訪問控制成對(duì)抗網(wǎng)絡(luò)犯罪的前沿陣地

段鐵興

Hiscox發(fā)布報(bào)告稱，自2019年以來，企業(yè)在網(wǎng)絡(luò)安全方面的支出翻了一番。2N TELEKOMUNIKACE首席產(chǎn)品官TomáVystavěl調(diào)查訪問控制已成打擊網(wǎng)絡(luò)犯罪重要資產(chǎn)的個(gè)中緣由。

2021年早些時(shí)候，Hiscox對(duì)位于美國(guó)、英國(guó)、西班牙、荷蘭、德國(guó)、法國(guó)、比利時(shí)和愛爾蘭的6 000多家公司進(jìn)行了問卷調(diào)查，據(jù)此發(fā)布了《2021年網(wǎng)絡(luò)準(zhǔn)備度報(bào)告》。最引人注目的發(fā)現(xiàn)之一是，在過去2年中，各家企業(yè)在網(wǎng)絡(luò)安全方面的支出平均增加了一倍多。

不過，網(wǎng)絡(luò)安全開支增加是應(yīng)對(duì)威脅水平日益增長(zhǎng)的理性選擇。Hiscox的研究表明，從2019-2020年，成為網(wǎng)絡(luò)罪犯目標(biāo)的公司更多了，且遭遇攻擊的公司中28 %都經(jīng)歷了不止5次攻擊。近半數(shù)受訪者表示，自新冠肺炎疫情開始以來，自家公司變得更容易受到網(wǎng)絡(luò)攻擊；在員工數(shù)量超過250名的企業(yè)中，這么認(rèn)為的受訪者占比上升到59 %。遭遇網(wǎng)絡(luò)攻擊的企業(yè)中，大約1/6認(rèn)為網(wǎng)絡(luò)安全事件威脅到了企業(yè)生存能力。調(diào)查還發(fā)現(xiàn)，遭網(wǎng)絡(luò)罪犯侵襲的企業(yè)中，約1/6被勒索金錢，其中半數(shù)以上真的付款了。

Hiscox進(jìn)一步評(píng)估公司在6個(gè)不同能力領(lǐng)域的成熟度，這6個(gè)能力領(lǐng)域組成了安裝、運(yùn)行、管理和治理有效安全系統(tǒng)所需的種種要素。其中的“身份與訪問管理”能力在所有受訪公司中位居能力成熟度列表的倒數(shù)第二位。

為什么訪問控制是網(wǎng)絡(luò)安全計(jì)劃的重要組成部分？

現(xiàn)實(shí)總是比理想骨感。在網(wǎng)絡(luò)安全方面，訪問控制并不總是企業(yè)的首要考慮，很多公司在這方面仍然處于需要“迎頭趕上”的狀態(tài)。不過，情況正在迅速改變。現(xiàn)在，越來越多的公司意識(shí)到，如果訪問控制系統(tǒng)受到損害，企業(yè)大廈的日常運(yùn)營(yíng)，還有其中人員，都可能面臨風(fēng)險(xiǎn)。

這些公司正采取各種措施，重點(diǎn)應(yīng)對(duì)最緊迫的威脅，尤其是下面這5個(gè)威脅：

1.中間人攻擊（MitM）：黑客接入網(wǎng)絡(luò)并竊聽終端設(shè)備間通信的攻擊，攻擊者可通過中間人攻擊盜取開門密碼和設(shè)備登錄口令。

2.密碼/字典攻擊：黑客嘗試猜解設(shè)備登錄密碼的攻擊（通常使用密碼生成器，嘗試不同猜解策略）。

3.局域網(wǎng)未授權(quán)連接：門禁對(duì)講機(jī)或讀卡器可能會(huì)裝在房子外面，給壞人留下了破壞對(duì)講機(jī)并利用UTP電纜接入LAN網(wǎng)絡(luò)的機(jī)會(huì)。

4.對(duì)講系統(tǒng)攝像頭未授權(quán)查看：網(wǎng)絡(luò)攝像頭留有默認(rèn)密碼的事很常見，基本上任何人都可以連接這種攝像頭，查看拍到的所有情況。

5.針對(duì)手機(jī)的惡意軟件攻擊：由于十分便利，基于手機(jī)憑證的訪問控制系統(tǒng)越來越受歡迎。但是，這種系統(tǒng)也一直是黑客的目標(biāo)，他們?cè)噲D通過憑證竊取、監(jiān)視和惡意廣告來攻擊智能手機(jī)。

這些威脅不僅僅局限于網(wǎng)絡(luò)領(lǐng)域。訪問控制遭破壞也可能構(gòu)成物理威脅———如果罪犯能夠潛入大樓的話。即便物理安全未遭破壞，網(wǎng)絡(luò)攻擊也可能導(dǎo)致成百上千萬元的監(jiān)管處罰，中斷核心業(yè)務(wù)功能，威脅企業(yè)聲譽(yù)。

保護(hù)訪問控制系統(tǒng)免受網(wǎng)絡(luò)攻擊侵害：應(yīng)遵循哪些基本規(guī)則？

很明顯，威脅逐漸加重，企業(yè)應(yīng)該采取一些基本的、良好的實(shí)踐措施來保護(hù)其IT系統(tǒng)的各個(gè)方面。例如，使用復(fù)雜的強(qiáng)密碼，定期對(duì)IT基礎(chǔ)設(shè)施進(jìn)行安全審計(jì)以識(shí)別和消除可能的漏洞，并培訓(xùn)負(fù)責(zé)保護(hù)大樓IT基礎(chǔ)設(shè)施的安全團(tuán)隊(duì)，讓他們了解最常見的威脅及其應(yīng)對(duì)方法。

最重要的是，具體到訪問控制上，公司可以遵循下面這幾條收效甚高的附加規(guī)則：

遵循經(jīng)驗(yàn)證的安全控制框架。其中2個(gè)備受認(rèn)可的安全控制框架是ISO 27001和SOC 2。這些框架可以指導(dǎo)公司創(chuàng)建安全的系統(tǒng)和流程。

確保訪問控制系統(tǒng)采用了加密和多步身份驗(yàn)證。這樣可以保護(hù)設(shè)備、控制器和移動(dòng)設(shè)備之間的通信，并杜絕出于“維護(hù)目的”的后門。

創(chuàng)建獨(dú)立的網(wǎng)絡(luò)，專用于處理敏感信息的設(shè)備，并確保這些設(shè)備之間的通信是加密的。將這些設(shè)備置于獨(dú)立的虛擬局域網(wǎng)（VLAN）中，確保已安裝設(shè)備或軟件的制造商默認(rèn)使用HTTPS，TLS，SIPS，SRTP等實(shí)現(xiàn)協(xié)議。

創(chuàng)建具有不同權(quán)限的賬戶。這么做可以確保用戶只能夠做出與其特定任務(wù)相關(guān)的更改，而管理員會(huì)得到更大的權(quán)限來管理大樓和所有關(guān)聯(lián)賬戶。

經(jīng)常升級(jí)軟件。在設(shè)備上安裝最新的固件版本是降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的重要措施。每個(gè)新版本都通過實(shí)現(xiàn)最新安全補(bǔ)丁來修復(fù)在軟件上發(fā)現(xiàn)的漏洞。

安排網(wǎng)絡(luò)安全培訓(xùn)，教育員工規(guī)避社會(huì)工程威脅。人的因素是任何系統(tǒng)中最脆弱的一環(huán)，攻擊者可以誘騙員工犯下安全錯(cuò)誤，或者給出敏感信息。因此，有必要定期培訓(xùn)員工，培養(yǎng)他們的網(wǎng)絡(luò)安全意識(shí)。

這些規(guī)則并不復(fù)雜，遵循這些規(guī)則也不用投入太多資源。事實(shí)上，隨著抗擊網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露的戰(zhàn)爭(zhēng)愈演愈烈，哪家公司都不能承擔(dān)忽視這些規(guī)則的后果。