尽管你有防火墙、入侵防御和加密技术,但是我们的Fast Packet博主Ethan Banks想知道离应对物理安全破坏还差多少。
我收到了一封文字简单、语气恐慌的电子邮件。发件人想要知道我是否看到过交换机混乱的警报,因为他已经和大部分虚拟化环境失去连接。我并没有遇到过这种情况,但我答应进一步查清这个问题,他也在其办公室中努力寻找原因。通过分析交换机日志和检查接口状态,我注意到4个上行链路中的3个已经失效,它们前一天晚上就已经掉线了。许多其他接口也改变了状态。一些交换机端口可以工作,而其他一些端口停止工作。
当我带着疑问来到机架旁时,我发现了一个让人不安的事实:机柜门被打开了,同时有人重新安排了线缆的物理连接。大多数原本插在某一台交换机上的以太网线缆被随意的插到机柜中另外一台交换机上。我们一直都是物理安全的受害者!
这次发生事故的设备拥有很好的安全策略,并且已经普遍采用相应的安全制度:进入楼内受限区域需要加密的钥匙卡,同时进出所有的门都会有记录。已有的安全策略要求机柜物理上锁,并且只允许少数几个人有钥匙。隔墙需要延展到天花板静压空间以上。大部分设备至少都设置了这种基础保护措施。那是什么造成了破坏呢?
被破坏的是对现存策略的执行实施。你的物理安全策略可能已经足以保护设备,但是你的工作人员遵守这些策略了么?你有一个检查和强制遵从的环节么?让我们探讨以下内容,帮助你保护站点免受物理安全破坏。
定期就安全策略、操作步骤和其相关原理进行员工培训。相对于安全性,雇员(特别是非IT雇员)更加看中便捷性。安全团队定期提醒物理安全策略和其背后的相关原理将会有助于在基层雇员中营造一种关心安全的氛围,他们将更有可能支持安全策略。让新雇员签署公司安全策略协议是安全教育培训的第一步,但不要让这成为最后一步。
使用视频监控来监视安全区域,特别是入口和出口:如果一个精心设计的视频监视系统由于成本或复杂性而缺乏吸引力,那么可以考虑采用简单的IP摄像头和存储设备,它们易于部署并相对便宜。视频监控常见的缺点是侵犯个人隐私或是显得缺乏信任。摄像头捕捉的图像中几乎只有雇员和承建商。难道我们非得打扰他们,让他们在摄像头的监视下工作吗?请允许我悄悄告诉你:相信你的雇员有时是一种不恰当的做法。谁会进入你的物理区域?谁会知道你的安全策略实际上如何管理,以及如何应付这些策略?换句话说,你的雇员是你最大资产,同时也是你最大的潜在风险。一个视频系统可以让所有人都保持诚实。
在事情发生前对现有系统开展前瞻性审查 而不是在破坏发生后再做反应。如果你使用一个打卡系统和加密标记,让雇员进入大楼和安全区域。那么,登录系统工作正常么?你上一次检查它是什么时候?如果登录系统工作正常,那么时间设定正确么?如果时间设定看上去是对的,那么你是否已经确认它们做过夏至时的调整?系统生成一份报告有多困难?所有的准入钥匙卡是否可靠?一段时间未使用的加密标记是否已经过期?你是否已经回收那些结束合作的承建商或离职雇员的工作卡?
检查你的清理桌面策略。雇员必须在工作日结束时锁住公司机密信息,并安全销毁涉及机密数据的废纸。为遵从该策略,你最后一次检查办公室是在什么时候?检查桌面、垃圾桶和可上锁区域中的任何一项都会培养部分雇员对于工作区域的安全意识。如果你从不检查,只有最遵守纪律的雇员才会保持一个符合规定的、干净的桌面。
检查数据中心上锁情况。周期性开展数据中心排查工作,并且确认该制度是否得到遵守。如果你发现一扇没有上锁的门,尝试一下戏剧性的做法,比如将门从铰链上摘下取走并拿着它走出数据中心。如果你知道是谁不遵守制度,把门放在他的办公桌上——没有什么比在一个人的桌子上放一张大机柜门锁更能使违规者和他的工作伙伴印象深刻了。通常,这种视觉冲击比通过电子邮件或闭门会议警告威胁更有效果。
有太多的例子可以列举,但是关键在于你要通过预先检查预防破坏,而不是在破坏发生后取证分析。尽管防火墙、状态检查、访问列表、入侵拦截、加密和事件关联可以帮助拦截那些能成为新闻事件的网络攻击,但它们不能阻止有人在你没有注意的情况下进入门内。