网络安全的物理方面

施耐德唐斯, 我们一直努力履行我们的责任，为我们的客户和广大社会提供值得信赖的网络安全顾问. 该责任的一个主要组成部分是全面理解并提供建议，当涉及到所有可能带来风险的重大网络安全威胁载体时. 例如，最近围绕在一个范围内的物理安全测试的争议 渗透测试 提出了以下几种形式的问题:

“我们真的需要担心有人试图闯入我们的数据中心吗?”

“网络威胁行为者真的会使用恶意USB接口来部署勒索软件吗?”

“我们应该多严格地设计和执行我们的物理安全政策和程序?

来帮助平息这些重要的焦虑, 我将在本文中分享我从执行攻击性物理安全测试和事件响应调查中获得的一些经验. 从这些经历中, 我可以毫不含糊地说，物理安全漏洞正在被现实世界的威胁分子利用，以实现重大的妥协, 利用这些物理漏洞通常比识别和利用虚拟安全漏洞要容易得多.

举个例子, 我个人曾在未经允许的情况下闯入过无数的公司大楼, 当然)，并且已经能够利用物理访问来进行虚拟妥协. 在一般情况下, 人们相信任何穿着得体、表现得像属于这个圈子的人(尤其是当那个人拿着一盒甜甜圈，在打电话的时候)!). 不幸的是, 感谢人性, 要获得对一个组织的计算机系统的物理访问太容易了. 威胁行为者倾向于利用最简单的东西, 最有效的技巧, 因此，仅仅因为物理安全攻击在过去没有被普遍利用，并不意味着它们在未来不会被利用. 我强烈建议所有组织对其物理安全控制进行某种形式的年度评估，以确保保持有效的状态.

最好地保护您的组织免受办公室物理安全攻击, 有八件事要记住:

1. 尾随-仅限主队

对大多数公司来说, 第一道防线包括公共可访问空间和受限制空间之间的逻辑访问控制. 你有责任确保你不允许任何未经授权的人进入限制的空间. 未能实施这种关键的安全控制是如此普遍，以至于它有了一个朗朗上口的名字:“尾锁”.“不要让任何你不认识的人通过用你的徽章或密码打开的门. 把你身后的门关上. 如果有人应该在那里，他们可以使用适当的渠道. (除非他们有甜甜圈, 当然, 在这种情况下，你应该把它们直接带到你的数据中心，在清新的空调里一起吃甜甜圈.)

2. 纸私家侦探

你可能听说过“清洁办公桌政策”.“你的办公室可能有一个. 但如果不是强制执行，我也不会感到惊讶, 或者没有人知道政策的内容. 这在一般的办公室里是很常见的, 因为很难真正执行清洁办公桌的政策, 而且大多数人不了解物理文档可见性可能导致的风险暴露. 事实是，数据可以——而且 is -从桌上的敏感材料中收集, 从各种各样的来源，从流氓员工, 流浪的游客, 下班后的工作人员和无人机窗口监视. 建议:尽量认真对待这项政策，尽可能清理你的办公桌. 请不要把你所有的密码都贴在便利贴上.

3. 停下，放下并锁定它

在大多数公司，执行不力的还有一项被称为“锁抽屉政策”的规定,这是最重要的办公室政策之一，绝对应该认真对待. 该策略的一般目标是在经过身份验证的访问会话结束后恢复对象的物理安全性. 这包括把你的笔记本电脑锁在抽屉里过夜, 出去吃午饭的时候把电脑锁起来, 或者在你出去的时候把禁区锁上. 不遵守这一规定就是所谓的“翘座位”,，并将通过更改未解锁设备的背景来受到惩罚.

4. 阅后即焚

通常称为“物理数据销毁策略”,这种预防措施通常被认为是对抗“物理信息副产品侦察”的最佳防御措施,又名“垃圾箱潜水”.” I’ve personally harvested significant sensitive information by 搜索ing dumpsters for paper and digital documents; i’s unbelievable what people will just throw away. 我找到了未加密的硬盘里面有成千上万的社会安全号码和各种个人身份信息. 销毁后再丢弃至关重要. 这包括所有纸质材料, 拇指驱动器, 硬盘驱动器, cd……甚至是打印机(我想起了电影《bet9游戏平台》中的一个标志性场景).

5. 5 bdf74912a51c34815f11e9a3d20b609

有很多众所周知的漏洞可以绕过未加密硬盘的本地安全, 如果没有某种形式的加密，保护数据不受物理访问几乎是不可能的. 我个人曾在闯入一家公司时(在获得许可的情况下)从台式机上偷过笔记本电脑和硬盘, 当然). 值得注意的是，许多组织对笔记本电脑进行加密，但对台式机不加密. 从历史上看, 台式机没有加密所需的TPM芯片, 但现在情况已经不同了. 现代加密技术比以往任何时候都要简单和快速得多. 任何Windows用户都可以使用BitLocker用一个简单的密码轻松加密他们的USB驱动器, 大多数其他通用操作系统都存在替代方案. 在我看来，媒体设备没有理由不加密. 加密是你的朋友.

6. 锁，摄像头和门，天哪!

硬件是物理安全的一个方面，通常被关注得太多……或者不够. 适当的安全硬件，没有强制的策略，是可利用的. 当然，如果没有有效的安全硬件，正确执行的策略也是如此. 与生活中的大多数事情一样，关键是保持健康的平衡. 对于物理安全设备，重要的是投资于有效的锁和门系统. 如果你的门锁很容易被撬开或撬开, 那么就很难实现强大的安全态势. 同样，确保你的相机系统的设计包括足够的覆盖和质量. 一遍又一遍地说enhance只会让你到此为止. 我建议执行某种形式的例行评估，其中包括硬件演练.

7. BS探测器

熟悉常用的物理攻击技术是防御它们的最佳方法之一. 一些最有效的借口包括:

• 为甜甜圈疯狂 ——一个穿着得体的人，抱着一大把甜甜圈和咖啡
• FedExploit -一件简单的制服和一个空盒子
• 通往任何地方的梯子 ——两个人扛着梯子
• 面试官谨慎行事 – someone in the lobby pretending to have a meeting/interview; maybe they spill coffee on their resume and ask you to print another one from their “totally safe” USB drive
• 免费的拥抱 – any pretext to get close enough to your badge to clone it; wireless badge cloners exist but often have a short range; be aware of someone who wants to get near your badge
• 打电话给妈妈 ——有人站在门口假装在打电话，等着追尾

如果有人向你提出一个奇怪的情况，要持怀疑态度. 问问你自己，他们可能想通过这种互动获得什么. 问一些具体的问题:“你叫什么名字??“你为谁工作??“我能看一下你的身份证吗??”

8. 邻里守望

有各种各样的物理攻击媒介，很难保持警惕, 更不用说遵守许多保证我们办公室安全的政策了. 熟悉这些政策很重要, 事件响应策略和与办公室物理安全相关的各种法律法规. 最后, 警报或检测物理安全威胁的最有效方法依赖于用户. 熟悉报告安全事件的流程是至关重要的，希望您已经实践了这一流程. 有疑问的时候，如果你看到了什么，就说出来.

施耐德唐斯如何提供帮助?

施耐德唐斯网络安全实践由多个技术领域的专家组成. 该团队在现实世界网络攻击场景中的技能和经验使我们能够为您的组织提供全面的外部漏洞，包括本文中探讨的物理风险, 从易受社会工程的影响到外部web应用程序的关键弱点. 了解更多关于我们的团队和bet9平台游戏 eyhi.ngskmc-eis.net/cybersecurity.