作者
Stephanie Carruthers
Chief People Hacker for IBM X-Force Red
公司已为每个员工的电子邮件帐户安装了最新、最先进的垃圾邮件过滤器。公司发放的每个设备上都配备了端点检测和响应工具。入侵检测和防御系统守护着公司的网络大门,叫停每个看起来奇怪的数据包。
您的系统已彻底锁定。没有黑客能入侵这里。
至于办公楼的前门,那就另当别论了。攻击者或许可以在里面自由自在地跳华尔兹。
相信我。这是我的经验之谈。因为我自己就在这样做。
作为 IBM 首席人力黑客,最有趣的部分之一就是,我可以进行物理安全评估。基本上,我会在得到许可后想法闯入客户的办公楼,帮助他们发现物理防御方面的缺陷。
当我侵入时,我可以造成很大的破坏。看到休息室里那台无人用的笔记本电脑了吗?啪嗒!它现在是我的了,而且能够像所有者那样访问每个文档。还有那些放在空荡荡、没上锁的办公室桌子上的机密文件?也归我了。
多数人将网络安全视为纯数字领域事务。这很合理,毕竟“网络”二字就隐含此意。但网络攻击其实可能就始于物理世界中的现实场景(我指的倒不是心怀不满的觉醒机器人,至少目前还不是)。
我说的是恶意外部人员,甚至是恶意内部人员,他们可以直接在公司办公楼内侵入计算机系统。正是:电话是从自家屋里打来!
随着越来越多的组织让员工重返办公室,这些物理攻击可能会变得更加普遍,成功率更高。经过多年的远程工作,我们中的许多人在确保办公室安全方面已经生疏了。
让我们来看一些物理安全威胁及企业防御策略。
增强安全情报
每周在 Think 时事通讯中获取有关安全、AI 等的新闻和洞察分析,从而预防威胁。
立即订阅
物理入侵剖析
物理入侵可以通过多种方式发生,但根据我的经验,往往分为三个阶段:
第 1 阶段:收集情报第 2 阶段:获得访问权限第 3 阶段:执行攻击
我们把这些阶段细分一下。
第 1 阶段:收集情报
IBM X-Force 物理评估的第一阶段是收集有关我们目标的情报。当然,我们不会向客户索要这些信息。因为无需如此。仅通过观察员工的日常活动就能获取企业大量信息,这令人震惊。
例如,我可能访问公司 Instagram 账号寻找员工照片。他们穿制服吗?是否有着装规范?这些信息可助我伪装混入。(您以为——不,应该说您希望——没人会翻看公司年会照片。)
如果运气好,我可能会瞥见员工工牌,这将有助于我伪造一个真假莫辨的工牌。使用假工牌无法进入大门,但当我在园区内走动时,不会引发怀疑。
也许我能够在公司网站上找到供应商名单。现在,我可以扮演办公用品送货员了。
也许我会去大家的办公楼踩点。员工使用哪些门?是否有单独的公众入口?是否有保安?岗亭在哪里?
看似最无关紧要的细节都可能成为攻击武器。例如,我可能获知您的垃圾清运时间表。这听起来怪异,但请听逻辑:若每周三收垃圾,我就在周二晚上蹲守,因为此时垃圾桶已满。这意味着我极可能找到写有网络密码的便利贴,或未被粉碎的机密备忘录。
(我知道大家在用什么眼神看我。我能通过屏幕感觉到。我并不喜欢这份工作的这一部分!因此,如果大家能彻底删除自己的敏感文档,那对我来说就太好了。这是我的真心话。)
第 2 阶段:获得访问权限
我希望我可以说,我用了一些 James Bond 式的高超技巧来闯入客户的办公楼,但事实是,我通常会和其他人一起从前门进入。这是一种称为“尾随”的攻击方法。
尾随是指不良行为者尾随授权人员进入安全区域。以办公楼为例:员工通常需要某种工牌或门禁卡才能开门。作为攻击者,显然没有这样的证件。因此,要做的就是紧跟在员工身后,这样,当他们刷卡进门时,他们会把门打开,可在门关上之前跟上。
事实证明,尾随的成功率非常高。人们都很有礼貌!即使他们知道有外人,大多数人也不想说什么。太尴尬了。而社会工程学恰恰就是利用这种过于人性化的反应。
这并不是说罪犯永远不会以老办法闯入办公楼。只是他们确实不需要这么做。
第 3 阶段:执行攻击
潜入后,我通常会实施盗窃。(好吧,模拟盗窃。)随意摆放的敏感文件与设备是首要目标,但不仅如此。我可能顺走员工工牌或大楼钥匙,扩大访问权限以便再次潜入。
若获取公司设备,即可接入企业内网。我可以冒充设备所有者发送钓鱼电子邮件。我可以在公司目录植入恶意文件。
另一有趣手法是诱饵攻击——在大楼内散落加载 恶意软件(实为模拟程序)的 U 盘。
人类行为很有趣:看到陌生 U 盘总忍不住插入查看内容。或许是出于好心寻找失主。亦或单纯好奇。无论如何,他们已陷入麻烦。该 U 盘将暗中植入键盘记录器或勒索软件等恶意程序。
Mixture of Experts | 12 月 12 日,第 85 集
解码 AI:每周新闻摘要
加入我们世界级的专家小组——工程师、研究人员、产品负责人等将为您甄别 AI 领域的真知灼见,带来最新的 AI 资讯与深度解析。
观看 Mixture of Experts 所有剧集
将攻击者拒之门外的三个步骤
在任何物理评估中,我通常都会留意别人需要多长时间才能阻止我。
某次评估中,尽管有员工发现我尾随进入大楼,安保团队四小时后才开始搜寻(而我仍在被发现前成功脱身!)
这说明我们的物理安全措施往往漏洞百出。改进建议:
重新考虑假设情况
我们都知道假设时会发生什么,对吧?
您无意间为黑客大开方便之门。
人们在物理安全方面犯的最大错误之一是,他们会假设所有正确的保护措施都已到位。我说的是简单的事情,比如假设“自动锁门”真的会自动锁上。或者说,人们会使用碎纸机。或者,员工会在大厅里拦住陌生人,询问其来意。
潜入后,我发现了这些隐患:某处门锁故障已持续多时。员工将机密文件扔进普通垃圾桶。走廊遇见陌生人时心想“不关我事!”
所有这些小失误凑到一起,攻击者将能够在众目睽睽之下执行复杂的攻击。(请参阅我之前的帖子,内容是我欺骗了一位接待员,将未经验证的闪存盘插入了她的电脑,而保安就站在我身后找我。)
我建议企业避免任何假设性认知。实地检查门锁是否有效。切勿仅因刷卡器亮红灯就认为门锁正常。需手动拉门确认是否锁闭。明确告知员工必须粉碎的文档类型。发现陌生人员时,主动询问其来意。(甚至可礼貌表达:“您好,注意到您未佩戴访客证,我带您去安保处登记,以免后续被盘查!”)。
提升物理安全培训质量
网络安全培训应将更多时间花在物理安全实践上。它可能不是最常见的攻击途径,但它是许多组织防御中的一个大漏洞。
审视常规网络安全培训内容。若涉及物理安全(实属罕见!)往往仅停留在“别让公司笔记本被盗”的浅层。
物理安全应获得同等深度的培训资源。例如,培训常讲解钓鱼电子邮件的危险信号(如语法错误与紧急诉求)。为何不教会员工识别办公室访客的可疑行为(如无证件且无人陪同的游荡者)?
培训指令越具体越好。以尾随进入为例。仅告知员工“勿让陌生人进入大楼”无法有效应对真实场景中的尾随者。
相反,当人们发现一个陌生人时,应该确切地知道该怎么做。通常情况下,可以直接问:“您来找谁?让我带您去保安室,登记后就可以入内。”如果接待的是真正的访客,他们会很感激获得帮助。如果接待的是攻击者,他们可能会在被发现后中止任务。
还记得需要重新审视假设性认知的要点吗?物理安全培训无小事。要求员工锁存敏感数据与设备。确保其知晓碎纸箱位置。反复灌输陌生 U 盘的风险。
布置空间以增强物理安全
应通过资源触手可及化,尽可能降低员工遵循物理安全政策、流程与最佳实践的难度。
例如,建议在所有工位与设备上标注安保联系人电话与邮箱。确保员工遇事可立即上报。同时优化安保台位置,便于引导访客至登记处。
此外,确保员工有办法保护他们的设备和文件,例如,个人储物柜、带锁的文件柜以及在每张办公桌上配备电脑锁。
网络安全始于物理安全
网络攻击不限于数字空间,因此不能仅依赖纯数字防御。
若需要总结核心启示,或许是:物理安全领域,细节与全局同等重要——甚至更为关键。
当然,企业需要制定整体物理安全战略,并与网络安全战略联动。 但企业易受物理攻击的症结未必是战略缺失。而常是实践问题:员工是否清楚如何应对物理威胁并被赋权行动?
通过重新审视假设、优化培训并配备必要资源,您可以阻止大量潜在攻击。虽然这会让我的工作更难,却能让世界更安全。
这份代价或许值得。
Share
复制链接