距離911事件已經(jīng)過去了整整20年，回顧2001年9月11日，在近一小時(shí)的時(shí)間里，共有兩架飛機(jī)撞向世貿(mào)中心，一架飛機(jī)撞向五角大樓，另一架飛機(jī)墜毀在賓夕法尼亞州香克斯維爾的一片空地上。

　　當(dāng)時(shí)，這起事件不僅導(dǎo)致了航空業(yè)的持續(xù)低迷，“物理安全”這個(gè)話題也逐漸被世界關(guān)注到。試想一下，如果911事件前，世貿(mào)大廈里所有的物理安全設(shè)備都經(jīng)過縝密的檢查，并且在事件發(fā)生時(shí)能夠及時(shí)啟動(dòng)有效的安全防范措施，無論是保證逃生路線的暢通，還是消防設(shè)施的正常使用，或者是防火門的正常啟用，更及時(shí)的通知救災(zāi)人員等等……那么遇難者的人數(shù)將遠(yuǎn)遠(yuǎn)低于2996這個(gè)數(shù)字，經(jīng)濟(jì)損失也不會(huì)高達(dá)當(dāng)年國家GDP的2%（約2000億美元）。

　　災(zāi)難帶來的后遺癥久未消散，唯一慶幸的一點(diǎn)是，物理安全系統(tǒng)引起了重視，并在人們的不懈努力下發(fā)展至今，已經(jīng)形成了一套非常完備的理論和標(biāo)準(zhǔn)的工作流程——覆蓋日常安防工作和安全事件發(fā)生時(shí)——可以有效地提高安防效果，最大化地避免或降低損失。

　　物理安全定義

　　維基百科上對(duì)“物理安全”的定義為：

　　物理安全描述了旨在拒絕未經(jīng)授權(quán)訪問設(shè)施，設(shè)備和資源并保護(hù)人員和財(cái)產(chǎn)免受損害或傷害（如間諜活動(dòng)，盜竊或恐怖襲擊）的安全措施。物理安全涉及使用多層互相依賴的系統(tǒng)，其中包括閉路電視監(jiān)控、安全警衛(wèi)、防護(hù)屏障、鎖、訪問控制協(xié)議以及許多其他技術(shù)。

　　簡而言之，就是利用集成了各種安防設(shè)備和技術(shù)的系統(tǒng)，來保護(hù)人員和財(cái)產(chǎn)的安全。

　　雖然不如網(wǎng)絡(luò)安全般受到重視，但物理安全實(shí)際上同樣重要。事實(shí)上，它已經(jīng)發(fā)展成為一個(gè)價(jià)值300億美元的產(chǎn)業(yè)。如果攻擊者從存儲(chǔ)室中移除您的存儲(chǔ)介質(zhì)，世界上所有的防火墻都幫不了你。

　　通過人工智能（AI）和物聯(lián)網(wǎng)（IoT）等技術(shù)，物理安全性正變得日益復(fù)雜，這意味著 IT 和物理安全的聯(lián)系越來越緊密，因此安全團(tuán)隊(duì)必須協(xié)同合作以保護(hù)物理和數(shù)字資產(chǎn)。

　　為什么物理安全非常重要？

　　從本質(zhì)上講，物理安全是讓您的設(shè)施、人員和資產(chǎn)免受現(xiàn)實(shí)世界的威脅。它包括物理威懾、入侵者檢測(cè)以及對(duì)這些威脅的響應(yīng)。

　　雖然環(huán)境事件（即因?yàn)樽匀灰蛩鼗蛉祟愡`反環(huán)境法規(guī)而導(dǎo)致的災(zāi)難事件）也會(huì)威脅物理安全，但這里說的“物理安全”通常指阻止人們（無論是外部行為者還是潛在的內(nèi)部威脅）訪問他們不應(yīng)該涉足的區(qū)域或資產(chǎn)。它可以是讓公眾遠(yuǎn)離您的總部，讓現(xiàn)場第三方遠(yuǎn)離敏感工作區(qū)域，或是讓你的員工遠(yuǎn)離任務(wù)關(guān)鍵區(qū)域（例如服務(wù)器機(jī)房）。

　　物理攻擊可能是闖入安全數(shù)據(jù)中心、潛入建筑物的限制區(qū)域或使用他們無權(quán)訪問的終端。攻擊者可能會(huì)竊取或損壞重要的 IT 資產(chǎn)（例如服務(wù)器或存儲(chǔ)介質(zhì)），訪問關(guān)鍵任務(wù)應(yīng)用程序的重要終端，通過 USB 竊取信息或?qū)阂廛浖蟼鞯侥南到y(tǒng)上等等。

　　最外圍的嚴(yán)格控制應(yīng)該能夠抵御外部威脅，而圍繞訪問的內(nèi)部措施應(yīng)該能夠減少內(nèi)部攻擊者的可能性（或至少能夠標(biāo)記異常行為）。

　　滲透測(cè)試公司TrustedSec的首席執(zhí)行官David Kenned曾表示，公司在接近物理安全時(shí)最常犯的錯(cuò)誤之一就是專注于前門。他們會(huì)把所有的安全措施都放在前門；監(jiān)控?cái)z像頭、保安人員、徽章訪問，但他們沒有關(guān)注到整個(gè)建筑的整體。吸煙區(qū)、現(xiàn)場健身房入口，甚至裝載區(qū)都可能無人看守、無人監(jiān)控和不安全。通過將手伸到另一側(cè)并四處揮動(dòng)，也可以輕松打開出口處帶有運(yùn)動(dòng)傳感器的旋轉(zhuǎn)門或類似障礙。

　　雖然成功的數(shù)字攻擊成本不斷增加，但針對(duì)您資產(chǎn)的物理損壞可能同樣不容小覷。一個(gè)臭名昭著的物理安全失敗例子是芝加哥的一個(gè)托管站點(diǎn)在兩年內(nèi)被搶劫了四次，劫匪在第四次闖入時(shí)搶走了 20 臺(tái)服務(wù)器。

　　物理安全風(fēng)險(xiǎn)范圍

　　根據(jù)Ontic 保護(hù)情報(bào)中心發(fā)布的《2021 年年中展望保護(hù)情報(bào)報(bào)告》指出，疫情大流行、與 1月 6 日起義（指2021年1月6日，時(shí)任美國總統(tǒng)唐納德·特朗普的支持者暴力闖入美國國會(huì)大廈的騷亂事件）有關(guān)的內(nèi)亂，以及槍支暴力事件的增加使 CISO 和其他高管更加關(guān)注物理安全，包括他們自己和員工的福祉。

　　該報(bào)告基于對(duì) 300 名物理安全決策者、首席信息安全官、首席信息官、首席技術(shù)官和其他 IT 領(lǐng)導(dǎo)者的調(diào)查，強(qiáng)調(diào)了對(duì)物理威脅的四個(gè)關(guān)注領(lǐng)域：

　　業(yè)務(wù)連續(xù)性：不受管理且不斷增加的物理威脅會(huì)增加企業(yè)風(fēng)險(xiǎn)，并可能影響業(yè)務(wù)連續(xù)性。該報(bào)告建議公司投資于物理安全以減輕暴力威脅；

　　更大的威脅場景：情報(bào)失敗使高管和員工面臨內(nèi)部人員帶來的物理傷害或供應(yīng)鏈損壞或財(cái)產(chǎn)盜竊的風(fēng)險(xiǎn)。71% 的受訪者表示，2021 年物理威脅格局發(fā)生了“巨大”變化；

　　物理安全和網(wǎng)絡(luò)安全之間缺乏統(tǒng)一：大多數(shù)受訪者（69%）表示，統(tǒng)一網(wǎng)絡(luò)安全和物理安全可以幫助避免導(dǎo)致其組織陷入困境或滅亡的事件。這包括擁有一個(gè)單一平臺(tái)來識(shí)別和傳達(dá)威脅；

　　意料之外的挑戰(zhàn)：與之前的研究相比，IT 和安全領(lǐng)導(dǎo)者在 2021 年面臨的一些關(guān)鍵挑戰(zhàn)并不是他們?cè)?2020 年預(yù)期會(huì)遇到的挑戰(zhàn)。這些挑戰(zhàn)包括監(jiān)管合規(guī)報(bào)告和展示物理安全投資的回報(bào)。

　　總體而言，64% 的受訪者表示，2021 年到目前為止，物理威脅活動(dòng)有所增加，而 58% 的受訪者表示，他們覺得自己在為組織處理物理安全方面的準(zhǔn)備不足。

　　物理安全原則和措施

　　物理安全主要?dú)w結(jié)為幾個(gè)核心組件：訪問控制和監(jiān)視。

　　訪問控制

　　訪問控制涵蓋了一個(gè)很大的領(lǐng)域，其中包括對(duì)更復(fù)雜的東西（例如鍵盤、ID 卡或生物識(shí)別限制門）的基礎(chǔ)屏障。

　　第一道防線是建筑物本身——大門、柵欄、窗戶、墻壁和門。鎖定這些，增加威懾物，如帶刺鐵絲網(wǎng)、警告標(biāo)志和隨處可見的警衛(wèi)，將減少對(duì)您所在位置的大多數(shù)隨意嘗試。

　　門禁系統(tǒng)多種多樣，各有優(yōu)缺點(diǎn)。簡單的身份證掃描儀可能很便宜，但很容易被盜或偽造。近場通信（NFC）或射頻識(shí)別（RFID）卡增加了仿造困難度，但也并非完全不可能。將 NFC 植入員工體內(nèi)——據(jù)報(bào)道這在瑞典已經(jīng)成為一種趨勢(shì)并引起了英國工會(huì)的憤怒——也是減少卡丟失機(jī)會(huì)的一種方式。

　　生物識(shí)別安全也是保護(hù)設(shè)施和設(shè)備的常用選項(xiàng)。從理論上講，我們獨(dú)特的身體標(biāo)識(shí)符——無論是指紋、虹膜、面部甚至你的脈搏——都比任何卡片都更難竊取或偽造。ABI Research 的一份報(bào)告預(yù)測(cè)，未來生物識(shí)別技術(shù)的使用只會(huì)增加。指紋仍然是最常用的方法，但 ABI 建議它會(huì)隨著面部、虹膜和脈搏的應(yīng)用增長而不斷增強(qiáng)。

　　即便如此，生物識(shí)別驗(yàn)證也并非牢不可破。據(jù)悉，假手指可以克服指紋識(shí)別器，照片或面具足以欺騙面部識(shí)別，德國黑客組織 Chaos Computer Club甚至找到了一種僅使用照片和隱形眼鏡就可以擊敗虹膜識(shí)別的方法。

　　監(jiān)視

　　監(jiān)視包括從巡邏警衛(wèi)、防盜警報(bào)器和閉路電視到聲音和運(yùn)動(dòng)傳感器以及記錄誰去了哪里的所有內(nèi)容。

　　在風(fēng)險(xiǎn)更高的地點(diǎn)，公司可以部署更復(fù)雜的探測(cè)器，例如接近度、紅外、圖像、光學(xué)、溫度、煙霧和壓力傳感器，以保持對(duì)其設(shè)施的整體可視性。

　　物聯(lián)網(wǎng)和人工智能將物理安全帶入數(shù)字世界

　　在過去，物理安全和數(shù)字安全通常是完全獨(dú)立的領(lǐng)域，但如今它們正慢慢變得越來越緊密。監(jiān)控系統(tǒng)越來越多地連接到互聯(lián)網(wǎng)，訪問控制系統(tǒng)和監(jiān)控系統(tǒng)正在保存數(shù)字日志，而人工智能在物理安全中的用例也變得越來越流行。

　　例如，基于閉路電視的圖像識(shí)別可以提醒您有人或車輛接近。在更復(fù)雜的系統(tǒng)中，可以在整個(gè)設(shè)施中進(jìn)行面部甚至步行識(shí)別，并讓您知道是否有未知人員在現(xiàn)場或員工是否涉足他們不應(yīng)該訪問的地方。與訪問控制相關(guān)的行為分析可以提醒您注意異常行為。公司也開始使用無人機(jī)進(jìn)行設(shè)施監(jiān)控，越來越多的無人機(jī)制造商正在尋求增加自動(dòng)化的無人能力。根據(jù)Memoori 的研究，基于 AI 的視頻分析可能會(huì)在未來五年內(nèi)“主導(dǎo)”物理安全投資。

　　TrustedSec公司的Kennedy表示，

　　在過去兩年里，重點(diǎn)確實(shí)已經(jīng)從健康和安全轉(zhuǎn)移到了信息安全以及試圖真正保護(hù)所有信息以及物理位置本身。我們看到了物理和邏輯安全的融合：如果你在紐約進(jìn)行徽章訪問刷卡，但你在中國通過 VPN 登錄，這是一種檢測(cè)潛在惡意活動(dòng)并使用物理數(shù)據(jù)幫助在您的環(huán)境中提供入侵分析的方法。

　　物理和 IT 安全團(tuán)隊(duì)協(xié)同工作

　　然而，物理安全技術(shù)的這種增長意味著 IT 和物理安全需要更緊密地運(yùn)作。數(shù)字日志需要被處理、存儲(chǔ)并呈現(xiàn)給合適的人?？赡苄枰?jiǎng)?chuàng)建 AI 模型并訓(xùn)練系統(tǒng)。重要的是，所有連接互聯(lián)網(wǎng)的設(shè)備都需要得到適當(dāng)?shù)谋Ｗo(hù)。

　　物理安全系統(tǒng)不再只是一個(gè)向用戶報(bào)告是否檢測(cè)到運(yùn)動(dòng)的傳感器。這些都是技術(shù)含量很高的系統(tǒng)，它們的復(fù)雜程度每年都在增加。然而，安全提供商通常首先是設(shè)備制造商，而且現(xiàn)在他們想要進(jìn)入整個(gè)物聯(lián)網(wǎng)業(yè)務(wù)，所以它們的第二身份實(shí)際上是開發(fā)商店。我們?cè)谶@些設(shè)備上發(fā)現(xiàn)的實(shí)際上比我們過去看到的那些封閉系統(tǒng)引入了更多的曝光。

　　這些設(shè)備通?？梢员贿h(yuǎn)程黑客入侵。例如，閉路電視攝像機(jī)構(gòu)成了Mirai 僵尸網(wǎng)絡(luò)的很大一部分，用于在 2016 年的一起重大 DDoS 攻擊中擊垮Dyn。如果您的傳感器網(wǎng)絡(luò)沒有得到充分的分段和保護(hù)，一個(gè)設(shè)備中的漏洞可能會(huì)允許攻擊者禁用您的一系列安全流程。

　　這些公司開始實(shí)施的技術(shù)非常有前景，并且確實(shí)具有試圖阻止惡意行為者闖入建筑物的心態(tài)，但它們?cè)陂_發(fā)周期中仍然不成熟，需要很長時(shí)間才能修復(fù)。

　　由于物理和數(shù)字世界的日益融合，物理和 IT 安全越來越多地融合到跨職能團(tuán)隊(duì)中，一些公司為此創(chuàng)建了安全運(yùn)營中心（SOC）來處理這兩種類型的安全。

　　不過，真正融合了兩個(gè)運(yùn)營中心的企業(yè)數(shù)量有限，目前大部分企業(yè)焦點(diǎn)都集中在控制中心的融合上；與其在全國各地設(shè)置幾個(gè)閉路電視控制中心，不如只用一個(gè)大的控制中心來提高運(yùn)營效率。

　　即使兩個(gè)團(tuán)隊(duì)沒有合并為一個(gè)大的職能，兩個(gè)團(tuán)隊(duì)一起工作并分擔(dān)責(zé)任仍然很重要。網(wǎng)絡(luò)罪犯并不關(guān)心個(gè)人的角色和責(zé)任是什么，不同的部門可以說完全不同的語言。讓 CSO 負(fù)責(zé)物理和 IT 安全，可以將不同的團(tuán)隊(duì)聚集在一起，幫助提高整個(gè)組織的安全性。鑒于歐盟的 GDPR 要求包括物理安全，確保所有團(tuán)隊(duì)保持一致并朝著同一目標(biāo)努力至關(guān)重要。

　　社會(huì)工程學(xué)和物理安全

　　有這么一句古老的格言，“穿著顯眼的夾克拿著梯子在任何地方都能暢通無阻”，因?yàn)槿藗兊男湃胃性谧鞴?。在入侵模擬期間，滲透測(cè)試人員經(jīng)常試圖通過冒充建筑商、清潔工甚至IT 支持人員來獲得現(xiàn)場訪問權(quán)限。

　　在一家金融組織的分支機(jī)構(gòu)，測(cè)試人員只是謊稱自己是為 IT 部門更新服務(wù)器的就成功獲得了訪問權(quán)限。而在另一個(gè)案例中，一個(gè)“修復(fù)崩潰服務(wù)器”的小謊言就足以讓電力公司辦公室的一名警衛(wèi)相信，兩名凌晨 3 點(diǎn)穿著黑色衣服偷偷摸摸的人是合法員工。

　　鑒于此類攻擊中涉及的主要是人為因素，它們可能難以防御。如果您的員工允許友好但未經(jīng)驗(yàn)證的人員進(jìn)入他們不應(yīng)該訪問的地方，那么最好的安全技術(shù)也起不了作用。員工教育和意識(shí)是減少社會(huì)工程潛在威脅的關(guān)鍵所在。

　　物理安全策略

　　雖然您的控制和監(jiān)控的規(guī)模及復(fù)雜程度會(huì)因位置和需求而異，但有一些最佳實(shí)踐可以全面應(yīng)用，以確保穩(wěn)健的物理安全態(tài)勢(shì)。

　　采取基于風(fēng)險(xiǎn)的方法并進(jìn)行研究

　　映射您的風(fēng)險(xiǎn)狀況并進(jìn)行適當(dāng)?shù)目刂啤Ｒ粋€(gè)帶閉路電視的簡單卡鎖就能做到的事情，就不要再去雇傭一隊(duì)武裝警衛(wèi)了。供應(yīng)商需要保護(hù)自己才能更好地保護(hù)他們的客戶，因此必須進(jìn)行供應(yīng)鏈盡職調(diào)查。我們與誰合作，他們遵循什么樣的內(nèi)部流程和政策，他們?cè)趶?qiáng)化系統(tǒng)方面遵循哪些框架？必須確保您購買技術(shù)的賣家了解風(fēng)險(xiǎn)，并且具備漏洞管理流程，出現(xiàn)問題時(shí)的安全咨詢通知等。

　　確保訪問控制與人員相關(guān)聯(lián)并自定義訪問權(quán)限

　　每個(gè) ID 卡或密鑰代碼都應(yīng)該有一個(gè)唯一的人與之綁定。“一攬子”訪問卡或代碼使數(shù)據(jù)泄漏的可能性更大且更難跟蹤。如果您的設(shè)施有嚴(yán)格的時(shí)間表，請(qǐng)確保訪問與時(shí)間相關(guān) - 例如，餐飲供應(yīng)商不得通宵訪問。

　　進(jìn)行審計(jì)跟蹤并保持庫存

　　不僅要記錄誰訪問了什么，還要記錄嘗試訪問行為。多次失敗的訪問嘗試可能預(yù)示著不良行為者的存在。知道誰在負(fù)責(zé)所有卡片、鑰匙和其他訪問物品。如果卡丟失或該員工職位發(fā)生變化（如離職、轉(zhuǎn)崗等），則需要及時(shí)撤銷其訪問權(quán)限。如果有人離職，請(qǐng)盡快收回鑰匙。

　　教育員工遵守對(duì)待訪客的流程

　　人性通常很美好，卻愿意相信好人比壞人多。教導(dǎo)員工——包括警衛(wèi)——保持一定的懷疑態(tài)度，遵循正確的程序，不要向外人提供太多公司信息，可以減少員工被利用的機(jī)會(huì)。確保檢查 ID 并公布預(yù)先計(jì)劃的訪問，并制定處理非預(yù)約訪客的流程。確保訪客不會(huì)被單獨(dú)留在敏感區(qū)域。對(duì)員工進(jìn)行教育絕對(duì)是一個(gè)投資小回報(bào)大的好主意，如此可以打消他們因害怕得罪人而不敢阻止不帶徽章的人。此外，還需要告訴員工，在離開辦公大樓時(shí)要將他們的徽章取下放在口袋里，以防止被克隆或復(fù)制。

　　測(cè)試您的能力和流程

　　運(yùn)行模擬；嘗試訪問您自己的設(shè)施。同樣地，公司通常會(huì)發(fā)送虛假的網(wǎng)絡(luò)釣魚電子郵件來測(cè)試員工對(duì)細(xì)節(jié)的關(guān)注，看看你的員工是否會(huì)通過電話提供信息或讓未經(jīng)驗(yàn)證的客人進(jìn)入。