Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


15.07.2022

Nowa wersja BDRSuite

Vembu Technologies, dostawca oprogramowania do ochrony danych w środowiskach fizycznych,...
15.07.2022

Zarządzanie końcówkami

baramundi software opublikowało nową wersję narzędzia do ujednoliconego zarządzania...
15.07.2022

Cyberzwiadowca

FortiRecon to kompleksowe narzędzie do ochrony przed cyfrowym ryzykiem (Digital Risk...
15.07.2022

Kontrola audiowizualna

Optoma wprowadziła oprogramowanie zintegrowane z chmurową platformą Microsoft Azure do...
15.07.2022

Chmura bezpieczeństwa

Cisco przedstawiło plan stworzenia Security Cloud – globalnej, zintegrowanej, opartej na...
15.07.2022

Nowy laptop do pracy zdalnej

Wielozadaniowość pracy hybrydowej to idea, która była inspiracją dla inżynierów Della...
15.07.2022

Monitoring bez zakłóceń

Firma Axis Communications proponuje nową serię kamer wyposażonych w najnowsze technologie...
15.07.2022

Na poziomie petabajtów

Dostępny jest nowy model HD6500 firmy Synology, pierwszy z serii HD zaprojektowany z...
15.07.2022

Procesory na rynku...

irma AMD ogłosiła, że procesory Threadripper PRO 5000 WX w lipcu br. będą oferowane przez...

Zagrożenia związane z dostępem do pomieszczeń technicznych

Data publikacji: 14-07-2022 Autor: Krzysztof Kęsicki

Podczas włamywania się zdalnie cyberprzestępca musi złamać zabezpieczenia komputerowe. Dostęp do systemu czy maszyny można jednak uzyskać, forsując prawdziwe drzwi i systemy zabezpieczeń. Co jest łatwiejsze? Wszystko zależy od tego, czy dbamy o zabezpieczanie obu ścieżek dostępu.

 

W terminologii bezpieczeństwa IT dostęp fizyczny to nic innego jak zdolność człowieka do fizycznego dostępu do systemu komputerowego. Nawet nieautoryzowany dostęp do biura może dla wprawnego napastnika być przyczółkiem do uzyskania dostępu do głównych systemów i sieci całej organizacji. Dlatego tak fundamentalnym terminem w dziedzinie bezpieczeństwa jest „świadomość”, czyli zrozumienie tego, na jakie niebezpieczeństwa jest narażona organizacja podczas standardowej pracy operacyjnej. Jak wynika z raportu Genetec Inc. („State of Physical Security 2021”), najwięcej uwagi poświęcono w poprzednim roku rozwojowi zarządzania odwiedzającymi, możliwościami zdalnego nadzoru oraz detekcji włamań.


> Kluczowe pomieszczenia


Z punktu widzenia potencjalnego włamywacza najbardziej pożądany jest dostęp do serwerowni głównej. Tutaj znajduje się serce systemów, czyli serwery przetwarzające terabajty newralgicznych danych, mających istotny wpływ na działalność biznesu.


Ale staranne zabezpieczenie serwerowni to nie koniec pracy. Wszystko tak naprawdę zależy od intencji przestępcy i jego ostatecznego celu. Możliwe, że chce np. tylko czasowo zakłócić działanie systemów lub spowodować ich chwilowe unieruchomienie. Wtedy może się okazać, że celem ataku będzie chociażby pomieszczenie operatorskie, gdzie zbiegają się wszystkie łącza światłowodowe i skąd mamy tzw. wyjście na świat.


Kolejnymi celami ataków włamywaczy mogą stać się pomieszczenia stricte techniczne z punktu widzenia infrastruktury krytycznej, tj. UPS-ownia, pomieszczenie agregatu, pomieszczenie budynkowego systemu zarządzania (Building Management System, BMS) czy zwykły cross room rozprowadzający sieć komputerową po biurach. Jak już wspomniano na początku, nawet nieautoryzowany dostęp do biura może stać się początkiem poważnych kłopotów. Należy mieć tego świadomość i czuwać nad zabezpieczeniem nawet niepozornych pomieszczeń technicznych. Pamiętajmy, że w obecnych czasach mamy bardzo rozwinięty monitoring i nawet do UPS-a zawsze będzie prowadził jakiś kabel logiczny wpięty do naszej sieci komputerowej. A to już daje szansę chociażby na podsłuch przesyłanych danych.


> Rodzaje zagrożeń


Dostęp fizyczny otwiera cały wachlarz działań, jakich może się podjąć potencjalny cyberprzestępca. Wśród ekspertów od bezpieczeństwa IT istnieje jednomyślne przekonanie, że nawet najlepsze narzędzia do zabezpieczenia sieci komputerowej mogą okazać się bezużyteczne, jeśli zaniedbamy bezpieczeństwo fizyczne.


Po pierwsze, intruz może wejść do serwerowni i wynieść po prostu nasz serwer, dysk twardy czy inny nośnik z newralgicznymi danymi. Potem, w zaciszu własnego domu, złamać hasło i otrzymać dostęp do danych naszej firmy. Utrata nawet niewielkiej ilości danych powoduje duże straty, począwszy od finansowych (kary, odszkodowania, przestoje, utrata przychodów, koszty odtworzenia procesów) po wizerunkowe (utrata reputacji, komentarze w mediach, spadek wartości marki oraz morale pracowników).


Przeciętne zabezpieczenia dostępu fizycznego mogą stać się również okazją do instalacji sprzętowych keyloggerów. Cracker może np. uruchomić dany serwer z płyty CD, a następnie odczytać niezaszyfrowane dane z dysków twardych. Może również wykorzystać brak kontroli boot loadera, np. przez wciśnięcie klawisza F8 podczas uruchamiania niektórych systemów MS Windows.


Intruz potrafi też zainstalować urządzenia podsłuchujące chociażby ruch w sieci i przekazujące dane na zewnątrz. Takie urządzenia mogą być wpięte bezpośrednio do naszej sieci i być trudno namierzalne w gąszczu różnych kabli, sprzętu i sensorów. Ich wykrycie w samej sieci logicznej też może być nie lada wyzwaniem.


Kolejnym zagrożeniem jest wykorzystanie urządzenia, które mogłoby się dostać do nierzetelnie zabezpieczonej sieci Wi-Fi. W niektórych przypadkach, gdy sygnał Wi-Fi jest wystarczająco silny, nie trzeba nawet wchodzić do strefy zabezpieczonej, aby móc spokojnie być w zasięgu sygnału i spróbować złamać nasze zabezpieczenia.


Czasami dochodzi do bardziej banalnych pomysłów ze strony włamywaczy, które są jednak równie groźne dla naszej infrastruktury. Włamywacze mogą np. chcieć ukraść wartościowe części instalacji elektrycznej (kable) lub instalacji chłodniczej (miedziane części rurociągu) – czy to w celach zarobkowych, czy w ramach działań sabotażowych. W zależności od tego, jaka część instalacji ulegnie uszkodzeniu, będziemy odczuwać mniej lub bardziej takie działania. Co może się wydarzyć? Chociażby kradzież zewnętrznych części instalacji freonowej, która spowoduje unieruchomienie systemu chłodzenia. Skutki takiego działania mogą być katastrofalne dla całego pionu IT.


Najbardziej skrajnym, ale też najmniej prawdopodobnym zagrożeniem jest napad z bronią w ręku. Na przestrzeni ostatnich kilkunastu lat zdarzały się ataki, w których brak ochrony budynku stał się przyczyną sterroryzowania pracowników DC przy użyciu broni, dostania się przy ich pomocy do komory serwerowni i kradzieży wartościowego sprzętu. Oczywiście można się również spodziewać, że osoba, która jest wyposażona w broń, może dokonać ataku terrorystycznego. Nigdy nie da się wykluczyć takiego scenariusza. Bezpieczeństwo fizyczne powinno właśnie polegać na analizowaniu wszelkich możliwych scenariuszy zagrożeń i dokładaniu starań, aby jak najlepiej się na nie przygotować.


> Braki w zabezpieczeniach


Spróbujmy teraz przeanalizować kilka potencjalnie słabych punktów systemów bezpieczeństwa fizycznego. Zacznijmy od błędu popełnianego często przez samych pracowników IT, którzy udostępniają pomieszczenia techniczne osobom z zewnątrz bez ich wcześniejszej autoryzacji. Taka sytuacja może się zdarzyć np. podczas przeglądu infrastruktury krytycznej. Przyjeżdża ekipa serwisowa, z którą mamy podpisany kontrakt, ale jeden z jej członków jest nowy i nigdy nie był w naszym obiekcie. Nie ma swojej karty dostępowej albo o niej zapomniał. Pracownik IT, który często asystuje przy różnego rodzaju pracach w serwerowni, może wtedy ulec presji czasu lub zapewnieniom, że autoryzacja zaraz będzie przesłana mailowo, i udostępnić pomieszczenia nieznanej osobie. Dochodzi wtedy najczęściej do łamania zasad bezpieczeństwa IT w dwojaki sposób: poprzez tzw. piggybacking (świadome użycie karty dostępowej pracownika do wpuszczenia do strefy chronionej innych, nieautoryzowanych osób) lub bardzo zbliżony tailgating (wejście do strefy chronionej osoby nieautoryzowanej za plecami innego pracownika; może być to wejście niezauważone).


Intruz stosujący piggybacking ma kilka metod działania. Bywa, że potajemnie podąża za osobą upoważnioną do wejścia do lokalizacji i sprawia wrażenie, że jest legalnie eskortowany. Może dołączyć do większej grupy osób upoważnionych do wejścia i udawać członka grupy, który w sporej mierze jest niekontrolowany. Nieproszony gość może w końcu znaleźć upoważnioną osobę, która albo zlekceważy zasady bezpieczeństwa obowiązujące w obiekcie, albo zostanie oszukana, uwierzy, że intruz został autoryzowany i wpuści go do stref chronionych. Piggybacking uznaje się za jedną z najprostszych form inżynierii społecznej, ponieważ dochodzi tutaj do manipulacji, która ma na celu osiągnięcie określonego celu.


Kolejne zaniedbanie to nieaktualna lista autoryzacyjna osób z dostępem do pomieszczeń chronionych kontrolą dostępu (tzw. whitelista). Brak jej okresowej weryfikacji, np. co kwartał, powoduje, że nie panujemy nad tym, kto ma dostęp i do jakich pomieszczeń. Dodatkowo może się szybko okazać, że prawa dostępu mają dalej osoby, które np. już nie pracują w naszej firmie. Samo dodawanie nowych pracowników do whitelisty powinno być starannie opisane w wewnętrznym procesie, tak aby było wiadomo, kto odpowiada za weryfikację uprawnień nowych osób i na jakiej zasadzie są ustalane poziomy dostępu dla poszczególnych pracowników. Dodatkowo procedury powinny również przewidywać możliwość zgłoszenia zagubienia karty i kroki, jakie należy podjąć po rozpoznaniu takiego zdarzenia. Dezaktywacja karty musi nastąpić jak najszybciej, aby nie doszło do wykorzystania jej przez osoby niepowołane.

 

[...]

 

Autor jest specjalistą ds. utrzymania infrastruktury data center. Zajmuje się problematyką budowy, utrzymania i zarządzania centrami przetwarzania danych oraz koordynowaniem zmian dotyczących krytycznej infrastruktury IT.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik \"IT Professional\"