Een undercover hacker op bezoek
De digitale omheining van uw organisatie kan perfect op orde zijn, maar hoe veilig bent u als hackers of criminelen met wat slimme trucjes gewoon de serverruimte binnen kunnen lopen om toegang te krijgen tot uw netwerk? IP4Sure test niet alleen uw beveiliging van buitenaf, maar ook van binnenuit. Dat doen wij door undercover uw bedrijfslocatie te infiltreren, waar wij proberen om fysiek toegang tot uw systemen te krijgen. Zo weet u of uw organisatie voldoende beveiligd is tegen criminelen die hetzelfde proberen, of dat uw fysieke beveiliging nog aangescherpt dient te worden.
Een fysieke penetratietest / inlooptest / social engineering is bijna altijd succesvol. Dat geeft al aan hoe belangrijk het is om de fysieke beveiliging van uw kritieke systemen regelmatig te laten testen. Komen we bijvoorbeeld langs de toegangscontrole van het bedrijfspand? En vinden we, als we eenmaal binnen zijn, openstaande computerterminals of slecht beveiligde netwerkpoorten? Geven medewerkers ons onbedoeld waardevolle informatie? Of kunnen we zelfs apparatuur op het netwerk aansluiten die ons toegang geeft tot privacygevoelige data? Tijdens een inlooptest halen onze hackers (ook wel ‘Mystery Guests’ genoemd) de zwakheden in uw fysieke beveiliging boven water, zo kunnen we heel precies rapporteren waar het misgaat.
Er zijn veel verschillende manieren waarop wij fysiek bij bedrijven binnen kunnen komen. Vaak hebben grotere bedrijven een toegangscontrole met meerdere lagen ingesteld: zo moet je bijvoorbeeld eerst langs de receptionist, heb je een toegangspasje nodig, moet de reden voor je bezoek bevestigd worden en word je uiteindelijk opgehaald en begeleid door de persoon met wie je een afspraak hebt.
Toch blijken er in de praktijk nog veel mogelijkheden te zijn om je alsnog een weg naar binnen te praten. Bijvoorbeeld via een receptionist die nog maar net een paar maanden bij de organisatie werkt en eenvoudig te overbluffen is. Of via de magazijndeur aan de achterkant van het gebouw. Als we ons maar overtuigend genoeg gedragen, zal er zelden iemand zijn die ons tegenhoudt: mensen zullen er over het algemeen van uitgaan dat wij zijn wie we zeggen dat we zijn.
Zijn we eenmaal voorbij de toegangspoort, dan kunnen we gaan testen hoe het met de interne beveiliging is gesteld. Kunnen we bijvoorbeeld eenvoudig de serverruimte binnenkomen? Laten medewerkers hun computer onvergrendeld achter tijdens de lunch? Kunnen we ongezien een USB-stick met een ‘kwaadaardig’ programma op het netwerk aansluiten? Kunnen we een kastje achter de netwerkprinter hangen, dat communiceert met onze eigen server? Kunnen we medewerkers zo ver krijgen dat ze op een link in een phishing-mail klikken? De middelen die wij inzetten zijn natuurlijk nooit echt kwaadaardig, maar bedoeld om aan te tonen wat er zou kunnen gebeuren als een crimineel hetzelfde zou proberen.
Het doel van een inlooptest is nooit om werkelijk schade aan te richten, maar om de zwakke plekken in de fysieke beveiliging te identificeren en te verhelpen. Na afloop van de inlooptest, krijgt u een uitgebreide rapportage met onze bevindingen. Hierin geven we aan welke doelen er zijn behaald, hoe ernstig de kwetsbaarheden zijn en hoe de problemen verholpen kunnen worden. Een advies kan bijvoorbeeld zijn om betere toegangscontroles in te stellen, of het personeel te trainen om assertiever te handelen wanneer ze een onbekende op de werkvloer zien. Het advies kan zelfs zijn om gewoon de achterdeur op slot te doen…
Bent u geïnteresseerd in de mogelijkheden van een fysieke penetratietest of inlooptest op uw bedrijfslocatie? Onze ervaren Mystery Guests gaan uitermate zorgvuldig te werk en halen de onderste steen boven tijdens het doorlichten van uw fysieke beveiliging. Neem contact met ons op voor een vrijblijvend oriëntatiegesprek.
Lees hier meer over de penetratietest die we onlangs bij Please Payroll uitvoerden.
Wilt u een fysieke penetratietest laten uitvoeren op uw systemen, neem dan contact op:
Bel naar +31 40-2444666
Mail naar info@ip4sure.nl
Of ga naar onze contactpagina