物理渗透测试

目录 1819结论致谢4引言4物理渗透测试 4 / 测试方法5 / 社交工程学 6 / 物理/技术绕过 6 / 破坏性 vs. 非破坏性测试 7 / 高级持续性威胁8 / 物理渗透测试类型8 / 红队 8 / 黑盒 8 / 白盒 8 / 灰盒 8 / 尽职调查评估（演练）9 / 工具9 / 即兴工具10物理渗透测试方法论 10 / 合约前10 / 范围界定 11 / 成本 11 / 参与规则 11 / 授权12 / 使用OSINT和监视进行信息收集 13 / 探查 13 / 执行或利用 14 / 数据收集 15 / 报告15物理渗透测试的益处 15 / 合规性 16 / 人员安全 16 / 数据/资产保护16物理渗透测试的挑战17克服挑战的策略 摘要 这份白皮书全面概述了物理渗透测试，这是一种常被忽视却至关重要的网络安全组成部分。它探讨了物理渗透测试的定义，并强调了其与其他形式的渗透测试的区别。它通过探讨物理安全对公司的潜在优势，特别是那些处于受监管行业的公司，来强调物理安全的重要性，并解决了与其实施相关的挑战。此外，它还探讨了物理渗透测试人员在通过进入其受保护的建筑物来渗透组织的过程中所采用的方法论和工具。 引言 随着科技的快速发展，网络威胁日益复杂和精深，使得组织难以确保其敏感数据和关键资产的安全。这些恶意行为者或黑客的动机范围从政治“黑客行动主义”到获取经济利益或名声。为了领先于黑客，安全专业人士已采取对手的思维方式和策略。 然而，随着技术的进步，攻击者的方法也在不断发展。除了网络威胁之外，物理威胁也可以作为利用漏洞并获取系统及数据未授权访问的一种方式。 pro-vigil的年度研究调查揭示，28%的受访者指出2021年和2022年物理安全事件有所增加，较2020年仅有的20%的受访者有所上升。 根据威瑞森发布的2023年数据泄露调查报告（DBIR），“74%的数据泄露事件涉及人为因素，这包括社会工程攻击、错误或误用。”2 渗透测试，通常称为“pen testing”，是一种模拟网络攻击，旨在评估系统、网络或应用程序的安全性，以识别潜在风险。因此，渗透测试已成为组织识别其系统漏洞并增强其安全态势的重要工具。 物理渗透测试 物理渗透测试涉及模拟对组织场所（如建筑物、数据中心或服务器机房）的物理攻击。 可以通过各种方式实现，例如通过后门偷偷进入、伪装成授权人员以融入其中或利用分心。 这种测试评估为保护硬件、机密信息和人员等资产而实施的物理安全措施。 然而，物理安全咨询行业中的大多数专业人士都会同意，获得组织建筑物的物理访问比电影中看到的要容易得多。这就是为什么，在当今快速变化的威胁环境中，定期进行物理渗透测试对于维持强大的安全态势至关重要。 物理渗透测试旨在识别组织中物理安全控制的弱点，并模拟真实攻击者试图进入受限区域或获取信息的方式。此类测试可能包括使用社会工程技术（例如冒充员工）、未经授权尝试进入受限区域或盗窃公司资产。 测试方法 当比较物理渗透测试和网络渗透测试时，在范围和执行方面存在显著差异。网络渗透测试主要关注识别漏洞和弱点 物理渗透测试旨在识别组织物理安全控制中的弱点，并模拟真实攻击者试图进入受限区域或获取信息的做法。 1 Pro-Vigil，“2023年物理安全态势,”https://pro-vigil.com/resources/2023-security-survey-report/2 威瑞森，“2023数据泄露调查报告,”https://www.verizon.com/business/en-au/resources/reports/dbir/ 5 物理 渗透 测试：安全最被忽视的方面 通过社会工程测试，组织可以确定其员工意识培训的有效性，并确定需要更多关注的地方，以帮助预防未来的物理和网络安全事件。 在数字系统、网络和软件中。它涉及模拟网络攻击以评估一个组织数字基础设施的安全态势。 物理渗透测试存在以下测试方法： 社会工程学方法 这里有一些社会工程学方法，物理渗透测试人员可能会使用来获取建筑物内的访问权限： 社会工程学 社会工程学是指通过操纵他人，使其透露敏感信息或执行某种行为，从而让攻击者进入安全区域的行为。这可以通过各种策略来实现，例如向员工发送钓鱼邮件或语音诈骗电话，或者通过受控区域尾随员工。 •冒充—社会工程师可能冒充有权进入大楼的人，例如送货人员、IT技术人员或员工。他们可能会装扮成相应角色，表现出自信，以说服保安人员或其他员工让他们进来。 将社交工程技术的运用区分了物理渗透测试与其他形式的安全防护和渗透测试方法论。这种测试形式旨在评估物理基础设施和员工中存在的漏洞。 •尾随——这指的是未经出示凭证或获得适当授权，跟随授权人员进入安全区域的行为。社会工程师可能会表现得匆忙或声称有正当理由在那里。这可以表现为某人故意手忙脚乱，请求员工帮忙开门；反之亦然，主动帮开门，以便迅速获得员工的信任。 将社会工程学技术融入其中，将物理渗透测试与其他形式的安全防护和渗透测试方法区分开来。 •网络钓鱼或语音钓鱼——社会工程师可能向员工发送网络钓鱼电子邮件或进行网络钓鱼电话（语音钓鱼），冒充他人身份并索要敏感信息或密码。有了这些信息，社会工程师可能能够绕过安全措施并进入建筑物。 因此，这些攻击揭示了存在于外部（在物理世界中）和内部（在员工之间）的弱点。简单来说，计算机用二进制进行没有情感的沟通：1和0，是或否，开或关。然而，人类却基于情感来权衡决策。 •伪装——这涉及创建一个虚假场景以获取访问权限。例如，一名社会工程师可能伪装成IT部门成员联系一名员工，声称其电脑存在紧急问题，需要其立即到IT办公室处理。一旦员工到达，社会工程师或许就能获得大楼或大楼内敏感区域的访问权限。 昨天没得到晋升的员工今天会挑战走在他们后面通过读卡式旋转门的送货员吗？ 一个不知道风险的员工是否会尝试用可信的故事“帮忙”一个电话索要密码的不法分子？ 社会工程学攻击可以有多种形式，并且由于它们利用的是人类弱点而非技术漏洞，因此难以防御。 6 物理 渗透 测试：安全 最 被 忽视 的 方面 物理/技术旁路 然而，个人和组织必须保持警惕，防范社交工程带来的威胁，并采取措施保护自己免受这类攻击。 除了社会工程学，物理渗透测试还包括利用工具和技术绕过物理或技术安全措施。这种测试旨在发现可能被对手利用的锁、门禁控制系统和其他安全机制的漏洞。 这里有两个现实世界的社会工程示例: •记录在案的最重大的社会工程攻击之一涉及一个针对两家著名跨国公司的诈骗团伙。该团伙通过创建一个与实际与这些大公司有业务往来的电脑制造商同名冒牌公司，设计了一个复杂的计划。为执行他们的计划，诈骗者向Facebook和Google的特定员工发送了网络钓鱼邮件，邮件中提供了真实制造商实际提供的合法商品和服务的发票。然而，邮件狡猾地指示员工将资金存入诈骗者的虚假账户。在2013年至2015年的两年间，该团伙成功从这些著名科技公司诈骗了超过1亿美元。3 通过了解攻击者可能采用的方法来获取未经授权的访问权限，组织可以采取主动措施来降低这种风险。 一种常见的绕过物理安全措施的方法是开锁。通过这种方法，熟练的测试人员可以展示传统锁是如何容易被操控或绕过的，强调了需要更强大的锁具机制。另一种绕过技术是射频识别（RFID）克隆，测试人员通过克隆RFID卡或门禁卡来获得对受保区域的非法访问权限。 同样地，蓝牙黑客技术可以被用来利用蓝牙安全系统的漏洞，从而获得对受限区域的未授权访问权限。虽然提到的这些方法是物理渗透测试中较为常见的途径，但也有许多其他技术被设计用来模拟物理攻击。 •2022年2月，在俄罗斯与乌克兰紧张局势加剧之际，微软发布警告，称一个名为Gamaredon的俄罗斯黑客组织正开展一项新的鱼叉式网络钓鱼活动。4这起事件积极针对乌克兰政府机构和非政府组织。该组织被微软命名为Actinium，据报道自2021年以来一直专注于渗透对乌克兰应急响应和领土安全至关重要的组织。Gamaredon采用的攻击策略涉及嵌入恶意软件的鱼叉式网络钓鱼邮件。此外，这些邮件还包含一个跟踪像素，使网络犯罪分子能够监控邮件是否已被打开。这起事件是一个重要的提醒，突出了网络安全在国际冲突中的突出作用。它强调了所有组织加强安全措施、防范社会工程攻击的重要性。通过优先考虑网络安全，组织可以加固其防御机制，并减轻此类定向活动相关的潜在风险。5 破坏性测试与非破坏性测试 隐蔽式渗透是物理渗透测试社区中广泛接受的一种方法。在获取入口时，这些专业人士理解他们应该尽可能地非破坏性。 因此，所有入口方法，例如绕过大门和锁，都应在不造成任何损坏的情况下使用。 7 物理 渗透 测试：安全最被忽视的方面 测试人员有时会利用锁具机制中存在的固有漏洞。他们还可能利用建筑规范中的缺陷或物理安全措施的技术功能，通常试图尽可能隐蔽地行动。 物理渗透技术，例如社会工程学、秘密潜入和尾随，可以被APT行动者利用来绕过物理安全措施并获取对受限区域的物理访问权限。这些是旨在长时间保持未被检测的定向攻击。 本方法学的目标有两个： 例如，一个APT行动者可能伪装成员工或承包商，使用社会工程技术进入安全设施。一旦进入内部，他们可以植入恶意设备，破坏设备或进行侦察以收集有价值的信息以便进一步利用。 1.对组织造成最少的损害或无损害2.展示攻击者如何能够几乎不被检测地破坏该组织 然而，重要的是要认识到，这种非破坏性方法在提供全面安全测试方面存在局限性。 通过将物理战术融入其整体攻击策略中，APT行动者可以提高其成功的几率并规避检测。这突出了在组织整体安全态势中同时考虑物理和数字安全措施的重要性。 根据新闻周刊2022年12月的一篇报道指出，北卡罗来纳州摩尔县约3.5万人因遭到定向攻击而失去电力，嫌疑人通过射击变电站使系统瘫痪。报道还提到，在其他北卡罗来纳州、俄勒冈州和华盛顿地区也发生了类似的攻击，攻击者使用手工具、纵火、枪支和金属链，“应在网上号召攻击关键基础设施。”6 通过将物理战术融入其整体攻击策略，APT行动者可以提高其成功的机会并规避检测。 物理渗透测试人员努力像他们所保护的对立方一样思考，这意味着他们设想潜在的攻击者可能以不同的破坏方式来扰乱组织。例如，测试人员可以通过启动或关闭消防灭火系统中的水来模拟攻击。虽然这种方法可能给企业带来潜在的麻烦，但它允许测试人员在恶意行为者能够利用它们之前识别和解决漏洞。 已知有案例显示APT行为者将物理手段作为其攻击策略的一部分。一个显著的例子是2009年被发现（注：原文2010有误，根据公开资料Stuxnet是2010年发现，但2009年开始部署）的Stuxnet蠕虫，它被认为是由情报机构联合行动的结果，很可能包括美国和以色列。 震网病毒被设计用来针对伊朗的核计划，并专门针对用于铀浓缩的工业控制系统（ICS）。据信该蠕虫通过物理方式被引入纳坦兹核设施，可能通过感染过的USB驱动器或其他方式，然后在设施的网络上传播以破坏其运行。7 高级持续性威胁 高级持续性威胁（APT）可以利用物理手段突破一个组织的安防。虽然APT通常与针对网络和系统的复杂网络攻击相关联，但它们也可以采用物理策略来获得未经授权的访问权或破坏敏感信息。 这个例子展示了APT可以潜在地利用物理手段作为其攻击方法的一部分。它强调了整体的重要性 6 伊斯兰教法学家拉赫曼，K.；”多省变电站遭受物理攻击——报告,”新闻周刊, 2022年12月7日 ,https://www.newsweek.com/physical- attacks-power-substations-multiple-states-17652257 Malwarebytes，“什么是斯诺登?,”https://www.malwarebytes.com/stuxnet 8 物理渗透测试：安全中最被忽视的方面 红队通常独立于组织内部安全团队运作，从而