什么是物理安全？如何保护您的设施和设备免受现场攻击者的侵害

物理安全定义

物理安全是保护人员、财产和物理资产免受可能造成损害或损失的行为和事件的影响。虽然经常被网络安全忽视，但物理安全同样重要。事实上，它已经发展成为一个价值 300 亿美元的产业。如果攻击者从存储室中移除您的存储介质，世界上所有的防火墙都无法帮助您。

通过人工智能 (AI) 和物联网 (IoT) 等技术，物理安全变得日益复杂，这意味着 IT 和物理安全的联系越来越紧密，因此安全团队需要共同努力保护物理安全和数字资产。

为什么物理安全很重要

从本质上讲，物理安全是让您的设施、人员和资产免受现实世界的威胁。它包括物理威慑、入侵者检测和对这些威胁的响应。

虽然它可能来自环境事件，但该术语通常用于阻止人们——无论是外部行为者还是潜在的内部威胁——进入他们不应该进入的区域或资产。它可能会让公众远离您的总部、敏感工作区域的现场第三方，或者您的任务关键区域（例如服务器机房）的员工。

物理攻击可能是闯入安全数据中心、潜入建筑物的限制区域或使用他们无法访问的终端。攻击者可能会窃取或损坏重要的 IT 资产，例如服务器或存储介质、访问关键任务应用程序的重要终端、通过 USB 窃取信息或将恶意软件上传到您的系统。

最外围的严格控制应该能够阻止外部威胁，而围绕访问的内部措施应该能够减少内部攻击者的可能性（或至少标记异常行为）。

渗透测试公司 TrustedSec 的首席执行官大卫肯尼迪表示，公司在接近物理安全时最常犯的错误之一是专注于前门。“他们会把所有的安全措施都放在前门；监控摄像头、保安人员、徽章访问，但他们不关注的是整个建筑的整体。”

物理安全风险范围

大流行、与 1 月 6 日起义有关的内乱以及枪支暴力事件的增加使 CISO 和其他高管更加关注人身安全，包括他们自己和员工的福祉。这是根据Ontic 保护情报中心发布的《2021 年年中展望保护情报报告》得出的结论。

该报告基于对 300 名物理安全决策者、CISO、CIO、CTO 和其他 IT 领导者的调查，强调了对物理威胁的四个关注领域：

业务连续性：不受管理且不断增加的物理威胁会增加企业风险，并可能影响业务连续性。该报告建议公司投资于物理安全以减轻暴力威胁。
更大的威胁格局：情报失败使高管和员工面临内部人员遭受人身伤害或供应链损坏或财产盗窃的风险。71% 的受访者表示，2021 年物理威胁格局发生了“巨大”变化。
物理安全和网络安全之间缺乏统一：大多数受访者 (69%) 表示，统一网络安全和物理安全可以帮助避免导致其组织陷入困境或死亡的事件。这包括拥有一个单一平台来识别和传达威胁。
意料之外的挑战：与之前的研究相比，IT 和安全领导者在 2021 年面临的一些关键挑战并不是他们在 2020 年预期会遇到的挑战。这些挑战包括监管合规报告和展示物理安全投资的回报。

总体而言，64% 的受访者报告说，到 2021 年到目前为止，物理威胁活动有所增加，而 58% 的受访者表示，他们觉得自己在为组织处理物理安全方面的准备不足。

物理安全原则和措施

物理安全主要归结为几个核心组件：访问控制和监视。

访问控制

访问控制涵盖了一个很大的区域，其中包括对更复杂的东西（例如键盘、ID 卡或生物识别限制门）的基本屏障。

第一道防线是建筑物本身——大门、栅栏、窗户、墙壁和门。锁定这些，增加威慑物，如带刺铁丝网、警告标志和可见的警卫，将推迟对您所在位置的大多数随意尝试。

门禁系统多种多样，各有优缺点。简单的身份证扫描仪可能很便宜，但很容易被盗或伪造。近场通信 (NFC) 或射频识别 (RFID) 卡使锻造变得更加困难，但并非不可能。将 NFC 嵌入工人——据报道这在瑞典成为一种趋势并引起英国工会的愤怒——也是减少卡丢失机会的一种方式。

“RFID 徽章很容易复制，”Kennedy 警告说。“相反，在您实际上必须刷卡的地方使用磁条，并可能使用第二种形式的授权，例如密码。”

生物识别安全也是保护设施和设备的常用选项。从理论上讲，我们独特的身体标识符——无论是指纹、虹膜、面部甚至你的脉搏——都比任何卡片都更难窃取或伪造。ABI Research 的一份报告预测，未来生物识别技术的使用只会增加。指纹仍然是最常用的方法，但 ABI 建议它会随着面部、虹膜和脉搏的增长而增强。

“我还没有在公司看到很多面部识别，但远离生物识别技术，”肯尼迪说。“很多人都想转向那个，但有很多问题。”

假手指可以克服指纹识别器，照片或面具足以欺骗面部识别，德国黑客组织 Chaos Computer Club 找到了一种仅使用照片和隐形眼镜就可以击败虹膜识别的方法。

监视

监视包括从巡逻警卫、防盗警报器和闭路电视到声音和运动传感器以及记录谁去了哪里的所有内容。

在风险更高的地点，公司可以部署更复杂的探测器，例如接近度、红外、图像、光学、温度、烟雾和压力传感器，以保持对其设施的整体视图。

物联网和人工智能将物理安全带入数字世界

在过去，物理安全和数字安全通常是完全独立的领域，但它们正慢慢变得越来越交织在一起。监控系统越来越多地连接到互联网，访问控制系统和监控系统正在保存数字日志，而人工智能在物理安全中的用例变得越来越流行。

例如，基于闭路电视的图像识别可以提醒您有人或车辆的到来。在更复杂的系统中，可以在整个设施中进行面部甚至步行识别，并让您知道是否有未知人员在现场或工人是否在他们不应该访问的地方。与访问控制相关的行为分析可以提醒您注意异常行为。公司也开始使用无人机进行设施监控，越来越多的无人机制造商正在寻求增加自动化的无人能力。根据Memoori 的研究，基于 AI 的视频分析可能会在未来五年内“主导”物理安全投资。

TrustedSec 的肯尼迪说：“在过去的两年里，重点确实从健康和安全转移到了信息安全以及试图真正保护所有信息以及物理位置本身。” “我们非常看到物理和逻辑安全的融合；如果您在纽约进行徽章访问刷卡，但您在中国通过 VPN 登录，那么这是一种检测潜在恶意活动并使用物理数据来帮助在您的环境中提供入侵分析的方法。 ”

将物理和 IT 安全团队聚集在一起

然而，物理安全技术的这种增长意味着 IT 和物理安全需要更紧密地运作。数字日志需要被处理、存储并呈现给合适的人。可能需要创建 AI 模型并训练系统。重要的是，所有连接互联网的设备都需要得到适当的保护。

“物理安全系统不再只是一个向用户报告是否检测到运动的传感器，”肯尼迪说。“这些都是技术含量很高的系统，它们的复杂程度每年都在增加。然而，安全提供商通常首先是设备制造商，现在他们想要进入整个物联网业务，因此他们实际上是第二个开发商店。我们在这些设备上发现的实际上比我们过去看到的那些封闭系统引入了更多的曝光。”

这些设备通常可以被远程黑客入侵。例如，闭路电视摄像机构成了Mirai 僵尸网络的很大一部分，用于在 2016 年的一次重大 DDoS 攻击中占领 Dyn。您的一系列安全流程。

“这些公司开始实施的技术非常有前途，并且确实具有试图阻止人们闯入建筑物的心态，但它们在开发周期中仍然不成熟，需要很长时间才能修复，”说肯尼迪。

由于物理和数字的日益融合，物理和 IT 安全越来越多地融合到跨职能团队中，一些公司创建了处理这两种安全类型的安全运营中心 (SOC)。

“确实融合了两个运营中心的企业数量有限，”物理安全和视频监控提供商 Axis Communications 的架构和工程行业联络人 Steve Kenny 说。“但目前大部分焦点都集中在控制中心的融合上；与其在英国各地设置几个闭路电视控制中心，不如只用一个大的控制中心来提高运营效率。”

即使两个团队没有合并为一个大的职能，肯尼说，两个团队一起工作并分担责任仍然很重要。“网络罪犯并不关心个人的角色和责任是什么，不同的部门可以说完全不同的语言。”

Kenny 说，让 CSO 负责物理和 IT 安全，可以将不同的团队聚集在一起，帮助提高整个组织的安全性。鉴于欧盟的 GDPR 要求包括物理安全，确保所有团队保持一致并朝着同一目标努力至关重要。

社会工程学和物理安全

这是一句古老的格言，穿着高大上的夹克并拿着梯子在任何地方都无法进入，因为人们天生信任并希望提供帮助。在入侵模拟期间，渗透测试人员经常试图通过冒充建筑商、清洁工甚至IT 支持人员来获得现场访问权限。

“到目前为止，我们最简单的进入方式就是走到一个你看到员工穿着西装的地方，”肯尼迪说。“我会穿着西装来冒充一位高管，然后走进一个穿着随意的人，因为十有八九他们不会因为重要程度而质疑我是谁。他们不想造成任何干扰或挑战对他们来说可能具有更高权威的人。”

在一家金融组织的分支机构，Kennedy 只需说他是从那里的公司 IT 部门更新服务器就能够获得访问权限。在另一个案例中，一个关于修复服务器崩溃的故事足以让电力公司办公室的一名警卫相信，两名凌晨 3 点穿着黑色衣服偷偷摸摸的人是合法员工。

鉴于此类攻击中涉及的主要人为因素，它们可能难以防御。如果您的员工允许友好但未经验证的人员进入他们不应该访问的地方，那么最好的安全技术就会失败。员工教育和意识是减少社会工程潜在威胁的关键。

物理安全策略

虽然您的控制和监控的规模和复杂程度会因位置和需求而异，但有一些最佳实践可以全面应用，以确保稳健的物理安全态势。

采取基于风险的方法并进行研究。映射您的风险状况并进行适当的控制。不要使用带闭路电视的简单卡锁就可以使用武装警卫团队。“供应商需要保护自己以保护他们的客户，因此必须进行供应链尽职调查，”肯尼说。“我们与谁合作，他们遵循什么样的内部流程和政策，他们在强化系统方面遵循哪些框架？”确保您购买技术的人了解风险并实施漏洞管理等措施如果出现问题，程序，安全咨询通知。

确保访问控制与人员相关联并自定义访问权限。每个 ID 卡或密钥代码都应该有一个唯一的人与之绑定。一揽子访问卡或代码使数据泄漏的可能性更大且更难跟踪。如果您的设施有严格的时间表，请确保访问与时间相关 - 例如，餐饮供应商不得通宵访问。

进行审计跟踪并保持库存。不仅要记录谁访问了什么，还要记录尝试。多次失败的访问尝试可能预示着不良行为者。知道谁在处理所有卡片、钥匙和其他访问物品。如果卡丢失或员工情况发生变化，则撤销访问权限。如果有人离开，请尽快收回钥匙。

教育员工遵守与客人打交道的协议。人们通常很友好，愿意提供帮助。教导员工——包括警卫——保持健康的怀疑态度，遵循正确的程序，不要提供太多信息，可以减少你自己的员工被利用来对付你的机会。确保检查 ID 并公布预先计划的访问，并制定处理意外访客的流程。确保访客不会被单独留在敏感区域。“教育你的员工总是一个好主意，可以确保他们不会害怕挑战没有佩戴徽章的人，”TrustedSec 的肯尼迪说。“正如与员工沟通，在他们离开大楼时将他们的徽章取下口袋[以防止克隆或复制]。”

测试您的能力和流程。运行模拟；尝试访问您自己的设施。同样，公司通常会发送虚假的网络钓鱼电子邮件来测试员工对细节的关注，看看你的员工是否通过电话提供信息或让未经验证的客人进入。