每个人的邮箱账户都配备了最新、最强大的垃圾邮件过滤器。每台公司配备的设备都配备了端点检测和响应工具。入侵检测和防御系统守护着网络大门,对每一个看似奇怪的数据包发出“停止!”的警告。
你的系统已完全防护,黑客无法入侵?
办公楼的前门——那就另当别论了。攻击者很可能可以直接闯进来。
可以进行物理安全评估。基本上,攻击者可能会在获得许可的情况下闯入客户的大楼,帮助识别其物理防御的漏洞。
黑客进入办公室时,可以造成很大的破坏。休息室里那台无人看管的笔记本电脑?嗖!现在都是他的了,连同它主人可以访问的所有文档。那些放在空荡荡、未上锁的办公室桌子上的机密文件?也都是黑客的盘中餐了。
大多数人认为网络安全纯粹是数字领域的事情。这很有道理——“网络”这个词本身就很贴切。但网络攻击实际上可以从现实世界开始,而且指的不是那些有意识、有敌意的机器人(至少现在还不是)。
恶意的外部人员,甚至是恶意的内部人员,他们可以直接从你的大楼里入侵你的计算机系统。电话是从房子里打来的!
随着越来越多的组织让员工重返办公室,这些物理攻击可能会变得更加普遍,也更加容易得手。经过多年的远程办公,很多人在维护办公室安全方面已经变得生疏了。
物理网络安全风险以及组织可以采取哪些措施来应对。
增强安全情报
物理入侵的剖析
物理入侵可以以多种方式发生,根据经验,通常分三个阶段发生:
- 第一阶段:收集情报
- 第二阶段:获得访问权限
- 第三阶段:执行攻击
一起分解一下这些阶段。
第一阶段:收集情报
物理评估的第一阶段是收集目标情报。当然,我们不会向客户索要这些信息,因为我们不需要。仅仅通过观察员工的日常生活就能了解到关于一家公司的信息,这真是令人惊叹。比如,可能会去公司的Instagram账号找员工的照片。他们穿制服吗?他们有着装要求吗?这些信息我可以用来融入公司。
如果运气好的话,或许能瞥见一枚员工证,这能帮攻击者伪造一个令人信服的假证。虽然它不能进门,但至少能让攻击者在园区里时少受点压力。也许可以在你的网站上找到供应商列表。攻击者可以冒充办公用品送货员了。
也许攻击者可以去你们的大楼里稍微监视一下。员工们用的是哪扇门?有没有专门的入口供公众出入?你们有安保人员吗?他们在哪里站岗?
即使是最微不足道的细节,也可能被用来对付你。比如,攻击者可能会查到你的垃圾清运时间表。你或许感觉很奇怪,如果垃圾清运日是星期三,攻击者就会星期二晚上过来,因为他们知道垃圾桶已经满了。这意味着攻击者很有可能找到写在便签上的网络密码,或者某人懒得撕碎的机密备忘录。
第二阶段:获得访问权限
黑客都希望自己能像詹姆斯·邦德那样,用一些非常厉害的技巧闯入客户的大楼,但事实上,通常会和其他人一起从前门进去。这种攻击方式叫做“尾随”。
尾随是指不法分子尾随授权人员进入安全区域。想象一下办公楼:员工通常需要某种徽章或钥匙扣才能开门。而作为攻击者,你显然没有这些。所以,你需要紧跟员工身后,这样当他们带着徽章进来时,他们要么帮你把门打开,要么你就能在门关上之前抓住他们。
事实证明,尾随聚会非常成功。人们都很有礼貌!即使他们知道你不属于那里,大多数人也不想说什么。太尴尬了。而社会工程学正是依靠这种人性化的反应。
这并不是说犯罪分子不会用传统方法闯入建筑物。只是他们真的不需要这么做。
第三阶段:执行攻击
进去之后,很可能会偷点东西。放在外面的敏感文件和设备是主要目标,但这还不是全部。可能会刷员工证或大楼钥匙来扩大访问权限,以便在需要离开时重新进入。如果能拿到公司设备,就能访问公司网络。可以冒充设备所有者,用他们的账户发送钓鱼邮件。可以在公司目录中植入恶意文件。
攻击者可以做的另一件有趣的事情是诱饵——将装有恶意软件(嗯,假恶意软件)的 USB 驱动器扔到建筑物周围。
人真是有趣:人们看到一个随机的U盘,总忍不住想插上去看看里面有什么。也许他们是好心人,想查明失主的身份。也许他们只是好奇。不管怎样,他们都会惹上麻烦。那个U盘会偷偷地感染一些恶意程序,比如键盘记录器或勒索软件。
在任何体能评估中,可以观察别人需要多长时间才能阻止陌生人。 国外某网络安全人员在一次评估中,保安花了四个小时才开始找他。
以下是应该做的:
重新考虑假设
我们都知道当你假设时会发生什么,对吧?
你让一个糟糕的演员的工作变得容易多了。
人们在安全管理中,特别是物理安全方面犯下的最大错误之一,就是想当然地认为所有正确的保护措施都已到位。一些简单的事情,比如想当然地认为“自动锁门”真的会自动锁上。或者想当然地认为人们正在使用碎纸机。又或者想当然地认为员工会在走廊里拦住陌生人,询问他们在做什么。
然而事实上,经常发现情况如下:那扇门锁很久没用了。人们把机密文件扔进了普通垃圾桶。看到走廊里有个陌生人,心想:“这关我什么事!”
所有这些小失误累积起来,让攻击者得以在众目睽睽之下发动复杂的攻击。鼓励各机构不要想当然。检查门锁好。不要只相信徽章刷卡器上的小红灯。拉一下。告诉人们要撕碎什么。如果你看到陌生人,不要害怕询问他们在做什么。
提供更好的物理安全培训
网络安全培训应该在物理安全实践上投入更多时间。这或许不是最常见的攻击途径,但却是许多组织防御体系中一个巨大的漏洞。想想一般的网络安全培训。如果培训中真的提到了物理安全——这种情况很少见!——通常也只是“别让你的公司笔记本电脑被盗”这么简单。
物理安全应该像其他主题一样得到深入的重视。例如,培训通常会涵盖网络钓鱼邮件中的危险信号,例如语法错误和紧急请求。那么,教人们如何识别办公室访客的危险信号,例如未佩戴胸牌且无人陪伴地四处走动,又如何呢?
指示越明确越好。以尾随行为为例。仅仅告诉人们不要让陌生人进入大楼,并不能让他们真正学会如何应对现实世界中的尾随者。
相反,人们应该清楚地知道发现陌生人时该怎么做。通常情况下,答案很简单:“您来见谁?我带您去安检处办理登机手续。” 如果您遇到的是真正的访客,他们会感激您的帮助。如果您遇到的是攻击者,他们很可能会在被发现后放弃任务。
还记得关于重新考虑假设的那部分吗?任何细节都值得纳入物理安全培训。告诉人们锁好敏感数据和设备。确保他们知道碎纸箱的存在。把不明身份的U盘的危险性牢牢记在他们脑子里。
设置空间以增强物理安全
确保员工随时可以获得所需的资源,从而尽可能轻松地遵循物理安全政策、流程和最佳实践。例如,建议在每个办公桌和每台设备上都留存所有安全联系人的电话号码和电子邮件地址。这样,如果发生意外,员工就能立即知道向谁报告。此外,还应该方便将访客直接带到安检处,因此可以考虑设置一个实体安检台。
并确保员工有办法保护他们的设备和文件,例如个人储物柜、带锁的文件柜和每张办公桌上的电脑锁。
网络安全始于物理安全
网络攻击不仅仅发生在网上,因此你不能依赖纯粹的数字防御。
如果这里要吸取一个重要的教训,也许就是:对于人身安全而言,小细节与大局同样重要,甚至可能比大局更重要。当然,你需要一个总体的物理安全策略,而这又与总体的网络安全策略息息相关。但组织面临物理攻击的风险,并不一定是因为缺乏战略思维。这通常是一个实用性问题:人们是否确切知道如何应对物理威胁,并且他们是否被授权这样做?通过重新思考你的假设,投资于更好的培训,并为人们配备合适的资源,你就能挫败许多潜在的攻击。虽然这会让我的工作更加困难,但你会让世界变得更加安全。
因此,这种权衡可能是值得的。
原文始发于微信公众号(祺印说信安):网络安全始于物理安全
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论