訪問控制成對抗網(wǎng)絡(luò)犯罪的前沿陣地

段鐵興

Hiscox發(fā)布報告稱，自2019年以來，企業(yè)在網(wǎng)絡(luò)安全方面的支出翻了一番。2N TELEKOMUNIKACE首席產(chǎn)品官TomáVystavěl調(diào)查訪問控制已成打擊網(wǎng)絡(luò)犯罪重要資產(chǎn)的個中緣由。

2021年早些時候，Hiscox對位于美國、英國、西班牙、荷蘭、德國、法國、比利時和愛爾蘭的6 000多家公司進(jìn)行了問卷調(diào)查，據(jù)此發(fā)布了《2021年網(wǎng)絡(luò)準(zhǔn)備度報告》。最引人注目的發(fā)現(xiàn)之一是，在過去2年中，各家企業(yè)在網(wǎng)絡(luò)安全方面的支出平均增加了一倍多。

不過，網(wǎng)絡(luò)安全開支增加是應(yīng)對威脅水平日益增長的理性選擇。Hiscox的研究表明，從2019-2020年，成為網(wǎng)絡(luò)罪犯目標(biāo)的公司更多了，且遭遇攻擊的公司中28 %都經(jīng)歷了不止5次攻擊。近半數(shù)受訪者表示，自新冠肺炎疫情開始以來，自家公司變得更容易受到網(wǎng)絡(luò)攻擊；在員工數(shù)量超過250名的企業(yè)中，這么認(rèn)為的受訪者占比上升到59 %。遭遇網(wǎng)絡(luò)攻擊的企業(yè)中，大約1/6認(rèn)為網(wǎng)絡(luò)安全事件威脅到了企業(yè)生存能力。調(diào)查還發(fā)現(xiàn)，遭網(wǎng)絡(luò)罪犯侵襲的企業(yè)中，約1/6被勒索金錢，其中半數(shù)以上真的付款了。

Hiscox進(jìn)一步評估公司在6個不同能力領(lǐng)域的成熟度，這6個能力領(lǐng)域組成了安裝、運(yùn)行、管理和治理有效安全系統(tǒng)所需的種種要素。其中的“身份與訪問管理”能力在所有受訪公司中位居能力成熟度列表的倒數(shù)第二位。

為什么訪問控制是網(wǎng)絡(luò)安全計劃的重要組成部分？

現(xiàn)實總是比理想骨感。在網(wǎng)絡(luò)安全方面，訪問控制并不總是企業(yè)的首要考慮，很多公司在這方面仍然處于需要“迎頭趕上”的狀態(tài)。不過，情況正在迅速改變?，F(xiàn)在，越來越多的公司意識到，如果訪問控制系統(tǒng)受到損害，企業(yè)大廈的日常運(yùn)營，還有其中人員，都可能面臨風(fēng)險。

這些公司正采取各種措施，重點應(yīng)對最緊迫的威脅，尤其是下面這5個威脅：

1.中間人攻擊（MitM）：黑客接入網(wǎng)絡(luò)并竊聽終端設(shè)備間通信的攻擊，攻擊者可通過中間人攻擊盜取開門密碼和設(shè)備登錄口令。

2.密碼/字典攻擊：黑客嘗試猜解設(shè)備登錄密碼的攻擊（通常使用密碼生成器，嘗試不同猜解策略）。

3.局域網(wǎng)未授權(quán)連接：門禁對講機(jī)或讀卡器可能會裝在房子外面，給壞人留下了破壞對講機(jī)并利用UTP電纜接入LAN網(wǎng)絡(luò)的機(jī)會。

4.對講系統(tǒng)攝像頭未授權(quán)查看：網(wǎng)絡(luò)攝像頭留有默認(rèn)密碼的事很常見，基本上任何人都可以連接這種攝像頭，查看拍到的所有情況。

5.針對手機(jī)的惡意軟件攻擊：由于十分便利，基于手機(jī)憑證的訪問控制系統(tǒng)越來越受歡迎。但是，這種系統(tǒng)也一直是黑客的目標(biāo)，他們試圖通過憑證竊取、監(jiān)視和惡意廣告來攻擊智能手機(jī)。

這些威脅不僅僅局限于網(wǎng)絡(luò)領(lǐng)域。訪問控制遭破壞也可能構(gòu)成物理威脅———如果罪犯能夠潛入大樓的話。即便物理安全未遭破壞，網(wǎng)絡(luò)攻擊也可能導(dǎo)致成百上千萬元的監(jiān)管處罰，中斷核心業(yè)務(wù)功能，威脅企業(yè)聲譽(yù)。

保護(hù)訪問控制系統(tǒng)免受網(wǎng)絡(luò)攻擊侵害：應(yīng)遵循哪些基本規(guī)則？

很明顯，威脅逐漸加重，企業(yè)應(yīng)該采取一些基本的、良好的實踐措施來保護(hù)其IT系統(tǒng)的各個方面。例如，使用復(fù)雜的強(qiáng)密碼，定期對IT基礎(chǔ)設(shè)施進(jìn)行安全審計以識別和消除可能的漏洞，并培訓(xùn)負(fù)責(zé)保護(hù)大樓IT基礎(chǔ)設(shè)施的安全團(tuán)隊，讓他們了解最常見的威脅及其應(yīng)對方法。

最重要的是，具體到訪問控制上，公司可以遵循下面這幾條收效甚高的附加規(guī)則：

遵循經(jīng)驗證的安全控制框架。其中2個備受認(rèn)可的安全控制框架是ISO 27001和SOC 2。這些框架可以指導(dǎo)公司創(chuàng)建安全的系統(tǒng)和流程。

確保訪問控制系統(tǒng)采用了加密和多步身份驗證。這樣可以保護(hù)設(shè)備、控制器和移動設(shè)備之間的通信，并杜絕出于“維護(hù)目的”的后門。

創(chuàng)建獨立的網(wǎng)絡(luò)，專用于處理敏感信息的設(shè)備，并確保這些設(shè)備之間的通信是加密的。將這些設(shè)備置于獨立的虛擬局域網(wǎng)（VLAN）中，確保已安裝設(shè)備或軟件的制造商默認(rèn)使用HTTPS，TLS，SIPS，SRTP等實現(xiàn)協(xié)議。

創(chuàng)建具有不同權(quán)限的賬戶。這么做可以確保用戶只能夠做出與其特定任務(wù)相關(guān)的更改，而管理員會得到更大的權(quán)限來管理大樓和所有關(guān)聯(lián)賬戶。

經(jīng)常升級軟件。在設(shè)備上安裝最新的固件版本是降低網(wǎng)絡(luò)安全風(fēng)險的重要措施。每個新版本都通過實現(xiàn)最新安全補(bǔ)丁來修復(fù)在軟件上發(fā)現(xiàn)的漏洞。

安排網(wǎng)絡(luò)安全培訓(xùn)，教育員工規(guī)避社會工程威脅。人的因素是任何系統(tǒng)中最脆弱的一環(huán)，攻擊者可以誘騙員工犯下安全錯誤，或者給出敏感信息。因此，有必要定期培訓(xùn)員工，培養(yǎng)他們的網(wǎng)絡(luò)安全意識。

這些規(guī)則并不復(fù)雜，遵循這些規(guī)則也不用投入太多資源。事實上，隨著抗擊網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露的戰(zhàn)爭愈演愈烈，哪家公司都不能承擔(dān)忽視這些規(guī)則的后果。