Pianificazione e Definizione degli Obiettivi:

Obiettivi:

Definire gli obiettivi specifici dell'attacco,che possono includere l'ottenimento di accesso fisico a aree protette, e conseguente esfiltrazione di dati sensibili.

Regole di Impegno (ROE):

Stabilire chiaramente le linee guida e i limitidella valutazione fisica, garantendo la sicurezza del personale e la protezione dei beni dell'organizzazione.

 

Ricognizione:

Valutazione del Sito:

Raccogliere informazioni sulla struttura fisica dell'organizzazione, i punti di accesso, il personale di sicurezza, i sistemi di sorveglianza e altri dettagli rilevanti.

Ingegneria Sociale:

Raccogliere informazioni attraverso tecniche di ingegneria sociale, come l'impersonificazione, il pretesto o le chiamate con pretesto, per sfruttare le vulnerabilità umane.

Tentativi di Accesso:

Intrusione Fisica: Tentativo di ottenere un accesso fisico non autorizzato a aree sicure, come data center, uffici, sale server o strutture di archiviazione.

Scasso delle Serrature:

Usare strumenti e tecniche di scasso delle serrature per aggirare i meccanismi di sicurezza fisica, inclusi lucchetti e sistemi di controllo degli accessi.

Seguire qualcuno:

Sfruttare la pratica di seguire di nascosto personale autorizzato per entrare in aree sicure senza autenticazione adeguata.

 

Superamento delle Misure di Sicurezza:

Sistemi di Allarme:

Testare l'efficacia dei sistemi di rilevamento delle intrusioni, dei sistemi di allarme e della sorveglianza di sicurezza.

Telecamere di Sorveglianza:

Valutare la capacità di evitare o manipolare telecamere di sorveglianza per rimanere indetecttati.

Sistemi di Controllo degli Accessi:

Valutare le vulnerabilità dei sistemi di controllo degli accessi, lettori di schede chiave, dispositivi biometrici e barriere fisiche.

 

Raccolta di Informazioni e Furto:

Informazioni Sensibili:

Tentativo di accedere e rubare informazioni sensibili, risorse fisiche o documenti confidenziali.

Impersonificazione:

Usare travestimenti o credenziali falsificate per impersonare personale autorizzato e ottenere l'accesso a zone restritte.

 

Manipolazione Fisica:

Manomissione:

Testare la suscettibilità di risorse fisiche, infrastrutture o attrezzature alla manomissione o al sabotaggio.

Installazione di Dispositivi:

Se consentito dalle regole di impegno, installare dispositivi di ascolto nascosti o altri hardware per la sorveglianza o l'accesso futuro.

 

Segnalazione e Documentazione:

Documentare tutti i risultati, compresi i tentativi di accesso riusciti, le vulnerabilità di sicurezza e le raccomandazioni per migliorare la sicurezza fisica. Evidenziare le debolezze nelle procedure di sicurezza, nella formazione del personale e nei controlli di sicurezza fisica.

 

Confronto e Comunicazione:

Incontrare il personale di sicurezza e la gestione delle strutture dell'organizzazione per discutere i risultati, condividere informazioni e dell'organizzazione per discutere i risultati, condividere informazioni e rispondere alle domande.

Collaborare su strategie per migliorare la sicurezza fisica in base ai risultati della valutazione.

 

Rimedio e Mitigazione:

L'organizzazione affronta le vulnerabilità e le debolezze identificate durante il test, implementando miglioramenti alla sicurezza fisica.

Possono essere avviati programmi di formazione e sensibilizzazione per educare i dipendenti sulle minacce alla sicurezza fisica.