近段时间,一个网络攻击的段子在互联网上火了起来。
“某公司被黑客勒索,每20分钟断一次网,给公司带来了极其严重的影响,但通过技术手段怎么也找不到问题。最后公司发现是黑客买通了保安,每20分钟拔一次网线。”
看完后,网友不禁感叹,“最有效的攻击往往只需要使用最朴素的方式。”
诚然这个段子有点夸大的成分,却也点出了物理安全(这里指“物理设备安全”)对于企业网络安全体系的重要性:在绝大部分时间它都很不起眼,经常被大家遗忘在角落里,以至于出现问题后竟一时无法发现,更别提进行应急响应。
其原因在于,企业在建设安全体系时会更侧重于防范网络性攻击风险。而且安全投入的资源和人力有限,自然无法面面俱到,自然也就会遗忘一些不起眼的角落。但在这些角落里,同样隐藏着致命的风险。
随着物联网技术的快速发展并广泛应用于生活之中,物理安全的重要性进一步凸显。此时,企业也需要开始重视物理安全。毕竟安全是一个整体,只要有一个地方出现了漏洞,攻击者就有可能顺着这个漏洞进行入侵。
随着一年一度的HW即将开始,那些被遗忘在角落里的物理安全还好吗?
物理安全是网络安全的基础
所谓物理安全,是指拒绝未经授权访问设施,设备和资源并保护人员和财产免受损害或伤害(如间谍活动,盗窃或恐怖袭击)的安全措施。 物理安全涉及使用多层互相依赖的系统,其中包括闭路电视监控、安全警卫、防护屏障、锁、访问控制协议以及许多其他技术。
物理安全主要涉及机房环境要求、设备安全和传输介质安全三个方面,每个方面都有不同的要求。其中,设备安全主要包括设备的防盗、防毁坏、防设备故障、防电磁信息辐射泄漏、防止线路截获、抵抗电磁干扰及电源保护等方面的内容。其目标是防止组织遇到资产损坏、资产流失、敏感信息泄露或商业活动中断的风险。
针对物理安全,此前颁布的等保2.0也有类似的明确要求。
例如,在机房的物理位置选择上,等保2.0就明确规定:
- 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
- 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
毕竟数据机房关乎企业的生命线,倘若出现断电、漏水等问题,导致数据机房无法工作,那么将会给企业业务连续性造成毁灭性打击,甚至导致企业无法运转。
而在物理访问控制上,等保2.0也指出:
- 机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
- 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
- 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
- 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员等。
事实上,物理安全就在我们身边。例如我们常见的门禁系统就是一道物理安全措施,可以避免外部人员进出公司,但要注意其他进出渠道,如楼梯间;类似还有严格区分访客网络和内部员工网络,避免攻击者可直接访问员工网络,并以此发起网络攻击等。
此外,还有一些敏感重要的地方应设置权限规则,尽可量减少非必要人员的靠近,包括数据机房、财务系统等,防止攻击者混入其中。
千万别以为没有人会去破坏数据机房或中心,这样的思维定势对于安全工作来说极为不利。2021年,美国德克萨斯州一名男子就曾策划,对亚马逊部署在弗吉尼亚州的网络服务(AWS)数据中心发动炸弹袭击,目标是“毁坏约70%的互联网”。
所幸FBI的卧底给了该男子一枚哑弹,使得这一疯狂的举动并未成功。事后亚马逊表示,公司非常重视员工和客户数据的安全保障,并不断审查各种载体,以应对任何潜在威胁,未来将继续保持对员工和客户的这种警惕性。
目前,企业与机构对于数据安全愈加重视,各种安全产品、安全策略安排得井井有条。但是与此同时,对于机房、数据中心等重要场地的物理安全也不容忽视。
美国FBI逮捕了一名德克萨斯州的男子,原因是据称该男子计划对弗吉尼亚州的一个亚马逊网络服务(AWS)数据中心发动炸弹袭击,并且他的目标是“毁坏约70%的互联网”。
当下,企业所面临的物理威胁形势越来越严峻。根据Ontic 保护情报中心发布的《2021 年年中展望保护情报报告》,大多数受访者表示企业应对物理威胁保持一定的警惕;半数以上受访者认为物理攻击活动正在逐渐增加;一半以上的受访者认为,自己的企业在物理安全方面准备不足。
那些“神奇”的物理攻击
随着网络攻击的趋利性日渐明显,攻击者更倾向于使用较低的成本,获取更高的收益。某些时候,物理攻击往往成本更加低廉,以一种出人意料的方式来完成攻击行为,但效果有时却更直接、有效,让人不禁感叹“这样也可以”。
这里简单列举几个代表性案例。
1. 故意丢失的U盘
21世纪初,U盘攻击是一种十分常见的攻击手法,2007年,“U盘寄生虫”病毒更是登上了病毒排行榜榜首,成为互联网面临重大威胁之一。攻击者一般会将已经加载好木马的U盘故意丢在目标用户的必经之路,一旦对方捡起U盘并插入电脑之中,其木马病毒将会绕过电脑的防护系统,黑客可以轻而易举地入侵目标用户的系统。
除了U盘之外,MP3、MP4、移动硬盘、数码相机等移动储存设备无一例外地成为此类病毒的传播载体。2018年,台积电生产线感染了臭名昭著的WannaCry勒索病毒,导致多个厂区被迫停产,损失达到惊人的近10亿人民币。而这一切的根源,很有可能是台积电员工使用了加载了勒索病毒的U盘。
2. 利用电源窃取数据
以色列内盖夫本·古里安大学曾发布了一项研究报告揭露了一种“会说话”的恶意软件。它通过启动和停止CPU工作负载,影响电源的开关频率,从而让电源中的变压器和电容器发出声音信号。
简单来说,恶意软件利用变化电流所对应的变化电磁场,将其转化为音频,以便窃取数据。 而这种特殊的“噪音”,一旦被声波接收设备捕获,稍加提取处理,就能复原成原始信息,也就是目标电脑设备上的高敏感数据。
这样的攻击方式听起来是不是和传统的网络攻击大相径庭,既不需要WiFi,也不需要蓝牙,黑客竟然可以轻松获取目标的机密数据。另外,由于这样的攻击并不是以传统入侵的方式进行,因此极难被发现。
3. 灾备不完善导致损失惨重
2020年,微盟就因程序员删库一事损失惨重。根据公开报告,程序员因个人原因深夜删除微盟数据库,导致微盟自2020年2月23日19时起瘫痪,300余万用户无法正常使用该公司SaaS产品,故障持续时间长达8天14个小时。微盟一夜之间市值蒸发超10亿,300万商铺惨遭瘫痪,微盟支付恢复数据服务费、商户赔付费及员工加班报酬等经济损失共计人民币2260余万元。
虽然删库不是一项真正意义上的物理攻击,但是从删库一事造成的严重影响来看,很明显微盟没有做好容灾备份,最起码每天的增量备份工作没有完成,还有可能没有对非机构化数据进行备份。而缺乏对物理安全的重视,最终让微盟付出了无比惨痛的代价。
类似的案例历史上已经出现过许多次,其中不乏无法恢复备份的情况,但是总有企业心存侥幸,以至于事故出现时无能为力。
4. 直接潜入公司获取登录凭证
很多人因为不愿意记账号和密码,就直接将其贴在了桌子上。在某次HW演练中,攻击方成员了解到这一情况后,就伪装成该公司的保洁人员,光明正大进入公司办公区域,并以打扫卫生,清理垃圾为由,悄悄查看员工的登录凭证,最终凭借这些信息成功入侵企业内网。而目标公司对此则一脸懵逼,看着没有被攻击的安全体系,始终弄不明白为什么这么容易就被打破了内网。
5. 利用激光和LED突破物理隔离
众所周知,LED常用语打印机等设备内,用以显示设备状态,而这种LED是可以接受光信号。利用这一特性,攻击者将激光定向发送到事先安装好的LED,并记录LED灯的响应情况,建立了一个可以双向使用的长达25米的隐蔽通信通道。
根据测试情况,这个隐蔽通信通道的数据输入速率可以达到每秒18KB以上,数据输出速率可以达到每秒100KB,已经足够支持一般文字文件的实时传输。这就意味着,利用激光和LED,攻击者不仅可以读取物理隔离系统中的数据,还可以写入数据;并在不添加额外硬件的情况下,在被攻击的设备中检索数据。
类似的物理攻击案例还有很多。而面对这些物理攻击,企业的安全体系往往显的捉襟见肘,传统应对网络的各种方法无法奏效,甚至短时间内都无法找到问题出现的原因。
物理攻击广泛存在于商业犯罪之中
除了利用物理攻击突破企业安全体系外,物理攻击还广泛被用于商业犯罪和间谍窃听中,其过程更加隐蔽且具有高威胁性。
例如在上世纪四十年代,苏联曾经利用一种名为“金唇”的窃听器窃听了美国驻苏联大使馆长达七年的时间。期间历任数届大使,大使馆还进行了翻新和装修,但是这个窃听器就一直安安稳稳放在了大使馆的墙上。
该窃听器藏在一枚苏联赠送的木制美国国徽之中,拿到该礼物后,大使馆技术人员对此进行了细致的检查,由于没有发现电池,因此断定绝不可能是窃听器。
但实际上,“金唇”窃听器所使用的是射频识别技术。这是一种无线电通信技术,最大的特点就是自身无需电源即可工作。“金唇”内部有一个线圈组件,收到外部发射过来的无线电信号后, 通过电磁感应就会自动产生电流,实现无需电池就可以驱动设备工作。而没有外部的无线电信号时,这个设备就不会工作,也不会发送任何无线电信号,非常隐蔽,不容易被发现。
此外,在商业环境中还有另外一种神奇的窃听技术——激光窃听。
其原理是用激光发生器产生一束极细的激光,发射到被窃听房间的玻璃上。当房间里有人谈话的时候,玻璃因受室内声音变化的影响而发生轻微的振动,从玻璃上反射回的激光包含了室内声波的振动信息。人们在室外一定的位置上,用专门的激光接收器接收,就能解调出声音信号,从而监听室内人的谈话。
由于激光窃听设备并不需要放置到被监听者的房间内,所以很难被排查发现。较早的激光窃听器需要极大的稳定性,往往会在一个较为固定的地方实施。据称海湾战争期间,美国情报人员在伊拉克使用激光窃听技术,从行驶的汽车反光镜上捕捉到了车内伊拉克高级将领说话的声音,通过技术处理掌握了车内谈话的全部信息。
除窃听外,其他被用于商业犯罪的攻击手段还有很多,包括利用针孔摄像头摄像,在车上或身上安装定位设备,在键盘上安装记录器,安放无线干扰器干扰对手投标答辩等等。随着经济的不断发展,当下商业犯罪手段出现的频率越来越高,值得引起企业的重视。
结语
随着网络安全产业的发展和融合,网络攻击的复杂性正在快速上升,一次成功的网络攻击往往包含多个步骤。在这个过程中,物理攻击往往以网络攻击的跳板或后门出现,并且同样呈现出快速上升的趋势。
究其原因,网络安全体系的整体能力正在逐步提升,拉高了单次网络攻击的成本,迫使攻击者选择成本更低的攻击路径,而此时不怎么显眼的物理安全就成为了新的突破点。尤其是当下很多企业的物理安全和网络安全存在割裂感,给了攻击者可趁之机。
当下,全国HW行动即将启动,相信针对物理安全部分的攻击也将逐渐增加。毕竟网络安全是一个整体性的工程,短板效应十分明显。
此时,企业也应适当回过头,看看那些被遗忘在角落里的物理安全。