Распространенные уязвимости системы контроля доступа и способы их устранения
Излишне говорить, что СКУД считается обязательной для любой организации конечных пользователей. Система контроля доступа состоит из различных компонентов. Главными из них считаются ключи доступа (учетные данные), считыватели, контроллеры и сервер, на котором установлено программное обеспечение для управления доступом. В то время как СКУД отвечает за защиту здания и его обитателей, сама система подвержена уязвимостям и нарушениям. Например, некоторые карточки доступа или другие учетные данные можно легко дублировать. Связь между карточкой и считывателем может быть перехвачена злоумышленниками и понятна в том случае, если не зашифрована.
Более 80 процентов комплектов контроля доступа с применением бесконтактных карт имеют уязвимости, которыми можно легко воспользоваться. Современные хакеры сообразительны, и мотивированному человеку нетрудно получить доступ к инструментам и технологиям, необходимым для взлома систем безопасности и даже копирования учетных данных пользователя. Отрезвляет тот факт, что некоторые учетные данные для управления доступом можно по низкой цене скопировать на Amazon или даже перенести в киоск для дубликата ключей. Поиск в Интернете может дать необходимую документацию и даже пошаговые видеоролики, показывающие, как копировать даже современные и продвинутые учетные данные. Многочисленные тесты выявили, что дублирование ключей доступа к объектам (в отдельных случаях с использованием считывателей RFID, когда владелец карточки отсутствовал на публике) — считается одним из наиболее легких способов проникновения в офисы и другие объекты инфраструктуры.
Распространенные типы уязвимостей и решения
Тем не менее, было бы не лишним, если бы конечные пользователи имели некоторые базовые знания об уязвимостях СКУД. Ниже приведены распространенные проблемы и способы их решения.
Дублирование карточек доступа. Дублирование требует специального оборудования, которое, к сожалению, легко добыть. К тому же, оно относительно недорогое. Однако предусмотрены способы противостоять этому. Легкий способ защитить карту от дублирования или «снятия» — это использовать экранированные держатели для бейджей, которые защищают карту тонкой металлической полосой, что предотвращает доступ к RFID-чипам с помощью беспроводной технологии взлома, используемой злоумышленниками. Также важно обеспечить наличие в организациях нескольких уровней безопасности резервного копирования. В идеале карточка не должна быть единственным средством доступа. Кроме того, всегда полезна стандартная ситуационная осведомленность, поскольку злоумышленникам обычно необходимо быть в непосредственной близости от рассматриваемого ключа доступа. Другие рекомендации включают более надежное шифрование, чтобы идентификатор не отправлялся в виде открытого текста (аутентификация запрос — ответ), а также использование бесконтактных смарт-карт, в которые включены шифрование, взаимная аутентификация и защита от воспроизведения сообщений.
Вмешательство в проводку. Открытые провода могут быть испорчены, что может привести к несанкционированному доступу. Такая ситуация может произойти только в том случае, если кабели блокировки или управления явно размещены, обнажены или легко доступны. Надлежащие методы обеспечения физической безопасности и регулярное обслуживание — уменьшат риски.
Взлом Wiegand. Протокол Wiegand считается распространенным для защиты считывателей, но, к сожалению, он уже устаревает и подвержен злоупотреблениям. Протокол Wiegand представляет собой простой текст, легко перехватывается, легко воспроизводится, включает выходные данные биометрических считывателей (это означает, что злоумышленник может украсть данные, хранящиеся на карточке или радиобрелке), и включает выходные данные даже от надежных криптографических бесконтактных интеллектуальных считывателей. К сожалению, производители решений контроля доступа до сих пор производят считыватели магнитных карт, которые используют протокол Wiegand и осведомлены о его уязвимостях. Единственный действенный способ защиты от взлома Wiegand — это обновить технологию. Подходящим решением считается использование бесконтактных карт, способных выполнять криптографические рукопожатия со считывателем.
Взлом канала связи. Аналогичным образом могут быть нарушены незащищенные каналы связи между всевозможными частями СКУД. Например, между считывателем и контроллером или веб-браузером и сервером. Нацеливание на каналы связи, вероятно, считается частым способом атаки, поскольку средства связи широко распространены и разнообразны. Здесь также применимы действенные практики защиты организации от кибератак. Надежные политики паролей, надлежащее управление компьютерной сетью, регулярное тестирование уязвимостей и процедуры усиления защиты компонентов — все это действенные методы, снижающие вероятность кибератаки.