距离911事件已经过去了整整20年,回顾2001年9月11日,在近一小时的时间里,共有两架飞机撞向世贸中心,一架飞机撞向五角大楼,另一架飞机坠毁在宾夕法尼亚州香克斯维尔的一片空地上。
当时,这起事件不仅导致了航空业的持续低迷,“物理安全”这个话题也逐渐被世界关注到。试想一下,如果911事件前,世贸大厦里所有的物理安全设备都经过缜密的检查,并且在事件发生时能够及时启动有效的安全防范措施,无论是保证逃生路线的畅通,还是消防设施的正常使用,或者是防火门的正常启用,更及时的通知救灾人员等等……那么遇难者的人数将远远低于2996这个数字,经济损失也不会高达当年国家GDP的2%(约2000亿美元)。
灾难带来的后遗症久未消散,唯一庆幸的一点是,物理安全系统引起了重视,并在人们的不懈努力下发展至今,已经形成了一套非常完备的理论和标准的工作流程——覆盖日常安防工作和安全事件发生时——可以有效地提高安防效果,最大化地避免或降低损失。
物理安全定义
维基百科上对“物理安全”的定义为:
物理安全描述了旨在拒绝未经授权访问设施,设备和资源并保护人员和财产免受损害或伤害(如间谍活动,盗窃或恐怖袭击)的安全措施。 物理安全涉及使用多层互相依赖的系统,其中包括闭路电视监控、安全警卫、防护屏障、锁、访问控制协议以及许多其他技术。
简而言之,就是利用集成了各种安防设备和技术的系统,来保护人员和财产的安全。
虽然不如网络安全般受到重视,但物理安全实际上同样重要。事实上,它已经发展成为一个价值300亿美元的产业。如果攻击者从存储室中移除您的存储介质,世界上所有的防火墙都帮不了你。
通过人工智能(AI)和物联网(IoT)等技术,物理安全性正变得日益复杂,这意味着 IT 和物理安全的联系越来越紧密,因此安全团队必须协同合作以保护物理和数字资产。
为什么物理安全非常重要?
从本质上讲,物理安全是让您的设施、人员和资产免受现实世界的威胁。它包括物理威慑、入侵者检测以及对这些威胁的响应。
虽然环境事件(即因为自然因素或人类违反环境法规而导致的灾难事件)也会威胁物理安全,但这里说的“物理安全”通常指阻止人们(无论是外部行为者还是潜在的内部威胁)访问他们不应该涉足的区域或资产。它可以是让公众远离您的总部,让现场第三方远离敏感工作区域,或是让你的员工远离任务关键区域(例如服务器机房)。
物理攻击可能是闯入安全数据中心、潜入建筑物的限制区域或使用他们无权访问的终端。攻击者可能会窃取或损坏重要的 IT 资产(例如服务器或存储介质),访问关键任务应用程序的重要终端,通过 USB 窃取信息或将恶意软件上传到您的系统上等等。
最外围的严格控制应该能够抵御外部威胁,而围绕访问的内部措施应该能够减少内部攻击者的可能性(或至少能够标记异常行为)。
渗透测试公司TrustedSec的首席执行官David Kenned曾表示,公司在接近物理安全时最常犯的错误之一就是专注于前门。他们会把所有的安全措施都放在前门;监控摄像头、保安人员、徽章访问,但他们没有关注到整个建筑的整体。吸烟区、现场健身房入口,甚至装载区都可能无人看守、无人监控和不安全。通过将手伸到另一侧并四处挥动,也可以轻松打开出口处带有运动传感器的旋转门或类似障碍。
虽然成功的数字攻击成本不断增加,但针对您资产的物理损坏可能同样不容小觑。一个臭名昭著的物理安全失败例子是芝加哥的一个托管站点在两年内被抢劫了四次,劫匪在第四次闯入时抢走了 20 台服务器。
物理安全风险范围
根据Ontic 保护情报中心发布的《2021 年年中展望保护情报报告》指出,疫情大流行、与 1月 6 日起义(指2021年1月6日,时任美国总统唐纳德·特朗普的支持者暴力闯入美国国会大厦的骚乱事件)有关的内乱,以及枪支暴力事件的增加使 CISO 和其他高管更加关注物理安全,包括他们自己和员工的福祉。
该报告基于对 300 名物理安全决策者、首席信息安全官、首席信息官、首席技术官和其他 IT 领导者的调查,强调了对物理威胁的四个关注领域:
◼业务连续性:不受管理且不断增加的物理威胁会增加企业风险,并可能影响业务连续性。该报告建议公司投资于物理安全以减轻暴力威胁;
◼更大的威胁场景:情报失败使高管和员工面临内部人员带来的物理伤害或供应链损坏或财产盗窃的风险。71% 的受访者表示,2021 年物理威胁格局发生了“巨大”变化;
◼物理安全和网络安全之间缺乏统一:大多数受访者(69%)表示,统一网络安全和物理安全可以帮助避免导致其组织陷入困境或灭亡的事件。这包括拥有一个单一平台来识别和传达威胁;
◼意料之外的挑战:与之前的研究相比,IT 和安全领导者在 2021 年面临的一些关键挑战并不是他们在 2020 年预期会遇到的挑战。这些挑战包括监管合规报告和展示物理安全投资的回报。
总体而言,64% 的受访者表示,2021 年到目前为止,物理威胁活动有所增加,而 58% 的受访者表示,他们觉得自己在为组织处理物理安全方面的准备不足。
物理安全原则和措施
物理安全主要归结为几个核心组件:访问控制和监视。
访问控制
访问控制涵盖了一个很大的领域,其中包括对更复杂的东西(例如键盘、ID 卡或生物识别限制门)的基础屏障。
第一道防线是建筑物本身——大门、栅栏、窗户、墙壁和门。锁定这些,增加威慑物,如带刺铁丝网、警告标志和随处可见的警卫,将减少对您所在位置的大多数随意尝试。
门禁系统多种多样,各有优缺点。简单的身份证扫描仪可能很便宜,但很容易被盗或伪造。近场通信(NFC)或射频识别(RFID)卡增加了仿造困难度,但也并非完全不可能。将 NFC 植入员工体内——据报道这在瑞典已经成为一种趋势并引起了英国工会的愤怒——也是减少卡丢失机会的一种方式。
生物识别安全也是保护设施和设备的常用选项。从理论上讲,我们独特的身体标识符——无论是指纹、虹膜、面部甚至你的脉搏——都比任何卡片都更难窃取或伪造。ABI Research 的一份报告预测,未来生物识别技术的使用只会增加。指纹仍然是最常用的方法,但 ABI 建议它会随着面部、虹膜和脉搏的应用增长而不断增强。
即便如此,生物识别验证也并非牢不可破。据悉,假手指可以克服指纹识别器,照片或面具足以欺骗面部识别,德国黑客组织 Chaos Computer Club甚至找到了一种仅使用照片和隐形眼镜就可以击败虹膜识别的方法。
监视
监视包括从巡逻警卫、防盗警报器和闭路电视到声音和运动传感器以及记录谁去了哪里的所有内容。
在风险更高的地点,公司可以部署更复杂的探测器,例如接近度、红外、图像、光学、温度、烟雾和压力传感器,以保持对其设施的整体可视性。
物联网和人工智能将物理安全带入数字世界
在过去,物理安全和数字安全通常是完全独立的领域,但如今它们正慢慢变得越来越紧密。监控系统越来越多地连接到互联网,访问控制系统和监控系统正在保存数字日志,而人工智能在物理安全中的用例也变得越来越流行。
例如,基于闭路电视的图像识别可以提醒您有人或车辆接近。在更复杂的系统中,可以在整个设施中进行面部甚至步行识别,并让您知道是否有未知人员在现场或员工是否涉足他们不应该访问的地方。与访问控制相关的行为分析可以提醒您注意异常行为。公司也开始使用无人机进行设施监控,越来越多的无人机制造商正在寻求增加自动化的无人能力。根据Memoori 的研究,基于 AI 的视频分析可能会在未来五年内“主导”物理安全投资。
TrustedSec公司的Kennedy表示,
在过去两年里,重点确实已经从健康和安全转移到了信息安全以及试图真正保护所有信息以及物理位置本身。我们看到了物理和逻辑安全的融合:如果你在纽约进行徽章访问刷卡,但你在中国通过 VPN 登录,这是一种检测潜在恶意活动并使用物理数据帮助在您的环境中提供入侵分析的方法。
物理和 IT 安全团队协同工作
然而,物理安全技术的这种增长意味着 IT 和物理安全需要更紧密地运作。数字日志需要被处理、存储并呈现给合适的人。可能需要创建 AI 模型并训练系统。重要的是,所有连接互联网的设备都需要得到适当的保护。
物理安全系统不再只是一个向用户报告是否检测到运动的传感器。这些都是技术含量很高的系统,它们的复杂程度每年都在增加。然而,安全提供商通常首先是设备制造商,而且现在他们想要进入整个物联网业务,所以它们的第二身份实际上是开发商店。我们在这些设备上发现的实际上比我们过去看到的那些封闭系统引入了更多的曝光。
这些设备通常可以被远程黑客入侵。例如,闭路电视摄像机构成了Mirai 僵尸网络的很大一部分,用于在 2016 年的一起重大 DDoS 攻击中击垮Dyn。如果您的传感器网络没有得到充分的分段和保护,一个设备中的漏洞可能会允许攻击者禁用您的一系列安全流程。
这些公司开始实施的技术非常有前景,并且确实具有试图阻止恶意行为者闯入建筑物的心态,但它们在开发周期中仍然不成熟,需要很长时间才能修复。
由于物理和数字世界的日益融合,物理和 IT 安全越来越多地融合到跨职能团队中,一些公司为此创建了安全运营中心(SOC)来处理这两种类型的安全。
不过,真正融合了两个运营中心的企业数量有限,目前大部分企业焦点都集中在控制中心的融合上;与其在全国各地设置几个闭路电视控制中心,不如只用一个大的控制中心来提高运营效率。
即使两个团队没有合并为一个大的职能,两个团队一起工作并分担责任仍然很重要。网络罪犯并不关心个人的角色和责任是什么,不同的部门可以说完全不同的语言。让 CSO 负责物理和 IT 安全,可以将不同的团队聚集在一起,帮助提高整个组织的安全性。鉴于欧盟的 GDPR 要求包括物理安全,确保所有团队保持一致并朝着同一目标努力至关重要。
社会工程学和物理安全
有这么一句古老的格言,“穿着显眼的夹克拿着梯子在任何地方都能畅通无阻”,因为人们的信任感在作怪。在入侵模拟期间,渗透测试人员经常试图通过冒充建筑商、清洁工甚至IT 支持人员来获得现场访问权限。
在一家金融组织的分支机构,测试人员只是谎称自己是为 IT 部门更新服务器的就成功获得了访问权限。而在另一个案例中,一个“修复崩溃服务器”的小谎言就足以让电力公司办公室的一名警卫相信,两名凌晨 3 点穿着黑色衣服偷偷摸摸的人是合法员工。
鉴于此类攻击中涉及的主要是人为因素,它们可能难以防御。如果您的员工允许友好但未经验证的人员进入他们不应该访问的地方,那么最好的安全技术也起不了作用。员工教育和意识是减少社会工程潜在威胁的关键所在。
物理安全策略
虽然您的控制和监控的规模及复杂程度会因位置和需求而异,但有一些最佳实践可以全面应用,以确保稳健的物理安全态势。
采取基于风险的方法并进行研究
映射您的风险状况并进行适当的控制。一个带闭路电视的简单卡锁就能做到的事情,就不要再去雇佣一队武装警卫了。供应商需要保护自己才能更好地保护他们的客户,因此必须进行供应链尽职调查。我们与谁合作,他们遵循什么样的内部流程和政策,他们在强化系统方面遵循哪些框架?必须确保您购买技术的卖家了解风险,并且具备漏洞管理流程,出现问题时的安全咨询通知等。
确保访问控制与人员相关联并自定义访问权限
每个 ID 卡或密钥代码都应该有一个唯一的人与之绑定。“一揽子”访问卡或代码使数据泄漏的可能性更大且更难跟踪。如果您的设施有严格的时间表,请确保访问与时间相关 - 例如,餐饮供应商不得通宵访问。
进行审计跟踪并保持库存
不仅要记录谁访问了什么,还要记录尝试访问行为。多次失败的访问尝试可能预示着不良行为者的存在。知道谁在负责所有卡片、钥匙和其他访问物品。如果卡丢失或该员工职位发生变化(如离职、转岗等),则需要及时撤销其访问权限。如果有人离职,请尽快收回钥匙。
教育员工遵守对待访客的流程
人性通常很美好,却愿意相信好人比坏人多。教导员工——包括警卫——保持一定的怀疑态度,遵循正确的程序,不要向外人提供太多公司信息,可以减少员工被利用的机会。确保检查 ID 并公布预先计划的访问,并制定处理非预约访客的流程。确保访客不会被单独留在敏感区域。对员工进行教育绝对是一个投资小回报大的好主意,如此可以打消他们因害怕得罪人而不敢阻止不带徽章的人。此外,还需要告诉员工,在离开办公大楼时要将他们的徽章取下放在口袋里,以防止被克隆或复制。
测试您的能力和流程
运行模拟;尝试访问您自己的设施。同样地,公司通常会发送虚假的网络钓鱼电子邮件来测试员工对细节的关注,看看你的员工是否会通过电话提供信息或让未经验证的客人进入。
本文翻译自:https://www.csoonline.com/article/3324614/what-is-physical-security-how-to-keep-your-facilities-and-devices-safe-from-on-site-attackers.html?nsdr=true&page=2如若转载,请注明原文地址