過(guò)去，物理安全(企業(yè)人員和物理資產(chǎn)安全)主要由基礎(chǔ)設(shè)施團(tuán)隊(duì)或CSO負(fù)責(zé)，但隨著越來(lái)越多的物理安全系統(tǒng)與IT系統(tǒng)相連(涉及到IT資產(chǎn)的物理訪問(wèn)權(quán)限)，物理網(wǎng)絡(luò)空間交叉滲透的混合威脅快速增長(zhǎng)，CISO在企業(yè)物理安全戰(zhàn)略中正扮演著越來(lái)越重要的角色。

物理安全，另一個(gè)千億美元的“安全市場(chǎng)“

物理安全是指保護(hù)人員、財(cái)產(chǎn)和物理資產(chǎn)避免損害或損失的行動(dòng)和事件。盡管物理安全常常被網(wǎng)絡(luò)安全搶去風(fēng)頭，但其重要性同樣不容忽視。據(jù)估計(jì)，2023年全球物理安全市場(chǎng)規(guī)模高達(dá)1100億美元至1230億美元。

為什么物理安全如此重要?

當(dāng)今大多數(shù)物理安全系統(tǒng)和控制裝置都與IT系統(tǒng)緊密相連，這就要求CISO團(tuán)隊(duì)加強(qiáng)網(wǎng)絡(luò)安全監(jiān)督，確保這些系統(tǒng)得到充分強(qiáng)化，例如員工身份認(rèn)證系統(tǒng)和視頻監(jiān)控系統(tǒng)等。更關(guān)鍵的是，對(duì)IT資產(chǎn)的物理訪問(wèn)可能會(huì)引發(fā)一系列網(wǎng)絡(luò)安全事件和數(shù)據(jù)泄露。因此，CISO不僅有責(zé)任，而且為了滿足許多法規(guī)和標(biāo)準(zhǔn)的要求，必須采取物理安全措施來(lái)保護(hù)對(duì)IT資產(chǎn)的(物理)訪問(wèn)權(quán)限。

“CISO在物理世界中發(fā)揮作用是必要的，”Nuspire的網(wǎng)絡(luò)安全咨詢副總裁Mike Pedrick表示：“CISO的職責(zé)是保護(hù)所有形式的信息，包括物理媒體和訪問(wèn)數(shù)字信息的機(jī)制?！?/p>

這并不是說(shuō)CISO需要承擔(dān)所有物理安全職責(zé)。雖然一些小型企業(yè)可能會(huì)合并CISO和CSO職位，或者干脆將物理安全納入CISO的職責(zé)范圍，但在許多大型企業(yè)，這種做法并不常見。Optiv的首席信息安全官M(fèi)ax Shier表示：“對(duì)于有監(jiān)管要求的大型企業(yè)而言，合并這兩個(gè)團(tuán)隊(duì)可能并不合理，因?yàn)槲锢戆踩珗F(tuán)隊(duì)的職責(zé)可能比網(wǎng)絡(luò)安全團(tuán)隊(duì)所能管理的更廣泛，例如保安人員、高管保護(hù)等?！?/p>

CISO必須與物理安全團(tuán)隊(duì)合作

Radware的首席信息安全官Howard Taylor表示，如果不合并CISO和CSO的職責(zé)，那么CISO如果要實(shí)現(xiàn)目標(biāo)，與物理安全團(tuán)隊(duì)的溝通和協(xié)調(diào)就變得至關(guān)重要。對(duì)于許多網(wǎng)絡(luò)安全資深人士來(lái)說(shuō)，這并不陌生，他們經(jīng)常需要與產(chǎn)品管理、開發(fā)團(tuán)隊(duì)等保持溝通以實(shí)現(xiàn)網(wǎng)絡(luò)安全計(jì)劃的其他目標(biāo)，在物理安全方面也一樣?！癈ISO在業(yè)務(wù)連續(xù)性、災(zāi)難恢復(fù)、設(shè)施設(shè)計(jì)和實(shí)施的規(guī)劃過(guò)程中，必須與物理安全專家合作。這包括保護(hù)物理訪問(wèn)權(quán)限、網(wǎng)絡(luò)和數(shù)據(jù)中心資產(chǎn)、電力以及防火和監(jiān)控，”Taylor說(shuō)：“此外，安全專家還必須與CISO合作，確保訪問(wèn)控制和監(jiān)控系統(tǒng)的實(shí)施和運(yùn)行的安全性。這包括確保攝像頭和監(jiān)控圖像不會(huì)違反隱私規(guī)則和法規(guī)?！?/p>

無(wú)論企業(yè)的組織架構(gòu)如何設(shè)計(jì)，CISO都需要與設(shè)施團(tuán)隊(duì)、CSO以及其他負(fù)責(zé)物理安全的人員合作，共同制定計(jì)劃，并重點(diǎn)關(guān)注以下十大物理安全注意事項(xiàng)和措施：

• 強(qiáng)化IT設(shè)施和數(shù)據(jù)中心的安全
• 日常辦公設(shè)施的安全注意事項(xiàng)
• 阻止物理空間的橫向移動(dòng)
• 保護(hù)共置和云端設(shè)施中的資產(chǎn)
• 物理—網(wǎng)絡(luò)連接的OT環(huán)境
• 分布式物聯(lián)網(wǎng)設(shè)備需要重點(diǎn)防護(hù)
• 遠(yuǎn)程/混合辦公環(huán)境的設(shè)備鎖定
• 采用集中式的訪問(wèn)控制管理
• 監(jiān)控系統(tǒng)及其數(shù)據(jù)的安全
• 調(diào)查時(shí)能夠快速訪問(wèn)監(jiān)控?cái)?shù)據(jù)

一、強(qiáng)化IT設(shè)施和數(shù)據(jù)中心物理安全

數(shù)據(jù)中心、敏感IT設(shè)施以及多功能辦公設(shè)施中的計(jì)算機(jī)房是CISO的關(guān)注重點(diǎn)，對(duì)敏感系統(tǒng)的物理訪問(wèn)需要嚴(yán)格控制?！癈ISO應(yīng)該規(guī)定只有需要訪問(wèn)的人員才能進(jìn)入計(jì)算機(jī)房，并確保承包商的現(xiàn)場(chǎng)服務(wù)有內(nèi)部人員陪同，且絕不會(huì)被單獨(dú)留在計(jì)算機(jī)房?jī)?nèi)。計(jì)算機(jī)房的訪問(wèn)權(quán)限應(yīng)該每天進(jìn)行記錄和審查，”Church&Dwight的首席信息安全官David Ortiz說(shuō)。

根據(jù)風(fēng)險(xiǎn)的高低，采取的訪問(wèn)控制措施也應(yīng)有所不同。Darktrace的紅隊(duì)運(yùn)營(yíng)高級(jí)副總裁Justin Fier指出：“保存關(guān)鍵信息的設(shè)施，例如擁有敏感服務(wù)器的辦公室，應(yīng)該比擁有不太敏感資產(chǎn)的設(shè)施采取更嚴(yán)格的安全控制。CISO必須了解哪些數(shù)據(jù)和資源存儲(chǔ)在哪些設(shè)施中，評(píng)估這些設(shè)施被攻破的風(fēng)險(xiǎn)，并相應(yīng)地加強(qiáng)物理保護(hù)?！?/p>

二、日常辦公設(shè)施安全注意事項(xiàng)

即使是最普通的辦公環(huán)境也可能成為狡猾的攻擊者獲取進(jìn)入公司網(wǎng)絡(luò)立足點(diǎn)的目標(biāo)?！叭魏卧O(shè)施中的網(wǎng)絡(luò)插座都可能是進(jìn)入內(nèi)部IT環(huán)境的潛在入口，”Flexential的網(wǎng)絡(luò)安全副總裁Will Bass說(shuō)道：“CISO應(yīng)該積極參與所有設(shè)施(無(wú)論敏感與否)的物理安全架構(gòu)和標(biāo)準(zhǔn)的制定，以確保采取適當(dāng)?shù)目v深防御措施來(lái)防止對(duì)IT環(huán)境未經(jīng)授權(quán)的物理訪問(wèn)?！?/p>

Optiv的Shier補(bǔ)充說(shuō)，盡管遠(yuǎn)程和混合辦公改變了員工對(duì)辦公室的看法，并可能減少了許多設(shè)施的客流量，但CISO仍然應(yīng)該監(jiān)督物理安全衛(wèi)生的基本要素?！拔覀?nèi)匀恍枰_保辦公室有充分的物理安全控制措施，”Shier指出：“即便在今天，端口安全、無(wú)線接入點(diǎn)安全、工卡訪問(wèn)控制和攝像頭仍然不容忽視?！?/p>

三、阻止物理空間橫向移動(dòng)的“零信任”方法

當(dāng)CISO在整個(gè)組織的設(shè)施中審查物理安全控制措施時(shí)，應(yīng)該注意攻擊者在物理空間和不同限制區(qū)域內(nèi)橫向移動(dòng)的容易程度。Bishop Fox的紅隊(duì)高級(jí)安全顧問(wèn)Alethe Denis表示，如果沒(méi)有采取必要的措施，攻擊者往往很容易潛入建筑物、倉(cāng)庫(kù)或服務(wù)區(qū)：“一旦對(duì)手獲得對(duì)限制區(qū)域的初始訪問(wèn)，他們?cè)谖锢砜臻g的橫向移動(dòng)往往能夠暢行無(wú)阻，因?yàn)榇蠖鄶?shù)員工會(huì)想當(dāng)然地認(rèn)為攻擊者被允許進(jìn)入敏感區(qū)域之前已經(jīng)獲得了訪問(wèn)權(quán)限。”

就像使用微隔離和零信任身份驗(yàn)證來(lái)保護(hù)網(wǎng)絡(luò)上的邏輯資產(chǎn)一樣，企業(yè)也應(yīng)該在建筑物內(nèi)設(shè)置物理空間移動(dòng)的“微隔離“，越接近敏感區(qū)域，控制措施越嚴(yán)，訪問(wèn)權(quán)限要求越高。Denis認(rèn)為：“理想情況下，員工需要通過(guò)工卡訪問(wèn)樓梯、電梯區(qū)域和電梯樓層(不允許有無(wú)關(guān)人員尾隨)，這些物理”零信任“措施可以防止攻擊者橫向移動(dòng)并限制其初始訪問(wèn)公共大廳后可能造成的破壞。”

四、保護(hù)共置和云端設(shè)施中的資產(chǎn)

CISO對(duì)物理安全的監(jiān)督也不限于組織自己的設(shè)施。Shier解釋說(shuō)，CISO還需要考慮如何保護(hù)共置設(shè)施或數(shù)據(jù)中心中的資產(chǎn)?！霸谂c其他公司資產(chǎn)共置的設(shè)施中，需要單獨(dú)保護(hù)每個(gè)機(jī)架，并能夠通過(guò)工卡閱讀器或其他手段進(jìn)行控制和審核，”Shier說(shuō)，“確保數(shù)據(jù)中心配備攝像頭、保安和其他控制措施也將非常重要?！?/p>

此外，即使系統(tǒng)的物理處理完全脫離組織(如公共云和SaaS資源)，CISO仍然需要關(guān)注這些系統(tǒng)的物理控制方式，”Nuspire的Pedrick說(shuō)，“云端并不意味著不需要物理安全。CISO需要了解云計(jì)算合同和服務(wù)水平協(xié)議的重要性，以及第三方審計(jì)結(jié)果?！?/p>

五、物理-網(wǎng)絡(luò)連接的OT環(huán)境

除了擔(dān)心物理行動(dòng)如何影響網(wǎng)絡(luò)環(huán)境外，在管理關(guān)鍵基礎(chǔ)設(shè)施的組織中工作的CISO還必須能夠反向操作。換句話說(shuō)，他們需要考慮網(wǎng)絡(luò)攻擊活動(dòng)如何可能對(duì)物理環(huán)境(例如制造裝配線、發(fā)電廠、采礦作業(yè))產(chǎn)生負(fù)面影響。

“工業(yè)環(huán)境中的網(wǎng)絡(luò)攻擊可能會(huì)對(duì)物理安全構(gòu)成重大威脅，”Cyolo的聯(lián)合創(chuàng)始人AlmogApirion表示，該公司專注于運(yùn)營(yíng)技術(shù)(OT)環(huán)境中的遠(yuǎn)程特權(quán)訪問(wèn)管理：“惡意行為者可以滲透設(shè)備并破壞關(guān)鍵基礎(chǔ)設(shè)施，例如水處理廠或電網(wǎng)，造成對(duì)社區(qū)的廣泛傷害。”

由于IT和OT環(huán)境已經(jīng)高度融合，CISO必須注意設(shè)施內(nèi)的物理—網(wǎng)絡(luò)連接，因?yàn)榭梢赃h(yuǎn)程控制或管理的工廠資產(chǎn)也可能在CISO的管轄范圍內(nèi)。“未經(jīng)授權(quán)訪問(wèn)工業(yè)機(jī)械，例如鍋爐或高爐，可能會(huì)導(dǎo)致嚴(yán)重的工傷事故?！盇pirion解釋說(shuō)。

六、分布式物聯(lián)網(wǎng)設(shè)備安全需要重點(diǎn)關(guān)注

與OT系統(tǒng)一樣，物聯(lián)網(wǎng)設(shè)備通常可以控制物理系統(tǒng)的重要功能。“物聯(lián)網(wǎng)系統(tǒng)在信息和行動(dòng)之間架起橋梁，使其成為物理攻擊的誘人目標(biāo)，”Radware的Taylor指出：“物聯(lián)網(wǎng)系統(tǒng)可直接控制汽車、船舶、飛機(jī)、工廠、電梯等物理系統(tǒng)，因此必須有內(nèi)部監(jiān)控功能，以檢測(cè)和防止惡意操作，例如未經(jīng)授權(quán)的軟件更改或病毒感染。最后還需要有一個(gè)災(zāi)難恢復(fù)計(jì)劃，以應(yīng)對(duì)物聯(lián)網(wǎng)設(shè)備被人用彈弓打壞之類的意外事件?！?/p>

七、遠(yuǎn)程/混合辦公環(huán)境中的設(shè)備鎖定

傳統(tǒng)的“網(wǎng)絡(luò)邊緣”已經(jīng)發(fā)生天翻地覆的變化，因此CISO必須根據(jù)業(yè)務(wù)性質(zhì)、特定上下文和可接受的風(fēng)險(xiǎn)水平設(shè)計(jì)相應(yīng)的威脅模型和控制措施。安全利益相關(guān)者需要與供應(yīng)鏈合作伙伴密切合作，以確保硬件完整性，并教育員工了解物理、個(gè)人和操作安全最佳實(shí)踐。每項(xiàng)物理安全措施都會(huì)對(duì)網(wǎng)絡(luò)安全產(chǎn)生影響，反之亦然。

后疫情時(shí)代的辦公模式變化也放大了分布式設(shè)備的問(wèn)題。這意味著CISO必須擴(kuò)大其對(duì)遠(yuǎn)程設(shè)備的物理安全監(jiān)督范圍。

“遠(yuǎn)程和混合工作的普及使保護(hù)物理IT資產(chǎn)成為CISO面臨的越來(lái)越大的挑戰(zhàn)，”Fier解釋說(shuō)：“隨著員工攜帶設(shè)備越來(lái)越多地從一個(gè)地方移動(dòng)到另一個(gè)地方，設(shè)備丟失、設(shè)備濫用的風(fēng)險(xiǎn)以及被攻擊者利用的機(jī)會(huì)大增。此外，隨著員工越來(lái)越多地在家工作，CISO必須著手解決保護(hù)員工家用設(shè)備(例如路由器)的問(wèn)題?！?/p>

Fier以最近針對(duì)小型辦公室/家庭辦公室路由器的Volt Typhoon黑客攻擊活動(dòng)為例，建議CISO向高優(yōu)先級(jí)人員(例如高管和特權(quán)管理員)提供加強(qiáng)型家庭設(shè)備。

八、采用集中式的訪問(wèn)控制管理

雖然物理訪問(wèn)控制和建筑物保護(hù)的日常管理主要由設(shè)施團(tuán)隊(duì)負(fù)責(zé)，但理想情況下CISO應(yīng)該參與設(shè)計(jì)，至少要了解每個(gè)設(shè)施的入口點(diǎn)狀態(tài)。

“CISO應(yīng)該與物理安全團(tuán)隊(duì)合作，了解物理訪問(wèn)控制的風(fēng)險(xiǎn)態(tài)勢(shì)，”Church&Dwight的Ortiz解釋說(shuō)：“這包括了解進(jìn)入設(shè)施是否有接待區(qū)監(jiān)控或有工卡訪問(wèn)控制，進(jìn)入設(shè)施的入口點(diǎn)是否使用閉路電視(CCTV)記錄，工卡訪問(wèn)和監(jiān)控錄像是否記錄并審查可疑活動(dòng)，以及計(jì)算機(jī)網(wǎng)絡(luò)機(jī)房數(shù)據(jù)中心區(qū)域是否具有額外的訪問(wèn)要求?！?/p>

CISO還應(yīng)該為這些訪問(wèn)控制的設(shè)計(jì)提供意見，并找到將這些訪問(wèn)控制與邏輯訪問(wèn)集成的方法。這種協(xié)調(diào)可以極大地幫助調(diào)查，并使員工順利離職?！拔锢碓L問(wèn)和邏輯訪問(wèn)控制必須一起工作，尤其是當(dāng)憑證丟失或員工被解雇時(shí)?！監(jiān)rtiz說(shuō)道。

九、監(jiān)控系統(tǒng)及其數(shù)據(jù)的安全

與物理訪問(wèn)控制一樣，視頻監(jiān)控系統(tǒng)的技術(shù)細(xì)節(jié)可能超出CISO的職責(zé)范圍，但他們通常會(huì)對(duì)幫助設(shè)計(jì)和強(qiáng)化這些系統(tǒng)有濃厚的興趣。CISO通常是隱私問(wèn)題和法規(guī)方面的領(lǐng)域?qū)＜遥梢跃湍芘臄z什么以及如何存儲(chǔ)數(shù)據(jù)給出專業(yè)建議。

“鑒于視頻監(jiān)控存在各種隱私問(wèn)題、監(jiān)管責(zé)任和其他敏感性，因此CISO在其管理中發(fā)揮主要作用至關(guān)重要。他們必須與其他相關(guān)團(tuán)隊(duì)(例如法律團(tuán)隊(duì))密切合作，以確保他們的組織了解并遵守有關(guān)視頻監(jiān)控的法律法規(guī)，這些法律法規(guī)可能因地區(qū)而異，”Fier說(shuō)。

此外，視頻監(jiān)控也是IT環(huán)境的一部分，這意味著這些系統(tǒng)是CISO需要擔(dān)心的另一個(gè)網(wǎng)絡(luò)攻擊面?！稗k公室的CCTV攝像頭通常連接到主公司網(wǎng)絡(luò)，這使得它們不僅容易被網(wǎng)絡(luò)上的其他用戶觀看，而且容易被攻擊者觀看，”Agility Cyber的董事Jonathan Sword解釋說(shuō)，這就是為什么CISO需要參與這些系統(tǒng)的架構(gòu)設(shè)計(jì)。

十、確保調(diào)查時(shí)能夠快速訪問(wèn)監(jiān)控?cái)?shù)據(jù)

最后，對(duì)于CISO及其事件響應(yīng)團(tuán)隊(duì)來(lái)說(shuō)，能夠快速訪問(wèn)這些監(jiān)控系統(tǒng)的存儲(chǔ)記錄很重要。由于一些嚴(yán)重的網(wǎng)絡(luò)安全事件始于物理設(shè)施被入侵，因此應(yīng)急響應(yīng)人員需要能夠快速將物理空間中的活動(dòng)與邏輯系統(tǒng)上的操作聯(lián)系起來(lái)。攝像頭畫面可以幫助彌合這一差距。

總結(jié)

面對(duì)后疫情時(shí)代的混合辦公環(huán)境、物理網(wǎng)絡(luò)系統(tǒng)融合以及快速發(fā)展的威脅形勢(shì)，CISO必須擴(kuò)大視野，超越傳統(tǒng)網(wǎng)絡(luò)安全關(guān)注領(lǐng)域，重視物理安全問(wèn)題。

通過(guò)與CSO、設(shè)施團(tuán)隊(duì)和其他利益相關(guān)者合作，梳理預(yù)算和責(zé)權(quán)關(guān)系，CISO可采用整體方法來(lái)管理物理和網(wǎng)絡(luò)風(fēng)險(xiǎn)，打造適應(yīng)物理網(wǎng)絡(luò)空間新威脅的高彈性安全防御體系。