Посмотрел выпуск "Полный ИБец" и вспомнилось, что у меня был небольшой, но тоже опыт почти физического пентеста. Я вёл проект по внедрению МСЭ и проводил обследование сетевой инфраструктуры на объектах одной из крупнейших нефтегазовых компаний.
Для этого нужно было обследовать типовую АЗС ⛽️, а коллеги из ИБ со стороны заказчика решили совместить мои и свои задачи - «Тебя никто здесь не знает, уверенно проходи через стойку администратора, за ней дверь, там компьютер и сервер. Главное иди уверенно, проверим реакцию». Так я сделал, уверенным шагом прошёл мимо охранника, администратора и под видом системного администратора сел за компьютер, чтобы обслуживать. Как я это пояснял и что говорил сотрудникам АЗС, сейчас не помню, но факт в том, что за компьютером оказался, а за мной вошли сотрудники ИБ заказчика с вопросом: «Кого и на каких основаниях вы пропустили? Берите листочки и пишите объяснительную».
Ещё пару лет назад был запрос от заказчика провести физический пентест как часть комплексной услуги – скопировать пропуск, пройти через охрану в гостевую зону и попробовать проникнуть в сеть. Проработка такого кейса вызвала множество вопросов, и один из основных, волнующих меня как руководителя – это безопасность сотрудника. Видимо для подобной услуги действительно нужно нанимать бывших разведчиков.
С тех пор, отвечая на вопрос об услуге пентеста, я вношу оговорку о том, что мы не делаем – физическое проникновение и физическая социалка. Это включает уговаривание конкретного человека с встречей в оффлайне и в целом даже онлайн целевая социалка на конкретного сотрудника вызывает у меня этические вопросы.
🎤В интервью же приведены отличные примеры подобных пентестов. В том числе иллюстрируется связь между физической безопасностью и информационной – для достижения цели методы комбинируются. Чтобы проникнуть на объект, можно взломать сеть и открыть шлагбаум. Чтобы скопировать данные из ИТ-системы, можно взломать СКУД и физически дойти до серверной. Хотя обеспечение физической защиты серверных является доменом как стандартов по ИБ, так и требований регуляторов.
В целом я вижу новый тренд 📈 За последние годы ИБ из наложенного средства превратилась в неотъемлемую часть ИТ. Отделы ИБ и ИТ объединяются при выполнении задач бизнеса, и порой уже сложно отличить на уровне какой команды внедряется мера ИБ в компании. Все решения принимаются с учётом мнений обеих сторон.
Предполагаю, что то же самое произойдет и с кибер- и физической безопасностью. Учитывая всеобщее признание влияния кибербезопасности на реализацию недопустимых событий, связанных с реальным миром и критическими процессами, у физической (ТСБ) безопасности и кибербезопасности теперь одинаковые цели. А значит, нам придётся найти общий язык и объединиться для решения задач бизнеса.
🎬 Рекомендую посмотреть интервью. Слушается легко и с интересом благодаря историям, связанным с реальным и понятным всем физическим миром, а не стандартами, процессами, техниками атак и другими терминами из ИБ.
#киберфизическаябезопасность