什么是物理安全?如何保護您的設施和設備免受現場攻擊者的侵害
物理安全定義
物理安全是保護人員、財產和物理資產免受可能造成損害或損失的行為和事件的影響。雖然經常被網絡安全忽視,但物理安全同樣重要。事實上,它已經發展成為一個價值 300 億美元的產業。如果攻擊者從存儲室中移除您的存儲介質,世界上所有的防火墻都無法幫助您。
通過人工智能 (AI) 和物聯網 (IoT) 等技術,物理安全變得日益復雜,這意味著 IT 和物理安全的聯系越來越緊密,因此安全團隊需要共同努力保護物理安全和數字資產。
為什么物理安全很重要
從本質上講,物理安全是讓您的設施、人員和資產免受現實世界的威脅。它包括物理威懾、入侵者檢測和對這些威脅的響應。
雖然它可能來自環境事件,但該術語通常用于阻止人們——無論是外部行為者還是潛在的內部威脅——進入他們不應該進入的區域或資產。它可能會讓公眾遠離您的總部、敏感工作區域的現場第三方,或者您的任務關鍵區域(例如服務器機房)的員工。
物理攻擊可能是闖入安全數據中心、潛入建筑物的限制區域或使用他們無法訪問的終端。攻擊者可能會竊取或損壞重要的 IT 資產,例如服務器或存儲介質、訪問關鍵任務應用程序的重要終端、通過 USB 竊取信息或將惡意軟件上傳到您的系統。
最外圍的嚴格控制應該能夠阻止外部威脅,而圍繞訪問的內部措施應該能夠減少內部攻擊者的可能性(或至少標記異常行為)。
滲透測試公司 TrustedSec 的首席執行官大衛肯尼迪表示,公司在接近物理安全時最常犯的錯誤之一是專注于前門。“他們會把所有的安全措施都放在前門;監控攝像頭、保安人員、徽章訪問,但他們不關注的是整個建筑的整體。”
推薦的白皮書
他說,吸煙區、現場健身房入口,甚至裝載區都可能無人看守、無人監控和不安全。通過將手伸到另一側并四處揮動,也可以輕松打開出口處帶有運動傳感器的旋轉門或類似障礙。
雖然成功的數字攻擊的成本不斷增加,但對您資產的物理損壞可能同樣有害。一個臭名昭著的物理安全失敗例子是芝加哥的一個托管站點在兩年內被搶劫了四次,劫匪在第四次闖入時搶走了 20 臺服務器。
物理安全風險范圍
大流行、與 1 月 6 日起義有關的內亂以及槍支暴力事件的增加使 CISO 和其他高管更加關注人身安全,包括他們自己和員工的福祉。這是根據Ontic 保護情報中心發布的《2021 年年中展望保護情報報告》得出的結論。
該報告基于對 300 名物理安全決策者、CISO、CIO、CTO 和其他 IT 領導者的調查,強調了對物理威脅的四個關注領域:
- 業務連續性:不受管理且不斷增加的物理威脅會增加企業風險,并可能影響業務連續性。該報告建議公司投資于物理安全以減輕暴力威脅。
- 更大的威脅格局:情報失敗使高管和員工面臨內部人員遭受人身傷害或供應鏈損壞或財產盜竊的風險。71% 的受訪者表示,2021 年物理威脅格局發生了“巨大”變化。
- 物理安全和網絡安全之間缺乏統一:大多數受訪者 (69%) 表示,統一網絡安全和物理安全可以幫助避免導致其組織陷入困境或死亡的事件。這包括擁有一個單一平臺來識別和傳達威脅。
- 意料之外的挑戰:與之前的研究相比,IT 和安全領導者在 2021 年面臨的一些關鍵挑戰并不是他們在 2020 年預期會遇到的挑戰。這些挑戰包括監管合規報告和展示物理安全投資的回報。
總體而言,64% 的受訪者報告說,到 2021 年到目前為止,物理威脅活動有所增加,而 58% 的受訪者表示,他們覺得自己在為組織處理物理安全方面的準備不足。
物理安全原則和措施
物理安全主要歸結為幾個核心組件:訪問控制和監視。
訪問控制
訪問控制涵蓋了一個很大的區域,其中包括對更復雜的東西(例如鍵盤、ID 卡或生物識別限制門)的基本屏障。
第一道防線是建筑物本身——大門、柵欄、窗戶、墻壁和門。鎖定這些,增加威懾物,如帶刺鐵絲網、警告標志和可見的警衛,將推遲對您所在位置的大多數隨意嘗試。
門禁系統多種多樣,各有優缺點。簡單的身份證掃描儀可能很便宜,但很容易被盜或偽造。近場通信 (NFC) 或射頻識別 (RFID) 卡使鍛造變得更加困難,但并非不可能。將 NFC 嵌入工人——據報道這在瑞典成為一種趨勢并引起英國工會的憤怒——也是減少卡丟失機會的一種方式。
“RFID 徽章很容易復制,”Kennedy 警告說。“相反,在您實際上必須刷卡的地方使用磁條,并可能使用第二種形式的授權,例如密碼。”
生物識別安全也是保護設施和設備的常用選項。從理論上講,我們獨特的身體標識符——無論是指紋、虹膜、面部甚至你的脈搏——都比任何卡片都更難竊取或偽造。ABI Research 的一份報告預測,未來生物識別技術的使用只會增加。指紋仍然是最常用的方法,但 ABI 建議它會隨著面部、虹膜和脈搏的增長而增強。
“我還沒有在公司看到很多面部識別,但遠離生物識別技術,”肯尼迪說。“很多人都想轉向那個,但有很多問題。”
假手指可以克服指紋識別器,照片或面具足以欺騙面部識別,德國黑客組織 Chaos Computer Club 找到了一種僅使用照片和隱形眼鏡就可以擊敗虹膜識別的方法。
監視
監視包括從巡邏警衛、防盜警報器和閉路電視到聲音和運動傳感器以及記錄誰去了哪里的所有內容。
在風險更高的地點,公司可以部署更復雜的探測器,例如接近度、紅外、圖像、光學、溫度、煙霧和壓力傳感器,以保持對其設施的整體視圖。
物聯網和人工智能將物理安全帶入數字世界
在過去,物理安全和數字安全通常是完全獨立的領域,但它們正慢慢變得越來越交織在一起。監控系統越來越多地連接到互聯網,訪問控制系統和監控系統正在保存數字日志,而人工智能在物理安全中的用例變得越來越流行。
例如,基于閉路電視的圖像識別可以提醒您有人或車輛的到來。在更復雜的系統中,可以在整個設施中進行面部甚至步行識別,并讓您知道是否有未知人員在現場或工人是否在他們不應該訪問的地方。與訪問控制相關的行為分析可以提醒您注意異常行為。公司也開始使用無人機進行設施監控,越來越多的無人機制造商正在尋求增加自動化的無人能力。根據Memoori 的研究,基于 AI 的視頻分析可能會在未來五年內“主導”物理安全投資。
TrustedSec 的肯尼迪說:“在過去的兩年里,重點確實從健康和安全轉移到了信息安全以及試圖真正保護所有信息以及物理位置本身。” “我們非常看到物理和邏輯安全的融合;如果您在紐約進行徽章訪問刷卡,但您在中國通過 VPN 登錄,那么這是一種檢測潛在惡意活動并使用物理數據來幫助在您的環境中提供入侵分析的方法。 ”
將物理和 IT 安全團隊聚集在一起
然而,物理安全技術的這種增長意味著 IT 和物理安全需要更緊密地運作。數字日志需要被處理、存儲并呈現給合適的人。可能需要創建 AI 模型并訓練系統。重要的是,所有連接互聯網的設備都需要得到適當的保護。
“物理安全系統不再只是一個向用戶報告是否檢測到運動的傳感器,”肯尼迪說。“這些都是技術含量很高的系統,它們的復雜程度每年都在增加。然而,安全提供商通常首先是設備制造商,現在他們想要進入整個物聯網業務,因此他們實際上是第二個開發商店。我們在這些設備上發現的實際上比我們過去看到的那些封閉系統引入了更多的曝光。”
這些設備通常可以被遠程黑客入侵。例如,閉路電視攝像機構成了Mirai 僵尸網絡的很大一部分,用于在 2016 年的一次重大 DDoS 攻擊中占領 Dyn。您的一系列安全流程。
“這些公司開始實施的技術非常有前途,并且確實具有試圖阻止人們闖入建筑物的心態,但它們在開發周期中仍然不成熟,需要很長時間才能修復,”說肯尼迪。
由于物理和數字的日益融合,物理和 IT 安全越來越多地融合到跨職能團隊中,一些公司創建了處理這兩種安全類型的安全運營中心 (SOC)。
“確實融合了兩個運營中心的企業數量有限,”物理安全和視頻監控提供商 Axis Communications 的架構和工程行業聯絡人 Steve Kenny 說。“但目前大部分焦點都集中在控制中心的融合上;與其在英國各地設置幾個閉路電視控制中心,不如只用一個大的控制中心來提高運營效率。”
即使兩個團隊沒有合并為一個大的職能,肯尼說,兩個團隊一起工作并分擔責任仍然很重要。“網絡罪犯并不關心個人的角色和責任是什么,不同的部門可以說完全不同的語言。”
Kenny 說,讓 CSO 負責物理和 IT 安全,可以將不同的團隊聚集在一起,幫助提高整個組織的安全性。鑒于歐盟的 GDPR 要求包括物理安全,確保所有團隊保持一致并朝著同一目標努力至關重要。
社會工程學和物理安全
這是一句古老的格言,穿著高大上的夾克并拿著梯子在任何地方都無法進入,因為人們天生信任并希望提供幫助。在入侵模擬期間,滲透測試人員經常試圖通過冒充建筑商、清潔工甚至IT 支持人員來獲得現場訪問權限。
“到目前為止,我們最簡單的進入方式就是走到一個你看到員工穿著西裝的地方,”肯尼迪說。“我會穿著西裝來冒充一位高管,然后走進一個穿著隨意的人,因為十有八九他們不會因為重要程度而質疑我是誰。他們不想造成任何干擾或挑戰對他們來說可能具有更高權威的人。”
在一家金融組織的分支機構,Kennedy 只需說他是從那里的公司 IT 部門更新服務器就能夠獲得訪問權限。在另一個案例中,一個關于修復服務器崩潰的故事足以讓電力公司辦公室的一名警衛相信,兩名凌晨 3 點穿著黑色衣服偷偷摸摸的人是合法員工。
鑒于此類攻擊中涉及的主要人為因素,它們可能難以防御。如果您的員工允許友好但未經驗證的人員進入他們不應該訪問的地方,那么最好的安全技術就會失敗。員工教育和意識是減少社會工程潛在威脅的關鍵。
物理安全策略
雖然您的控制和監控的規模和復雜程度會因位置和需求而異,但有一些最佳實踐可以全面應用,以確保穩健的物理安全態勢。
采取基于風險的方法并進行研究。映射您的風險狀況并進行適當的控制。不要使用帶閉路電視的簡單卡鎖就可以使用武裝警衛團隊。“供應商需要保護自己以保護他們的客戶,因此必須進行供應鏈盡職調查,”肯尼說。“我們與誰合作,他們遵循什么樣的內部流程和政策,他們在強化系統方面遵循哪些框架?”確保您購買技術的人了解風險并實施漏洞管理等措施如果出現問題,程序,安全咨詢通知。
確保訪問控制與人員相關聯并自定義訪問權限。每個 ID 卡或密鑰代碼都應該有一個唯一的人與之綁定。一攬子訪問卡或代碼使數據泄漏的可能性更大且更難跟蹤。如果您的設施有嚴格的時間表,請確保訪問與時間相關 - 例如,餐飲供應商不得通宵訪問。
進行審計跟蹤并保持庫存。不僅要記錄誰訪問了什么,還要記錄嘗試。多次失敗的訪問嘗試可能預示著不良行為者。知道誰在處理所有卡片、鑰匙和其他訪問物品。如果卡丟失或員工情況發生變化,則撤銷訪問權限。如果有人離開,請盡快收回鑰匙。
教育員工遵守與客人打交道的協議。人們通常很友好,愿意提供幫助。教導員工——包括警衛——保持健康的懷疑態度,遵循正確的程序,不要提供太多信息,可以減少你自己的員工被利用來對付你的機會。確保檢查 ID 并公布預先計劃的訪問,并制定處理意外訪客的流程。確保訪客不會被單獨留在敏感區域。“教育你的員工總是一個好主意,可以確保他們不會害怕挑戰沒有佩戴徽章的人,”TrustedSec 的肯尼迪說。“正如與員工溝通,在他們離開大樓時將他們的徽章取下口袋[以防止克隆或復制]。”
測試您的能力和流程。運行模擬;嘗試訪問您自己的設施。同樣,公司通常會發送虛假的網絡釣魚電子郵件來測試員工對細節的關注,看看你的員工是否通過電話提供信息或讓未經驗證的客人進入。
