911事件已经20年了。回首2001年9月11日,将近一个小时,两架飞机撞向世贸中心,一架飞机撞向五角大楼,另一架飞机坠毁在宾夕法尼亚州尚克斯维尔的一处空地上。当时,这一事件不仅导致了航空业的持续低迷,“实体安全”的话题也逐渐引起了世界的关注。试想一下,如果在9月11日事件发生之前,世贸中心的所有实体安保设备都经过仔细检查,并在事件发生时及时启动有效的安全防范措施,是否能确保逃生通道畅通无阻?或者消防设施的正常使用,或者防火门的正常使用,更及时的通知救灾人员等等……那么受灾人数将远低于2996人,经济损失将不会高达国家GDP的2%(约2000亿美元))。灾难的余波久久没有散去。唯一值得庆幸的是,物理安全系统在人们的不懈努力下得到了重视和发展。它已经形成了一套非常完整的理论和标准工作流程——涵盖了日常安全。当工作和安全事故发生时——可有效提高安全保障效果,最大限度避免或减少损失。物理安全的定义维基百科将“物理安全”定义为:物理安全描述了一种旨在拒绝未经授权访问设施、设备和资源并保护人员和财产免受损害或伤害(例如间谍活动、盗窃或恐怖袭击)的系统)安防措施。物理安全涉及使用多层相互依赖的系统,包括闭路电视监控、保安、防护屏障、锁、访问控制协议和许多其他技术。简而言之,就是用一个集成了各种安全设备和技术的系统来保护人身和财产的安全。虽然不像网络安全那样受到高度重视,但物理安全实际上同样重要。事实上,它已经发展成为一个价值300亿美元的产业。如果攻击者将您的存储介质从保管库中移除,世界上所有的防火墙都无济于事。通过人工智能(AI)和物联网(IoT)等技术,物理安全变得越来越复杂,这意味着IT和物理安全的联系越来越紧密,因此安全团队必须共同努力来保护物理和数字资产。为什么人身安全很重要?物理安全本质上是保护您的设施、人员和资产免受现实世界的威胁。它包括物理威慑、入侵者检测和对这些威胁的响应。虽然环境事件(即自然因素或人为违反环境法规造成的灾难性事件)也会威胁到人身安全,但这里的“人身安全”一词一般是指阻止人们(无论是外部行为者还是潜在的内部威胁)进入区域或他们不应涉足的资产。这可能是让公众远离您的总部,让现场第三方远离敏感工作区域,或者让您的员工远离关键任务区域,例如服务器机房。物理攻击可能是闯入安全数据中心、潜入建筑物的禁区或使用他们无权访问的端点。攻击者可以窃取或损坏服务器或存储介质等关键IT资产,访问关键任务应用程序的关键端点,通过USB窃取信息或将恶意软件上传到您的系统,等等。最外围的严格控制应防止外部威胁,而围绕访问的内部措施应减少内部攻击者的可能性(或至少标记异常行为)。渗透测试公司TrustedSec的首席执行官大卫·肯尼德(DavidKenned)曾表示,公司在处理物理安全问题时最常犯的错误之一就是把注意力集中在前门上。他们会把所有的安全措施放在前门;监控摄像头、保安人员、徽章门禁,但他们并不关注整栋大楼的整体情况。吸烟区、现场健身房入口,甚至装载区都可能无人看守、无人监控且不安全。在出口处带有运动传感器的十字转门或类似障碍物也可以通过到达另一侧并四处挥动来轻松打开。虽然成功进行数字攻击的成本在增加,但对您的资产造成的物理损害可能同样严重。在物理安全故障的一个臭名昭著的例子中,芝加哥的一个托管站点在两年内被盗了四次,在第四次闯入期间劫匪拿走了20台服务器。人身安全风险范围据OnticProtectionIntelligenceCenter发布的《2021 年年中展望保护情报报告》,大流行和1月6日起义(指2021年1月6日,时任美国总统唐纳德·特朗普的支持者暴力闯入民与美国国会大厦骚乱相关的动乱,以及枪支暴力事件的增加,让CISO和其他高管更加关注人身安全,包括他们自己和员工的福祉。基于对300名身体健康人员的调查安全决策者、CISO、CIO、CTO和其他IT领导者,该报告强调了物理威胁的四个关注领域:减轻暴力威胁的人身安全;更大的威胁场景:情报失误使高管和员工面临被内部人员伤害或破坏支持的风险链条或财产盗窃。71%的受访者表示,物理威胁形势在2021年发生了“巨大”变化;物理安全和网络安全之间缺乏一致性:大多数受访者(69%)表示统一网络安全和物理安全有助于避免导致其组织陷入困境或消亡的事件。这包括使用单一平台来识别和传达威胁;意想不到的挑战:与之前的研究相反,IT和安全领导者在2021年面临的一些关键挑战并不是他们预期在2020年会遇到的。这些挑战包括报告合规性和证明物理安全投资的回报。总体而言,64%的受访者表示,到2021年为止,物理威胁活动有所增加,而58%的受访者表示,他们觉得还没有准备好处理其组织的物理安全问题。物理安全原则和措施物理安全归结为几个核心组件:访问控制和监控。(1)访问控制访问控制涉及的领域很大,包括对更复杂事物的基本障碍,例如键盘、ID卡或生物识别限制门。第一道防线是建筑物本身——大门、栅栏、窗户、墙壁和门。锁定它们,在各处添加带刺铁丝网、警告标志和警卫等威慑物,将减少在您所在位置的大多数随机尝试。门禁系统有很多种,每种都有自己的优点和缺点。简单的ID扫描仪可能很便宜,但它们很容易被盗或伪造。近场通信(NFC)或射频识别(RFID)卡使伪造变得更加困难,但并非不可能。将NFC植入员工——据报道,这在瑞典已成为一种趋势,并引起了英国工会的愤怒——也是一种减少丢失卡片机会的方法。生物识别安全也是保护设施和设备的常见选择。从理论上讲,我们独特的物理标识符——无论是指纹、虹膜、面部甚至是你的脉搏——比任何卡片都更难被窃取或伪造。ABIResearch的一份报告预测,生物识别技术的使用在未来只会增加。指纹仍然是最常用的方法,但ABI表示它将随着面部、虹膜和脉搏的应用而增长。即便如此,生物特征认证也并非无懈可击。据悉,假手指可以战胜指纹读取器,照片或面具足以骗过面部识别,德国黑客组织ChaosComputerClub甚至找到了仅使用照片和隐形眼镜就能击败虹膜识别的方法。(2)监视监视包括从巡逻警卫、防盗警报器和闭路电视到声音和运动传感器以及记录谁去了哪里的一切。在风险较高的位置,公司可以部署更复杂的探测器,例如接近、红外、图像、光学、温度、烟雾和压力传感器,以保持对其设施的整体可见性。物联网和人工智能将物理安全带入数字世界物理安全和数字安全在过去往往是完全独立的领域,但如今它们正慢慢变得越来越交织在一起。监控系统越来越多地连接到互联网,访问控制系统和监控系统正在保存数字日志,物理安全中的人工智能用例越来越受欢迎。例如,基于闭路电视的图像识别可以提醒您注意接近的人或车辆。在更复杂的系统中,可以在整个设施中执行面部识别甚至行人识别,让您知道现场是否有不明人员,或者员工是否擅自闯入不该进入的地方。与访问控制相关的行为分析可以提醒您注意异常行为。公司也开始使用无人机进行设施监控,越来越多的无人机制造商希望增加自动化无人驾驶的能力。根据Memoori的研究,基于人工智能的视频分析可能会在未来五年内“主导”物理安全投资。TrustedSec的肯尼迪说:在过去的两年里,重点确实从健康和安全转移到信息安全,并试图真正保护所有信息和物理位置本身。我们看到了物理和逻辑安全的融合:如果您在纽约刷卡访问,但在中国通过VPN登录,这是一种检测潜在恶意活动并使用物理数据帮助提供入侵分析的方法在你的环境中。物理和IT安全团队协同工作然而,物理安全技术的这种发展意味着IT和物理安全需要更加紧密地合作。数字日志需要经过处理、存储并呈现给合适的人。可能需要创建AI模型并训练系统。妥善保护所有联网设备非常重要。物理安全系统不再只是一个在检测到运动时向用户报告的传感器。这些都是高度技术化的系统,其复杂性每年都在增加。然而,安全提供商通常首先是设备制造商,现在他们想要进入整个物联网业务,所以他们的第二个身份实际上是开发商店。我们在这些设备上发现的实际上比我们过去看到的那些封闭系统引入了更多的曝光。这些设备通常可以被远程入侵。例如,闭路电视摄像机构成了Mirai僵尸网络的很大一部分,该网络在2016年的一次重大DDoS攻击中被用来关闭Dyn。如果您的传感器网络没有充分分段和保护,则一台设备中的漏洞可能允许攻击者禁用一系列安全流程。这些公司开始实施的技术非常有前途,确实有试图阻止恶意行为者闯入建筑物的心态,但它们在开发周期上还不成熟,需要很长时间才能修复。由于物理世界和数字世界日益融合,物理和IT安全越来越多地集成到跨职能团队中,一些公司已经创建了安全运营中心(SOC)来处理这两种类型的安全。然而,真正将两个运营中心整合的企业数量有限,目前大部分企业都将重点放在控制中心的整合上;与其在全国设立多个闭路电视监控中心,不如只使用一个大型监控中心,以提高运营效率。即使这两个团队没有合并成一个大的职能部门,这两个团队一起工作并分担责任仍然很重要。网络罪犯不关心个人的角色和职责是什么,不同的部门可以说完全不同的语言。拥有负责物理和IT安全的CSO可以将不同的团队聚集在一起,并有助于提高整个组织的安全性。鉴于欧盟的GDPR要求包括物理安全,确保所有团队一致并朝着同一目标努力至关重要。社会工程学和人身安全领域有一句古老的格言,“穿一件看得见的夹克,手拿梯子,可以到达任何地方”,因为人们的信任感在起作用。在入侵模拟期间,渗透测试人员经常试图通过冒充构建者、清洁工甚至IT支持人员来获得现场访问权限。在一家金融机构的分支机构,测试人员通过谎称他们正在为IT部门更新服务器,设法获得了访问权限。在另一个案例中,一个关于“修复崩溃的服务器”的小谎足以让电力公司办公室的一名警卫相信凌晨3点偷偷摸摸的两个黑衣人是合法雇员。鉴于此类攻击主要涉及人为因素,因此很难防御。如果您的员工允许友好但未经身份验证的人员进入他们不应进入的地方,那么最好的安全技术也将无法发挥作用。员工教育和意识是减少社会工程潜在威胁的关键。物理安全策略虽然您的控制和监控的规模和复杂性会因地点和需求而异,但有一些最佳实践可以全面应用,以确保稳健的物理安全态势。(1)采取基于风险的方法并进行研究以绘制您的风险概况并实施适当的控制措施。当带有闭路电视的简单卡锁就可以时,忘记雇佣一队武装警卫。供应商需要保护自己才能更好地保护他们的客户,因此供应链尽职调查是必须的。我们与谁合作,他们遵循哪些内部流程和政策,他们在强化系统方面遵循哪些框架?你必须确保你购买技术的卖家了解风险并有漏洞管理流程,出现问题时的安全建议通知等。(2)确保访问控制与人相关联并自定义访问权限每个身份证或关键代码应该有一个唯一的人与之相关联。“一捆”门禁卡或代码使数据泄露的可能性更大,也更难追踪。如果您的设施有严格的时间表,请确保访问与时间相关——例如,餐饮服务商不允许过夜访问。(3)保留审计线索,不仅要记录谁访问了什么,还要记录尝试访问的情况。多次失败的访问尝试可能表明存在不良行为者。知道谁负责所有卡、钥匙和其他访问项目。如果卡丢失或员工职位变动(如离职、调动等),需要及时撤销其访问权限。如果有人离开,请尽快取回钥匙。(4)教育员工遵守接待访客的流程人性往往是善的,但愿意相信好人多于坏人。教导员工(包括警卫)要持怀疑态度,遵循适当的程序,不要向外人提供太多关于您公司的信息,可以减少您被利用的机会。请务必检查ID并发布预先计划的访问,并制定处理上门访客的流程。确保访客不会被单独留在敏感区域。教育你的员工绝对是一个小投资的好主意,这样他们就不敢阻止没有徽章的人,因为害怕得罪人。此外,员工需要被告知在离开大楼时取下徽章并将其放在口袋里,以防止克隆或复制。(5)通过运行模拟测试你的能力和过程;尝试访问您自己的设施。同样,公司经常发送虚假的网络钓鱼电子邮件来测试员工对细节的关注程度,看看您的员工是否会通过电话提供信息或让未经身份验证的客人进来。
