Электрики шутят, что сталкиваются только с 2 неисправностями: нет контакта там, где он должен быть, и есть – где его быть не должно. С системами контроля и управления доступом всё примерно так же. С той лишь разницей, что нежелательный «контакт», то есть проникновение посторонних в систему безопасности СКУД, где им быть не положено, случается намного чаще. Как бороться с незваными гостями? Первым делом – устранить «лазейки».
3 вектора атаки на СКУД
Вопреки стереотипам, арсенал хакеров не ограничен онлайн-методами. Зачем искать точки несанкционированного входа в корпоративную сеть через интернет, если можно забраться в серверную? Пресекать такую наглость – задача системы контроля и управления доступом. Но, обеспечивая бизнесу безопасность от злоумышленников, СКУД и сама нуждается в защите. Притом сразу по 3 фронтам:
- Сетевая безопасность. Путь к физическому доступу к конфиденциальной информации нередко лежит через базу данных СКУД. Если она попала не в те руки, шифрование и хеширование паролей уже не помогут. Взломщик получит полный контроль над системой, а значит, сможет проникнуть на предприятие или парализовать его работу.
- Особенности проектирования. Несовершенство архитектуры, уязвимости контроллеров, ошибки при монтаже – всё это может быть использовано против вас. Например, иногда, чтобы открыть запертую дверь, достаточно нехитрых манипуляций с электропитанием. Как ПО нуждается в регулярном обновлении, так и компоненты СКУД – в периодической модернизации.
- Социальная инженерия. Кажется, что рассказам про потерянную карту доступа никто не поверит? Наша практика показывает, что даже такие уловки нередко срабатывают. Особенно если охранники не проинструктированы. Но не только они в группе риска: взломщик может войти в доверие к любому сотруднику и воспользоваться его пропуском. Поэтому обучение персонала основам информационной безопасности – обязательно.
Как оценить защищённость СКУД объекта?
Система контроля и управления доступом не из тех, которые достаточно один раз настроить и забыть. Безопасность начинается с регулярного анализа угроз и средств защиты. А ещё со своевременного устранения обнаруженных «лазеек». Кому доверить эту задачу? Когда речь о крупном бизнесе, выбирать приходится из 2 вариантов:
• Штатные эксперты по ИБ. В их пользу говорит глубокое понимание вашей отрасли и наиболее вероятных сценариев проникновения. Но большое видится на расстоянии. Уязвимости в том числе. Судя по нашему опыту, служба безопасности может годами игнорировать опасные просчёты инфраструктуры, а когда данные уже похищены, – просто развести руками. Да и случаи сотрудничества с преступниками, увы, тоже не редкость.
• Сторонняя компания. Оперативно проанализировать все компоненты многоуровневой СКУД непросто, но свежий взгляд даст возможность увидеть ситуацию под новым углом. В процессе работы аудиторы могут получить доступ к конфиденциальным данным, поэтому позаботьтесь о юридическом сопровождении: неразглашение информации должно стать основой договора.
Но насколько бы глубоким ни был анализ, он уступает тесту на проникновение. В этом случае аудиторы оказываются в том же положении, что и взломщики. И, используя их же арсенал, пытаются обойти СКУД. Такие «учения» демонстрируют реальное состояние всех рубежей защиты: программного, аппаратного и человеческого. Именно поэтому чем меньше сотрудников знает о запланированном аудите СКУД, тем лучше.
Как не заиграться во взлом?
Степень проверки СКУД на прочность ограничена многими факторами. Преступников не волнует ущерб, который они нанесут оборудованию и сотрудникам. Аудиторы же сродни врачам: их главный принцип – не навредить. «Учениям» предшествует согласование разрешённых методик. Чем их меньше, тем ниже эффективность аудита. Но даже в урезанном виде он приносит больше пользы, чем статический анализ.
Есть у аудиторов и преимущество перед хакерами. Обнаружив один способ миновать рубежи СКУД, преступники им и ограничиваются. А задача экспертов по информационной безопасности – найти как можно больше «лазеек». И отработать как можно больше сценариев проникновения на объект. При этом единственная информация, которой они располагают изначально, – адрес и данные о компании из открытых источников.
Нередко аудит системы контроля и управления доступом заказывают после семинаров по информационной безопасности. В этом случае он помогает оценить не только техническое состояние СКУД, но и то, насколько сотрудники усвоили материал. Ведь именно они чаще всего становятся слабым звеном, из-за которого приходится говорить «прощай» деловой репутации и интеллектуальной собственности.
Вместо заключения
Помните, что комплексный аудит СКУД не игра в «войнушку». А список найденных уязвимостей не его главная цель. Модернизация системы в кратчайшие сроки с минимальными затратами и устранением каждой из «лазеек» – вот ради чего всё затевается. Поэтому обращайтесь к профессионалам Кодебай – тем, кто предоставит пошаговый план действий. Результатом их работы станет не только безопасность бизнеса, но и ваше спокойствие.
Загрузка...