从 9/11 到现在已经 20 年了。回首2001年9月11日,在近一个小时的时间里,两架飞机坠毁在世贸中心,一架坠毁在五角大楼,另一架坠毁在宾夕法尼亚州。尚克斯维尔的一处空地。
当时,这一事件不仅导致航空业持续低迷,“人身安全”的话题也逐渐引起了世人的关注。想象一下,如果在 9/11 事件之前,世贸中心的所有实体安全设备都经过仔细检查,并且在事件发生时能够及时启动有效的安全措施,无论是确保逃生路线的畅通还是正常使用的消防设施。,或者防火门的正常启动,更及时地通知救灾人员等等……那么遇难人数将远低于2996人的人数,经济损失也不会高达2%该国当年的GDP(约2000亿美元)。)。
灾难带来的后遗症很久没有消散。唯一值得庆幸的是,物理安全系统受到了关注,在人们的不懈努力下得到了发展。已经形成了一套非常完整的理论和标准的工作流程——涵盖日常安全。当工作和安全事故发生时——能有效提高安全效果,减少或减少损失。
物理安全定义
维基百科将“物理安全”定义为:
物理安全描述了旨在拒绝未经授权访问设施、设备和资源并保护人员和财产免受损害或伤害的安全措施,例如间谍活动、盗窃或恐怖袭击。物理安全涉及使用多层相互依赖的系统,包括闭路电视监控、保安、防护屏障、锁、访问控制协议和许多其他技术。
简而言之,就是利用一套集成了各种安全设备和技术的系统来保护人身和财产安全。
虽然不如网络安全重要,但物理安全实际上同样重要。事实上,它已经成长为一个价值 300 亿美元的产业。如果攻击者从存储室中移除您的存储介质,世界上所有的防火墙都不会帮助您。
物理安全通过人工智能 (AI) 和物联网 (IoT) 等技术变得越来越复杂,这意味着 IT 和物理安全的联系越来越紧密,因此安全团队必须共同努力保护物理和数字资产。
为什么物理安全很重要?
从本质上讲,物理安全是保护您的设施、人员和资产免受现实世界的威胁。它包括物理威慑、入侵者检测和对这些威胁的响应。
虽然环境事件(即由于自然因素或人为违反环境法规造成的灾难性事件)也可能威胁到物理安全,但这里的“物理安全”一词一般是指阻止人们(无论是外部行为者还是潜在的内部威胁)访问区域或资产他们不应该参与。这可能是让公众远离您的总部,现场第三方远离敏感的工作区域,或者让您的员工远离服务器机房等关键任务区域。
物理攻击可能是闯入安全的数据中心,潜入建筑物的受限区域,或者使用他们无权访问的终端。攻击者可以窃取或损坏服务器或存储介质等关键 IT 资产、访问关键任务应用程序的关键端点、通过 USB 窃取信息或将恶意软件上传到您的系统等等。
最外围的严格控制应该可以防止外部威胁,而围绕访问的内部措施应该减少内部攻击者的可能性(或至少标记异常行为)。
渗透测试公司 TrustedSec 的首席执行官 David Kenned 曾表示,公司在处理物理安全时最常犯的错误之一就是专注于前门。他们会把所有的保安都放在前门;监控摄像头,保安,通行证,但他们并没有注意到整个建筑物的整体。吸烟区、现场健身房入口,甚至装载区都可能无人看守、无人监控且不安全。出口处带有运动传感器的旋转门或类似障碍物也可以通过伸手到另一侧并挥动它们来轻松打开。
虽然成功的数字攻击的成本不断增加,但对您的资产造成的物理损坏也同样严重。物理安全故障的一个臭名昭著的例子是芝加哥的一个托管站点在两年内被抢劫了四次,劫匪在第四次闯入时劫走了 20 台服务器。
物理安全风险范围
根据 Ontic 保护情报中心发布的《2021 年中期保护情报报告》,大流行和 1 月暴力闯入美国国会大厦、内乱和枪支暴力增加使 CISO和其他高管更关心人身安全,包括他们自己和员工的福祉。
根据对 300 名物理安全决策者、CISO、CIO、CTO 和其他 IT 领导者的调查,该报告强调了物理威胁的四个关注领域:
◼ 业务连续性:不受管理且不断增长的物理威胁会增加企业风险,并可能影响业务连续性。报告建议公司投资于物理安全以减轻暴力威胁;
◼ 更大的威胁情景:情报故障使高管和员工面临内部人员人身伤害或供应链损坏或财产盗窃的风险。71% 的受访者表示,物理威胁形势在 2021 年发生了“巨大”变化;
◼ 物理和网络安全之间缺乏一致性:大多数受访者 (69%) 表示物理网络连接错误的是,统一网络安全和物理安全有助于避免可能导致其组织陷入困境或倒闭的事件。这包括拥有一个单一平台来识别和传达威胁;
◼ 意料之外的挑战:与之前的研究相比,IT 和安全领导者在 2021 年面临的一些关键挑战并非他们预计在 2020 年会遇到的挑战。这些挑战包括合规性报告和展示物理安全投资的回报。
总体而言,64% 的受访者表示,到 2021 年为止,物理威胁活动有所增加,而 58% 的受访者表示,他们认为他们的组织没有为处理物理安全做好准备。
物理安全原则和措施
物理安全归结为几个核心组件:访问控制和监控。
访问控制
门禁控制范围很广,包括对键盘、身份证或生物识别限制门等更复杂事物的基本障碍。
第一道防线是建筑物本身——大门、栅栏、窗户、墙壁和门。锁定这些,添加诸如铁丝网、警告标志和无处不在的警卫之类的威慑物,将减少您所在位置的大多数随机尝试。
有各种各样的访问控制系统,每个都有自己的优点和缺点。简单的 ID 扫描仪可能很便宜,但它们很容易被盗或伪造。近场通信 (NFC) 或射频识别 (RFID) 卡使伪造变得困难,但并非不可能。在员工中植入 NFC——据报道,这已成为瑞典的一种趋势,并引起了英国工会的愤怒——也是减少卡丢失机会的一种方法。
生物识别安全也是保护设施和设备的常见选择。从理论上讲,我们唯一的物理标识符——无论是指纹、虹膜、面部,甚至是你的脉搏——比任何卡片都更难窃取或伪造。ABI Research 的一份报告预测,未来生物识别技术的使用只会增加。指纹仍然是最常用的方法,但 ABI 建议它将随着面部、虹膜和脉搏的应用增长而继续增强。
即便如此,生物特征验证也并非牢不可破。据说假手指能够克服指纹识别器,照片或面具足以欺骗面部识别,德国黑客组织 Chaos Computer Club 甚至找到了一种仅使用照片和隐形眼镜来击败虹膜识别的方法。
监视器
监视包括从巡逻警卫、防盗警报器和闭路电视到声音和运动传感器以及记录谁去了哪里的一切。
在风险较高的地方,公司可以部署更复杂的探测器,例如接近、红外、图像、光学、温度、烟雾和压力传感器,以保持对其设施的整体可见性。
物联网和人工智能为数字世界带来物理安全
过去,物理安全和数字安全通常是完全独立的领域,但今天它们正慢慢变得越来越紧密。监控系统越来越多地连接到互联网,访问控制系统和监控系统正在保存数字日志,人工智能在物理安全中的用例变得越来越流行。
例如,基于闭路电视的图像识别可以提醒您接近的人或车辆。在更复杂的系统中,可以在整个设施中执行面部甚至步行识别,并让您知道是否有陌生人在现场,或者员工是否踏足了他们不应该去的地方。与访问控制相关的行为分析可以提醒您异常行为。公司也开始使用无人机进行设施监控,越来越多的无人机制造商正在寻求增加自动化无人功能。根据 Memoori 的研究,基于人工智能的视频分析可能会在未来五年内“主导”物理安全投资。
TrustedSec 的肯尼迪说,
在过去的两年里,重点已经从健康和安全转移到信息安全上,并试图真正保护所有信息和物理位置本身。我们看到了物理和逻辑安全的融合:如果您在纽约刷卡以获得徽章访问权限,但您在中国通过 VPN 登录,这是一种检测潜在恶意活动并使用物理数据提供帮助的方法在您的环境中提供入侵分析。
物理和 IT 安全团队协同工作
然而,物理安全技术的这种增长意味着 IT 和物理安全需要更紧密地合作。数字日志需要被处理、存储并呈现给合适的人。可能有必要创建一个 AI 模型并训练系统。重要的是,所有联网设备都需要得到适当保护。
如果检测到运动,物理安全系统不再只是向用户报告的传感器。这些是高度技术性的系统,其复杂性每年都在增加。但是,安全提供商通常首先是设备制造商,现在他们想涉足整个物联网业务,所以他们的次要角色实际上是开发商店。我们在这些设备上发现的东西实际上比我们过去看到的那些封闭系统引入了更多的暴露。
这些设备通常可以被远程入侵。例如,闭路电视摄像机构成了 Mirai 僵尸网络的很大一部分,用于在 2016 年的一次重大 DDoS 攻击中摧毁 Dyn。如果您的传感器网络没有得到充分的分段和保护,一个设备中的漏洞可能允许攻击者禁用一个范围您的安全流程。
这些公司开始实施的技术非常有前途,并且确实有试图阻止恶意行为者闯入建筑物的心态,但它们在开发周期中仍然不成熟,需要很长时间才能修复。
由于物理世界和数字世界的日益融合,物理和 IT 安全越来越多地被集成到跨职能团队中,一些公司为此创建了安全运营中心 (SOC) 来处理这两种类型的安全。
但是,真正实现两个运营中心一体化的企业数量有限。目前,大多数企业专注于控制中心的集成;与其在全国设立多个CCTV控制中心,不如只使用一个大型控制中心,以提高运营效率。
即使两个团队没有合并为一个大职能部门,两个团队一起工作并分担责任仍然很重要。网络犯罪分子不在乎个人的角色和职责是什么,不同的部门可以说完全不同的语言。让 CSO 对物理和 IT 安全负责,可以将不同的团队聚集在一起,并有助于提高整个组织的安全性。鉴于欧盟的 GDPR 要求包括物理安全,确保所有团队保持一致并朝着相同的目标努力至关重要。
社会工程和物理安全
有一句古老的格言,“穿一件显眼的夹克,拿着梯子去任何地方”,因为人们的信任感在起作用。在入侵模拟期间,渗透测试人员经常试图通过冒充建设者、清洁工甚至 IT 支持人员来获得现场访问权限。
在一家金融机构的分支机构中,测试人员只需谎称他们正在为 IT 部门更新服务器即可获得访问权限。而在另一个案例中,一个关于“修复崩溃的服务器”的小谎言就足以让电力公司办公室的一名警卫相信物理网络连接错误的是,凌晨 3 点黑衣偷偷溜达的两个人是合法雇员。
鉴于此类攻击主要涉及人为因素,它们可能难以防御。如果您的员工允许友好但未经身份验证的人进入他们不应该去的地方,那么最好的安全技术将无法发挥作用。员工教育和意识是减少社会工程潜在威胁的关键。
物理安全政策
虽然您的控制和监控的规模和复杂程度会因地点和需求而异,但有一些最佳实践可以全面应用,以确保稳健的物理安全态势。
采取基于风险的方法并进行研究
绘制您的风险概况并实施适当的控制。不要为了一个简单的闭路电视卡锁所能做的事情而雇佣一队武装警卫。供应商需要保护自己才能更好地保护客户,因此供应链尽职调查是必须的。我们与谁合作,他们遵循哪些内部流程和政策,以及他们在强化系统时遵循哪些框架?必须确保您购买技术的卖方了解风险,并有一个漏洞管理流程,在出现问题时通知安全公告等。
确保访问控制与人员相关联并自定义访问权限
每张身份证或钥匙代码都应该有一个唯一的人。访问卡或代码的“毯子”使数据泄漏更有可能和更难追踪。如果您的设施有严格的时间表,请确保访问与时间相关 – 例如,餐饮服务商不允许通宵访问。
进行审计跟踪并维护库存
不仅谁有权访问什么,还包括试图访问的内容。多次失败的访问尝试可能表明存在不良行为者。知道谁负责所有卡、钥匙和其他访问项目。如果卡丢失或员工岗位变动(如离职、转岗等),需要及时撤销其访问权限。如果有人退出,请尽快取回钥匙。
教育员工遵守处理访客的程序
人性通常是美好的,但愿意相信好人多于坏人。教导员工——包括警卫——保持怀疑态度,遵循适当的程序,不要向外界提供太多公司信息,可以减少员工被利用的机会。确保检查身份证并宣布预先计划的访问,并制定处理未预约来访者的流程。确保访客不会独自留在敏感区域。教育你的员工绝对是一个投资小回报大的好主意,它会劝阻他们不要因为害怕冒犯他们而阻止不戴徽章的人。此外,需要告知员工在离开大楼时取下他们的徽章并放入口袋,以防止克隆或复制。
测试你的能力和过程
运行模拟;尝试访问您自己的设施。同样,公司经常发送虚假的网络钓鱼电子邮件来测试员工对细节的关注,以查看您的员工是否会通过电话提供信息或让未经验证的客人进入。
请登录后发表评论
注册
社交帐号登录