Svar: Det finns stora risker förknippat med "social engineering" vad gäller åtkomst till en it-miljö.
Vi har stor erfarenhet av uppdrag där ett delmoment är att
testa ett företags skalskydd genom att med olika metoder promenera in på företag/organisationer och logga in på en dator, alternativt ansluta till ett nätverksuttag på företagets interna nätverk.
Som jag ser det är det företagens interna säkerhet som gör att riskerna är så stora.
I så gott som samtliga it-miljöer som vi säkerhetsgranskat
och/eller penetrationstestat har det inte varit några större problem att ta över hela it-miljön efter att vi har tagit oss förbi skal-
skyddet.
Det är vanligt att företag har kompetenta brand-väggar och tekniska lösningar för att försvåra intrång från internet, men när man väl är på insidan är det många gånger skrämmande hur dålig säkerheten brukar vara.
För en tid sedan lyckades en kollega till mig övertala personalen på ett företag vi testade att inte bara släppa in honom i lokalerna, utan dessutom fick han dem att demonstrera betalningsrutinerna för hur de gjorde betalningar över internet med koder och allt.
Han fick tillräckligt mycket detaljer för att göra utbetalningar på miljon-belopp från företagets konton.
Detta trots att de egentligen inte hade någon aning om vem han var.
Det vanligaste sättet vi använder för att ta oss in är oftast att följa tätt efter ordinarie personal när dom går in i lokalerna.
För att slippa bli konfronterad brukar det vara en bra idé att samtidigt prata i mobiltelefon.
Skulle inte det fungera så finns det massor av andra metoder som brukar fungera.
En vanlig uppfatting är att den som tar sig in på detta sätt tvingas uppbehålla sig i lokalerna under en längre tid och därmed ta en stor risk för att kunna attackera it-miljön.
Det må ha varit så förr i tiden men i dag kopplar man helt enkelt in en liten trådlös accesspunkt på det interna nätverket och lämnar lokalerna omedelbart för att sedan kunna sitta utanför och genom-föra attackerna i lugn och ro.
I vissa miljöer som vi testar har man gjort stora investeringar i passersystem med idkort, väktare, koder, med mera.
Då brukar jag bli extra förvånad när vi ser att man kan kompromettera hela lösningen genom att bara promenera bakom en vanlig anställd.
Det gör ju investeringen helt verkningslös!
Faktumet att ni på ert jobb haft utbildning runt detta visar att ni har en insikt och en mognad.
Jag tror att utbilding av personalen är den absolut bästa metoden för att minska risken med social engineering.
Marcus Murray på Truesec är en av Sveriges främsta säkerhetskonsulter. Han driver sajten www.itproffs.se. Mejla dina frågor om it-säkerhet till honom på sakerhetsexperten@idg.se
Vi har stor erfarenhet av uppdrag där ett delmoment är att
testa ett företags skalskydd genom att med olika metoder promenera in på företag/organisationer och logga in på en dator, alternativt ansluta till ett nätverksuttag på företagets interna nätverk.
Som jag ser det är det företagens interna säkerhet som gör att riskerna är så stora.
I så gott som samtliga it-miljöer som vi säkerhetsgranskat
och/eller penetrationstestat har det inte varit några större problem att ta över hela it-miljön efter att vi har tagit oss förbi skal-
skyddet.
Det är vanligt att företag har kompetenta brand-väggar och tekniska lösningar för att försvåra intrång från internet, men när man väl är på insidan är det många gånger skrämmande hur dålig säkerheten brukar vara.
För en tid sedan lyckades en kollega till mig övertala personalen på ett företag vi testade att inte bara släppa in honom i lokalerna, utan dessutom fick han dem att demonstrera betalningsrutinerna för hur de gjorde betalningar över internet med koder och allt.
Han fick tillräckligt mycket detaljer för att göra utbetalningar på miljon-belopp från företagets konton.
Detta trots att de egentligen inte hade någon aning om vem han var.
Det vanligaste sättet vi använder för att ta oss in är oftast att följa tätt efter ordinarie personal när dom går in i lokalerna.
För att slippa bli konfronterad brukar det vara en bra idé att samtidigt prata i mobiltelefon.
Skulle inte det fungera så finns det massor av andra metoder som brukar fungera.
En vanlig uppfatting är att den som tar sig in på detta sätt tvingas uppbehålla sig i lokalerna under en längre tid och därmed ta en stor risk för att kunna attackera it-miljön.
Det må ha varit så förr i tiden men i dag kopplar man helt enkelt in en liten trådlös accesspunkt på det interna nätverket och lämnar lokalerna omedelbart för att sedan kunna sitta utanför och genom-föra attackerna i lugn och ro.
I vissa miljöer som vi testar har man gjort stora investeringar i passersystem med idkort, väktare, koder, med mera.
Då brukar jag bli extra förvånad när vi ser att man kan kompromettera hela lösningen genom att bara promenera bakom en vanlig anställd.
Det gör ju investeringen helt verkningslös!
Faktumet att ni på ert jobb haft utbildning runt detta visar att ni har en insikt och en mognad.
Jag tror att utbilding av personalen är den absolut bästa metoden för att minska risken med social engineering.
Marcus Murray på Truesec är en av Sveriges främsta säkerhetskonsulter. Han driver sajten www.itproffs.se. Mejla dina frågor om it-säkerhet till honom på sakerhetsexperten@idg.se
(
Den här artikeln har null kommentarer:
