftersom det ägnas så lite uppmärksamhet åt hur potentiellt ineffektiv företagens fysiska säkerhet kan vara, fortsätter den att vara en gångbar attackvektor för cyberbrottslingar.

Undrar du hur ditt företag skulle klara sig i en bedömning av fysisk social engineering? Ta reda på det genom att kontakta Integrity360 och boka en bedömning redan idag.