距離911事件已經(jīng)過去了整整20年，回顧2001年9月11日，在近一小時的時間里，共有兩架飛機撞向世貿(mào)中心，一架飛機撞向五角大樓，另一架飛機墜毀在賓夕法尼亞州香克斯維爾的一片空地上。

　　當(dāng)時，這起事件不僅導(dǎo)致了航空業(yè)的持續(xù)低迷，“物理安全”這個話題也逐漸被世界關(guān)注到。試想一下，如果911事件前，世貿(mào)大廈里所有的物理安全設(shè)備都經(jīng)過縝密的檢查，并且在事件發(fā)生時能夠及時啟動有效的安全防范措施，無論是保證逃生路線的暢通，還是消防設(shè)施的正常使用，或者是防火門的正常啟用，更及時的通知救災(zāi)人員等等……那么遇難者的人數(shù)將遠遠低于2996這個數(shù)字，經(jīng)濟損失也不會高達當(dāng)年國家GDP的2%（約2000億美元）。

　　災(zāi)難帶來的后遺癥久未消散，唯一慶幸的一點是，物理安全系統(tǒng)引起了重視，并在人們的不懈努力下發(fā)展至今，已經(jīng)形成了一套非常完備的理論和標(biāo)準(zhǔn)的工作流程——覆蓋日常安防工作和安全事件發(fā)生時——可以有效地提高安防效果，最大化地避免或降低損失。

　　物理安全定義

　　維基百科上對“物理安全”的定義為：

　　物理安全描述了旨在拒絕未經(jīng)授權(quán)訪問設(shè)施，設(shè)備和資源并保護人員和財產(chǎn)免受損害或傷害（如間諜活動，盜竊或恐怖襲擊）的安全措施。物理安全涉及使用多層互相依賴的系統(tǒng)，其中包括閉路電視監(jiān)控、安全警衛(wèi)、防護屏障、鎖、訪問控制協(xié)議以及許多其他技術(shù)。

　　簡而言之，就是利用集成了各種安防設(shè)備和技術(shù)的系統(tǒng)，來保護人員和財產(chǎn)的安全。

　　雖然不如網(wǎng)絡(luò)安全般受到重視，但物理安全實際上同樣重要。事實上，它已經(jīng)發(fā)展成為一個價值300億美元的產(chǎn)業(yè)。如果攻擊者從存儲室中移除您的存儲介質(zhì)，世界上所有的防火墻都幫不了你。

　　通過人工智能（AI）和物聯(lián)網(wǎng)（IoT）等技術(shù)，物理安全性正變得日益復(fù)雜，這意味著 IT 和物理安全的聯(lián)系越來越緊密，因此安全團隊必須協(xié)同合作以保護物理和數(shù)字資產(chǎn)。

　　為什么物理安全非常重要？

　　從本質(zhì)上講，物理安全是讓您的設(shè)施、人員和資產(chǎn)免受現(xiàn)實世界的威脅。它包括物理威懾、入侵者檢測以及對這些威脅的響應(yīng)。

　　雖然環(huán)境事件（即因為自然因素或人類違反環(huán)境法規(guī)而導(dǎo)致的災(zāi)難事件）也會威脅物理安全，但這里說的“物理安全”通常指阻止人們（無論是外部行為者還是潛在的內(nèi)部威脅）訪問他們不應(yīng)該涉足的區(qū)域或資產(chǎn)。它可以是讓公眾遠離您的總部，讓現(xiàn)場第三方遠離敏感工作區(qū)域，或是讓你的員工遠離任務(wù)關(guān)鍵區(qū)域（例如服務(wù)器機房）。

　　物理攻擊可能是闖入安全數(shù)據(jù)中心、潛入建筑物的限制區(qū)域或使用他們無權(quán)訪問的終端。攻擊者可能會竊取或損壞重要的 IT 資產(chǎn)（例如服務(wù)器或存儲介質(zhì)），訪問關(guān)鍵任務(wù)應(yīng)用程序的重要終端，通過 USB 竊取信息或?qū)阂廛浖蟼鞯侥南到y(tǒng)上等等。

　　最外圍的嚴格控制應(yīng)該能夠抵御外部威脅，而圍繞訪問的內(nèi)部措施應(yīng)該能夠減少內(nèi)部攻擊者的可能性（或至少能夠標(biāo)記異常行為）。

　　滲透測試公司TrustedSec的首席執(zhí)行官David Kenned曾表示，公司在接近物理安全時最常犯的錯誤之一就是專注于前門。他們會把所有的安全措施都放在前門；監(jiān)控攝像頭、保安人員、徽章訪問，但他們沒有關(guān)注到整個建筑的整體。吸煙區(qū)、現(xiàn)場健身房入口，甚至裝載區(qū)都可能無人看守、無人監(jiān)控和不安全。通過將手伸到另一側(cè)并四處揮動，也可以輕松打開出口處帶有運動傳感器的旋轉(zhuǎn)門或類似障礙。

　　雖然成功的數(shù)字攻擊成本不斷增加，但針對您資產(chǎn)的物理損壞可能同樣不容小覷。一個臭名昭著的物理安全失敗例子是芝加哥的一個托管站點在兩年內(nèi)被搶劫了四次，劫匪在第四次闖入時搶走了 20 臺服務(wù)器。

　　物理安全風(fēng)險范圍

　　根據(jù)Ontic 保護情報中心發(fā)布的《2021 年年中展望保護情報報告》指出，疫情大流行、與 1月 6 日起義（指2021年1月6日，時任美國總統(tǒng)唐納德·特朗普的支持者暴力闖入美國國會大廈的騷亂事件）有關(guān)的內(nèi)亂，以及槍支暴力事件的增加使 CISO 和其他高管更加關(guān)注物理安全，包括他們自己和員工的福祉。

　　該報告基于對 300 名物理安全決策者、首席信息安全官、首席信息官、首席技術(shù)官和其他 IT 領(lǐng)導(dǎo)者的調(diào)查，強調(diào)了對物理威脅的四個關(guān)注領(lǐng)域：

　　業(yè)務(wù)連續(xù)性：不受管理且不斷增加的物理威脅會增加企業(yè)風(fēng)險，并可能影響業(yè)務(wù)連續(xù)性。該報告建議公司投資于物理安全以減輕暴力威脅；

　　更大的威脅場景：情報失敗使高管和員工面臨內(nèi)部人員帶來的物理傷害或供應(yīng)鏈損壞或財產(chǎn)盜竊的風(fēng)險。71% 的受訪者表示，2021 年物理威脅格局發(fā)生了“巨大”變化；

　　物理安全和網(wǎng)絡(luò)安全之間缺乏統(tǒng)一：大多數(shù)受訪者（69%）表示，統(tǒng)一網(wǎng)絡(luò)安全和物理安全可以幫助避免導(dǎo)致其組織陷入困境或滅亡的事件。這包括擁有一個單一平臺來識別和傳達威脅；

　　意料之外的挑戰(zhàn)：與之前的研究相比，IT 和安全領(lǐng)導(dǎo)者在 2021 年面臨的一些關(guān)鍵挑戰(zhàn)并不是他們在 2020 年預(yù)期會遇到的挑戰(zhàn)。這些挑戰(zhàn)包括監(jiān)管合規(guī)報告和展示物理安全投資的回報。

　　總體而言，64% 的受訪者表示，2021 年到目前為止，物理威脅活動有所增加，而 58% 的受訪者表示，他們覺得自己在為組織處理物理安全方面的準(zhǔn)備不足。

　　物理安全原則和措施

　　物理安全主要歸結(jié)為幾個核心組件：訪問控制和監(jiān)視。

　　訪問控制

　　訪問控制涵蓋了一個很大的領(lǐng)域，其中包括對更復(fù)雜的東西（例如鍵盤、ID 卡或生物識別限制門）的基礎(chǔ)屏障。

　　第一道防線是建筑物本身——大門、柵欄、窗戶、墻壁和門。鎖定這些，增加威懾物，如帶刺鐵絲網(wǎng)、警告標(biāo)志和隨處可見的警衛(wèi)，將減少對您所在位置的大多數(shù)隨意嘗試。

　　門禁系統(tǒng)多種多樣，各有優(yōu)缺點。簡單的身份證掃描儀可能很便宜，但很容易被盜或偽造。近場通信（NFC）或射頻識別（RFID）卡增加了仿造困難度，但也并非完全不可能。將 NFC 植入員工體內(nèi)——據(jù)報道這在瑞典已經(jīng)成為一種趨勢并引起了英國工會的憤怒——也是減少卡丟失機會的一種方式。

　　生物識別安全也是保護設(shè)施和設(shè)備的常用選項。從理論上講，我們獨特的身體標(biāo)識符——無論是指紋、虹膜、面部甚至你的脈搏——都比任何卡片都更難竊取或偽造。ABI Research 的一份報告預(yù)測，未來生物識別技術(shù)的使用只會增加。指紋仍然是最常用的方法，但 ABI 建議它會隨著面部、虹膜和脈搏的應(yīng)用增長而不斷增強。

　　即便如此，生物識別驗證也并非牢不可破。據(jù)悉，假手指可以克服指紋識別器，照片或面具足以欺騙面部識別，德國黑客組織 Chaos Computer Club甚至找到了一種僅使用照片和隱形眼鏡就可以擊敗虹膜識別的方法。

　　監(jiān)視

　　監(jiān)視包括從巡邏警衛(wèi)、防盜警報器和閉路電視到聲音和運動傳感器以及記錄誰去了哪里的所有內(nèi)容。

　　在風(fēng)險更高的地點，公司可以部署更復(fù)雜的探測器，例如接近度、紅外、圖像、光學(xué)、溫度、煙霧和壓力傳感器，以保持對其設(shè)施的整體可視性。

　　物聯(lián)網(wǎng)和人工智能將物理安全帶入數(shù)字世界

　　在過去，物理安全和數(shù)字安全通常是完全獨立的領(lǐng)域，但如今它們正慢慢變得越來越緊密。監(jiān)控系統(tǒng)越來越多地連接到互聯(lián)網(wǎng)，訪問控制系統(tǒng)和監(jiān)控系統(tǒng)正在保存數(shù)字日志，而人工智能在物理安全中的用例也變得越來越流行。

　　例如，基于閉路電視的圖像識別可以提醒您有人或車輛接近。在更復(fù)雜的系統(tǒng)中，可以在整個設(shè)施中進行面部甚至步行識別，并讓您知道是否有未知人員在現(xiàn)場或員工是否涉足他們不應(yīng)該訪問的地方。與訪問控制相關(guān)的行為分析可以提醒您注意異常行為。公司也開始使用無人機進行設(shè)施監(jiān)控，越來越多的無人機制造商正在尋求增加自動化的無人能力。根據(jù)Memoori 的研究，基于 AI 的視頻分析可能會在未來五年內(nèi)“主導(dǎo)”物理安全投資。

　　TrustedSec公司的Kennedy表示，

　　在過去兩年里，重點確實已經(jīng)從健康和安全轉(zhuǎn)移到了信息安全以及試圖真正保護所有信息以及物理位置本身。我們看到了物理和邏輯安全的融合：如果你在紐約進行徽章訪問刷卡，但你在中國通過 VPN 登錄，這是一種檢測潛在惡意活動并使用物理數(shù)據(jù)幫助在您的環(huán)境中提供入侵分析的方法。

　　物理和 IT 安全團隊協(xié)同工作

　　然而，物理安全技術(shù)的這種增長意味著 IT 和物理安全需要更緊密地運作。數(shù)字日志需要被處理、存儲并呈現(xiàn)給合適的人?？赡苄枰獎?chuàng)建 AI 模型并訓(xùn)練系統(tǒng)。重要的是，所有連接互聯(lián)網(wǎng)的設(shè)備都需要得到適當(dāng)?shù)谋Ｗo。

　　物理安全系統(tǒng)不再只是一個向用戶報告是否檢測到運動的傳感器。這些都是技術(shù)含量很高的系統(tǒng)，它們的復(fù)雜程度每年都在增加。然而，安全提供商通常首先是設(shè)備制造商，而且現(xiàn)在他們想要進入整個物聯(lián)網(wǎng)業(yè)務(wù)，所以它們的第二身份實際上是開發(fā)商店。我們在這些設(shè)備上發(fā)現(xiàn)的實際上比我們過去看到的那些封閉系統(tǒng)引入了更多的曝光。

　　這些設(shè)備通?？梢员贿h程黑客入侵。例如，閉路電視攝像機構(gòu)成了Mirai 僵尸網(wǎng)絡(luò)的很大一部分，用于在 2016 年的一起重大 DDoS 攻擊中擊垮Dyn。如果您的傳感器網(wǎng)絡(luò)沒有得到充分的分段和保護，一個設(shè)備中的漏洞可能會允許攻擊者禁用您的一系列安全流程。

　　這些公司開始實施的技術(shù)非常有前景，并且確實具有試圖阻止惡意行為者闖入建筑物的心態(tài)，但它們在開發(fā)周期中仍然不成熟，需要很長時間才能修復(fù)。

　　由于物理和數(shù)字世界的日益融合，物理和 IT 安全越來越多地融合到跨職能團隊中，一些公司為此創(chuàng)建了安全運營中心（SOC）來處理這兩種類型的安全。

　　不過，真正融合了兩個運營中心的企業(yè)數(shù)量有限，目前大部分企業(yè)焦點都集中在控制中心的融合上；與其在全國各地設(shè)置幾個閉路電視控制中心，不如只用一個大的控制中心來提高運營效率。

　　即使兩個團隊沒有合并為一個大的職能，兩個團隊一起工作并分擔(dān)責(zé)任仍然很重要。網(wǎng)絡(luò)罪犯并不關(guān)心個人的角色和責(zé)任是什么，不同的部門可以說完全不同的語言。讓 CSO 負責(zé)物理和 IT 安全，可以將不同的團隊聚集在一起，幫助提高整個組織的安全性。鑒于歐盟的 GDPR 要求包括物理安全，確保所有團隊保持一致并朝著同一目標(biāo)努力至關(guān)重要。

　　社會工程學(xué)和物理安全

　　有這么一句古老的格言，“穿著顯眼的夾克拿著梯子在任何地方都能暢通無阻”，因為人們的信任感在作怪。在入侵模擬期間，滲透測試人員經(jīng)常試圖通過冒充建筑商、清潔工甚至IT 支持人員來獲得現(xiàn)場訪問權(quán)限。

　　在一家金融組織的分支機構(gòu)，測試人員只是謊稱自己是為 IT 部門更新服務(wù)器的就成功獲得了訪問權(quán)限。而在另一個案例中，一個“修復(fù)崩潰服務(wù)器”的小謊言就足以讓電力公司辦公室的一名警衛(wèi)相信，兩名凌晨 3 點穿著黑色衣服偷偷摸摸的人是合法員工。

　　鑒于此類攻擊中涉及的主要是人為因素，它們可能難以防御。如果您的員工允許友好但未經(jīng)驗證的人員進入他們不應(yīng)該訪問的地方，那么最好的安全技術(shù)也起不了作用。員工教育和意識是減少社會工程潛在威脅的關(guān)鍵所在。

　　物理安全策略

　　雖然您的控制和監(jiān)控的規(guī)模及復(fù)雜程度會因位置和需求而異，但有一些最佳實踐可以全面應(yīng)用，以確保穩(wěn)健的物理安全態(tài)勢。

　　采取基于風(fēng)險的方法并進行研究

　　映射您的風(fēng)險狀況并進行適當(dāng)?shù)目刂?。一個帶閉路電視的簡單卡鎖就能做到的事情，就不要再去雇傭一隊武裝警衛(wèi)了。供應(yīng)商需要保護自己才能更好地保護他們的客戶，因此必須進行供應(yīng)鏈盡職調(diào)查。我們與誰合作，他們遵循什么樣的內(nèi)部流程和政策，他們在強化系統(tǒng)方面遵循哪些框架？必須確保您購買技術(shù)的賣家了解風(fēng)險，并且具備漏洞管理流程，出現(xiàn)問題時的安全咨詢通知等。

　　確保訪問控制與人員相關(guān)聯(lián)并自定義訪問權(quán)限

　　每個 ID 卡或密鑰代碼都應(yīng)該有一個唯一的人與之綁定。“一攬子”訪問卡或代碼使數(shù)據(jù)泄漏的可能性更大且更難跟蹤。如果您的設(shè)施有嚴格的時間表，請確保訪問與時間相關(guān) - 例如，餐飲供應(yīng)商不得通宵訪問。

　　進行審計跟蹤并保持庫存

　　不僅要記錄誰訪問了什么，還要記錄嘗試訪問行為。多次失敗的訪問嘗試可能預(yù)示著不良行為者的存在。知道誰在負責(zé)所有卡片、鑰匙和其他訪問物品。如果卡丟失或該員工職位發(fā)生變化（如離職、轉(zhuǎn)崗等），則需要及時撤銷其訪問權(quán)限。如果有人離職，請盡快收回鑰匙。

　　教育員工遵守對待訪客的流程

　　人性通常很美好，卻愿意相信好人比壞人多。教導(dǎo)員工——包括警衛(wèi)——保持一定的懷疑態(tài)度，遵循正確的程序，不要向外人提供太多公司信息，可以減少員工被利用的機會。確保檢查 ID 并公布預(yù)先計劃的訪問，并制定處理非預(yù)約訪客的流程。確保訪客不會被單獨留在敏感區(qū)域。對員工進行教育絕對是一個投資小回報大的好主意，如此可以打消他們因害怕得罪人而不敢阻止不帶徽章的人。此外，還需要告訴員工，在離開辦公大樓時要將他們的徽章取下放在口袋里，以防止被克隆或復(fù)制。

　　測試您的能力和流程

　　運行模擬；嘗試訪問您自己的設(shè)施。同樣地，公司通常會發(fā)送虛假的網(wǎng)絡(luò)釣魚電子郵件來測試員工對細節(jié)的關(guān)注，看看你的員工是否會通過電話提供信息或讓未經(jīng)驗證的客人進入。