安全专家S. Harris 表示:“物理安全指人员、数据、设备、系统、设施和公司资产相关的安全防护。”她还列举了物理安全防护的各种管理方式: “站点设计和布局、环境组件、应急准备、培训、访问控制、入侵检测,电源及消防安全。”本文重点关注的是通过适当的安全意识培训计划进行人员培训,从而保证物理安全。
何为物理安全
安全意识公司(SAC)的撰稿人Justin Bonnema 指出了安全的三大领域:
1. 网络安全(例如计算机、网络与信息安全;重要任务:加密、数据备份)
2. 人身安全(例如:员工、咨询师、供应商、合作伙伴,以及任何与公司接触的人员;重要任务:防止社会工程骗局)
3. 物理安全(例如电线、硅、玻璃和建筑物;重要任务:锁门、干净的办公桌、态势感知、文件粉碎)
这些领域相互交织,一个领域中的一个小问题可能会打破另外两个领域的平衡。
若未财务物理安全措施,大部分数字防御都是徒劳。对于大多数物理安全威胁来说,告警系统、双门互锁门禁和物理入侵检测系统等方案比较奏效。然而,人(而不是墙)是物理安全防范中的第一道防线。在这一方面,即使是最厚实的墙和最前沿的技术也无法与内部人员相提并论。此外,IBM 研究表明,人为错误是95% 安全事件的根本原因。
物理安全问题:职业生活领域
• 谁可进入大厦?
• 谁可进入敏感数据保存区?
• 如何控制访问者?
• 您的桌面是否干净?
• 如何保护工位的电脑屏幕?
• 如何保存/ 传输敏感数据的硬拷贝?
• 您是否了解和遵守工作中的文件粉碎政策?
因为现在的重点是技术控制措施,很多工作人员往往忽视自己的部门中纯粹的物理安全问题。若未对所有强制性的物理安全要求进行尽职调查,公司可能会被以正当理由被追究刑事责任或赔偿责任。无人看管的设备最容易被窃取。若这些失窃的设备碰巧存储有个人身份信息,这将是公司因过失而被提起诉讼的绝佳理由。
此类情况并非不合情理:数据泄露统计表明,74,000 名员工丢失的笔记本中的个人数据未加密。物联网(IoT)现象正在扩大物理安全的范围。如今,移动设备如此之多,经验丰富的盗窃者可轻易得手。
物理安全问题:移动生活领域
• 谁可访问您的移动设备?
• 是否您所有的移动设备都启用了锁屏,以防止未经授权的访问?
• 若移动设备丢失,您会怎么做?
• 旅游时,如何保护您的移动设备?
• 在使用设备时,您是否意识到有人在关注您的屏幕内容?
通过对公司的IT 系统进行物理访问,黑客更容易借助各种手段入侵这些系统。例如,黑客可能会入侵访问控制智能卡。本文重点介绍物理安全防护的非技术方法。
常见的物理安全威胁
社会工程
社会工程攻击针对的是人性和善意。诈骗分子试图利用骗术(假冒或狡诈行为,如虚假奉承)获得内部人士的信任。此外,社会工程攻击者还想方设法利用人类的其他特性,如提供援助的意愿、自负。换言之,社会工程攻击试图通过攻击人类来绕过IT 和物理安全控制措施。
在物理安全方面,攻击者旨在将社会工程攻击作为入侵组织IT 基础设施或物理设施的踏脚石。例如,恶意攻击者可伪装成维修人员潜入大厦。一旦成功进入大厦,他就会选择安装嗅探器来获取各种敏感数据。
捎带和尾随
捎带和尾随是指不具备访问权限者借助于其他有权限的人潜入安全领域。
尾随是指入侵者在某人或某个团队不知情的情况下一起悄悄混进受保护区域。例如,入侵者跟随一位毫不知情的员工。该员工打开一扇通往安全区域的门,但并未注意四周,这时入侵者也来到了门前,趁势流进了受限区域。
还有一种情况,入侵者(被助一臂之力)和一名有访问权限的人员进入了安全地区,而后者完全只知道有人跟他进来,但并没有意识到是一名入侵者。捎带情况的常见例子有:
- 保安或员工允许谎称忘带钥匙的攻击者进入
- 攻击者伪装成技术员并说服保安/ 员工允许其进入通往安全区域的大门
- 攻击者搬着大而笨重的东西(如大型纸板箱),在门口礼貌地请求保安/ 员工为其开门。
垃圾搜寻
垃圾搜寻是指通过搜索特定实体来查找可能有助于改进潜在攻击策略信息的行为。通常,此类有用信息是与其他信息混杂在一起的。例如,Kevin Mitnick 曾经使用公司通讯向新员工打探情况,这些新员工因希望给高层留下良好的第一印象而非常愿意提供敏感信息。
多数情况下,攻击者会从垃圾中搜寻哪些情报呢?通常主要是网络配置、访问文档、废弃存储媒体、员工信息等;以及可能用于社会工程场景的所有敏感信息。
很多公司对其垃圾和垃圾处理过程都很大意。此外,即使是现在,组织的大量有价值的信息被打印出来,包括专有数据和看似良性的数据。员工仍然会忽视风险,将重要的商业或员工文件直接扔进垃圾桶。这种安全疏忽是一个非常容易利用的低级漏洞。粗心大意通常要付出很大的代价。美国卫生及公共服务部的民权办公室(HHS-OCR)和联邦贸易委员会(FTC)对药品零售商CVS Caremark 进行了彻底调查后发现该零售商物理安全控制措施不到位,随即处以225 万美元的罚款。两个机构称,CVS 直接将如药物说明书和处方药瓶标签等敏感物品扔到公共垃圾箱。
垃圾搜寻是一项恶意活动,与公司的物理安全直接相关。垃圾搜寻可检验公司对于未经授权人员对垃圾存放处搜寻的限制情况。很多组织在整个组织区域内部署多个特殊的锁定容器,以便于员工安全地丢弃敏感或专有数据。这些容器的工作原理和邮局信箱是一样的:您可以放入一件东西,但放入后不能再收回。
用于限制搜索公司垃圾桶的措施(如碎纸机、锁,以及鼓励员工遵守每项置程序)不一而足。交叉切割碎纸机将整张纸粉碎成小纸屑,在各类碎纸机中效果最为显著。
然而,若没有严格的宣传活动教给员工如何使用这些措施,则这些措施都是徒劳的。
肩窥(例如:越过某人的肩膀窥视密码)
有时候,骗子们愿意冒险去接近目标人员,窥视其屏幕内容或输入信息。放置在显示屏上的屏幕过滤器可以阻止窥探。此外,密码屏蔽(即密码显示为星号)是一个好主意。
至于输入安全,只需在键入重要内容(如密码)时伸手遮挡即可。其他可防止肩窥的建议包括:不在公共区域使用公司计算机;靠墙坐着;在输入键入敏感内容时移动设备或键盘,让身体微微靠向设备或键盘。
物理安全意识计划
重要性
由于某种原因,大部分意识计划往往都忽略了物理安全教育。然而,物理安全意识培训以及对员工开展最佳安全实践教育对于预防某些社会工程攻击来说不可或缺。如下图所示,最佳安全实践包括实施访客政策、工作站锁定、加密(移动)设备和U 盘,以及保持桌面干净(见下图)。
“哦,安全不是我的职责所在,我又不是技术人员。”这个说法大错特错,因为安全是每个人的责任。同样,物理安全也是每个人的责任。物理安全不应只是安全人员的责任,因为人身安全涉及到使用公司设施的每个人。因此,所有员工都应参与安全意识相关会议。
教育每个员工(而不只是专业安全人士)将可疑活动和行为上报安全人员是每个安全意识计划的一个主要目标。大多数员工都有很多工作要做,因此不应指望他们成为专业安
全人士,但他们经过培训后应对威胁有所了解,并且遇到威胁时应上报。
建议
“安全意识差是防御网络攻击的最大障碍。况且,目前很多安全意识培训很糟糕。”lexi表示。
以下是有关物理安全意识的一些最佳实践,可能对您有用:
• 阐明物理安全与网络安全的交叉部分—毕竟,我们讨论的是信息技术领域的物理安全问题。因此,“物理”一词的含义可能超越了传统界限。例如,员工离开办公桌时,锁定或关闭计算机是物理安全问题,因为公司已强调过“请妥善保管好贵重物品”。
http://www.lbmcinformationsecurity.com
“一项全面有效的安全意识计划须涉及多种宣传方法和一系列主题,让用户了解当今世界网络犯罪分子所采用的策略。”
• 培训内容要生动有趣且贴近员工。(如:保持手机不离身!我们的一位同事在饮料续杯期间,手机就被偷了。他说,手机在桌子上放了也就30 秒时间。)建议制定互动性更强的培训计划,引起员工的兴趣,寓教于乐。很多组织的安全意识培训只是通过邮件发送一系列过期的幻灯片。如此以来,安全意识培训就变成了平常的一次在方框内打钩的练习题而已。凡事不能一概而论。安全意识培训应因人而异。博得受训人员的情感支持– 人们往往会记住那些可能会影响到自己的东西,因此培训内容应与他们自身的相关性更强。
• 时不时地重复基础知识—围绕核心原则进行演练:邮件、电话、便签、海报、持续培训等。• 开展物理安全方面的渗透测试—这是切实可行的。在组织范围内模拟真实“入侵者”攻击。“入侵者”可就物理安全意识计划中的内容对员工进行攻击测试,并增加更多与安全相关的挑战。
• 安全意识计划若要达成效果应不仅限于满足合规要求。
• 我们再次强调物理安全的重要性。说服培训学员,使其认识到物理安全是很重要的问题。若受训人员认为培训是浪费时间,那么公司虽然投入了时间、金钱和精力,却只是枉费功夫,徒劳一番而已。
免责声明
本文原文来自于互联网的公共方式,由绿盟科技博客和“安全加”社区出于学习交流的目的进行翻译,而无任何商业利益的考虑和利用,“安全加”社区已经尽可能地对作者和来源进行了通告,但不保证能够穷尽,如您主张相关权利,请及时与“安全加”社区联系。
“安全加”社区不对翻译版本的准确性、可靠性作任何保证,也不为由翻译不准确所导致的直接或间接损失承担责任。在使用翻译版本中所包含的技术信息时,用户同意“安全加”社区对可能出现的翻译不完整、或不准确导致的全部或部分损失不承担任何责任。用户亦保证不用做商业用途,也不以任何方式修改本译文,基于上述问题产生侵权行为的,法律责任由用户自负。