虽然CISO很少会像设施团队或首席安全官那样负责处理企业所有的健康和人身安全问题,但CISO在企业实体安全战略(IT系统实体安全、IT资产实体访问安全等)中仍扮演着重要角色。
在HW行动中,除了钓鱼、网络攻击等常见攻击手段以外,物理攻击也会被红队列入考虑范围中。无论是洗手间故意遗漏的“财务U盘”,还是窃取物流行业的快递单打印机,这些物理攻击手法往往被人忽视,但非常奏效。
对于CISO来说,保障物理安全也是保障网络安全,同时,这还是CISO职业道路延伸的一个主要方向。
什么是实体安全?实体安全为何重要?
实体安全是指保护人员、财产和实体资产免受可能造成损害或损失的行为和事件的影响。虽然物理安全常常因网络安全而被忽视,但其仍然重要,据估计,截至 2023 年,物理安全的规模在 1100 亿到 1230 亿美元之间。
大多数现代实体安全系统和控制措施都与 IT 系统密不可分,如实体凭证、身份管理、视频监控等,这就要求CISO团队进行网络安全监督,以确保它们得到适当的加固。更重要的是,对 IT 资产的物理访问可能会引发一系列网络事件和漏洞。因此,CISO在一定程度上是责任人,许多法规和标准都要求其确保采取物理安全措施,保护对这些资产的访问。
Nuspire 网络安全咨询副总裁 Mike Pedrick 表示,CISO 在物理世界中必然有其工作范围,其职责是保护各种形式的信息,包括物理介质和数字信息的访问机制。
现阶段,CISO还不需要负责所有物理安全职责。虽然一些较小的组织可能会将 CISO 和 CSO 的职位合并,或者直接将物理安全放到 CISO 的位置上,但在许多大型组织中,这种做法并不奏效。Optiv 公司的 CISO Max Shier表示,如果有监管要求,或者公司规模较大,将两个团队合并可能没有意义,因为实体安全团队的职责可能大于网络安全所能管理的范围,例如安全警卫部队、高管保护等。
CISO必须与实体安全团队合作
Radware 公司首席信息安全官 Howard Taylor表示,如果合并职责不是解决办法,那么与实体安全团队的沟通和协调就成为CISO实现目标的关键。这对许多网络安全资深人士来说并不陌生,他们曾被要求与从产品管理到开发团队的每个人建立点线关系,以实现网络项目其他领域的目标。实体安全也是如此,CISO必须在业务连续性、灾难恢复、设施设计和实施的规划过程中与实体安全专家合作。这包括确保物理访问、网络和数据中心资产、电力以及防火和监控的安全。此外,实体安全也必须与CISO合作,确保访问和监控控制的实施和运行。这包括确保摄像头和监控图像不违反隐私法规。无论组织结构如何,CISO 都需要与设施、CSO 和其他负责实体安全的人员合作,制定措施,将以下重要的实体安全注意事项考虑在内。
常见的十大物理安全包括:
加固 IT 设施和数据中心日常办公设施问题阻止物理空间的横向移动保护办公和云设施中的资产物理-网络连接 OT 环境偏远地区的物联网设备锁定远程/混合世界中的设备集成访问控制确保监控系统及其数据的安全随时获取监控数据以备调查
加固 IT 设施和数据中心
数据中心、敏感 IT 设施和多用途办公设施中的计算机房是 CISO 需要重点控制敏感系统物理访问的一些最明显的领域。Church & Dwight 公司的 CISO David Ortiz 表示,CISO应规定,只有需要访问的人才能访问所有计算机房,并强制要求承包商必须有人陪同,不得单独留在计算机房内。同时,应该每天记录和审查计算机房的访问情况。
Darktrace 红队运营高级副总裁 Justin Fier 认为,不同的设施应采取不同的措施,并根据风险情况进行增减。存放关键信息的设施,如拥有敏感服务器的办公室,应该比拥有不太敏感资产的设施有更严格的安全控制。CISO 必须了解哪些数据和资源存储在哪些设施中,评估这些设施一旦被攻破所带来的风险,并相应地加强物理保护。
日常办公设施问题
与此同时,即使是最平淡无奇的办公环境,也可能成为狡猾的攻击者寻找企业网络立足点的目标。Flexential 公司网络安全副总裁 Will Bass表示,设施中的任何网络插孔都可能成为 IT 环境的潜在入口。无论设施是否敏感,CISO 都应积极参与所有设施的物理安全架构和标准,以确保采取正确的深度防御措施,防止未经授权的物理访问 IT 环境。
Optiv 的 Shier 补充道,“我们仍然需要确保在办公室内有足够的物理安全控制。端口安全、无线接入点安全、身份访问控制和摄像头在今天仍然适用,不应被忽视。”尽管远程和混合工作改变了员工对办公室的看法,并可能减少了许多设施的人流量,但 CISO 仍应监督包括物理安全、卫生等方面的一些基本情况。
阻止物理空间的横向移动
在 CISO 审查整个组织设施的物理安全控制时,他们应该注意攻击者在物理空间中横向移动和通过不同禁区的难易程度。根据 Bishop Fox 红队高级安全顾问 Alethe Denis 的说法,一旦攻击者成功潜入建筑物、仓库或服务区,除非采取适当的措施,否则他们就会得手。
Denis 表示,一旦攻击者获得了进入禁区的初始权限,他们在进入禁区后受到挑战的可能性就会大大降低,因为大多数人都会认为他们在获准进入任何敏感或禁区之前已经获得了适当的权限。
正如企业使用分段和零信任身份验证来保护整个网络的逻辑资产一样,当人们在楼宇内不同的物理空间移动时,企业也应该对他们的访问权限提出质疑,当他们接近最敏感的区域或房间时,就应该采取更严格的措施。Denis表示,理想情况下,防止可疑身份进入楼梯间、电梯区域以及防止可疑身份选择电梯楼层按钮,可以防止横向移动,限制攻击者在初次进入公共大厅或交付区域后可能造成的破坏。
保护办公和云设施中的资产
CISO对实体安全的监督也不应局限于组织所拥有的设施。Shier表示,CISO 还需要考虑如何保护共用设施或数据中心中的资产。与其他公司的资产共处一室需要确保单个机架的安全,并能够通过徽章阅读器或其他方式进行控制和审计。确保数据中心有摄像头、警卫和其他控制措施也极为重要。
Nuspire 的 Pedrick 表示,此外,即使系统的物理处理完全从组织中抽象出来(如公共云和 SaaS 资源),CISO 仍然需要注意如何对容纳它们的系统进行物理控制。如果说这给 CISO 带来了压力,可以要求他们了解合同和服务水平协议的重要性,以及第三方审计证明的价值。
OT 环境中的物理网络连接
除了担心物理行为如何影响网络环境之外,在管理关键基础设施的组织中工作的 CISO 还必须能够翻转这个等式。换句话说,他们需要考虑网络活动如何对物理环境(无论是制造装配线、发电厂还是采矿作业)产生潜在的不利影响。
Cyolo公司的联合创始人Almog Apirion表示,工业环境中的网络攻击会对物理安全构成重大威胁。恶意行为者可以渗透设备,破坏水处理厂或电网等关键基础设施,对社区造成广泛伤害。
如今,IT 和 OT 环境已经高度融合,CISO 必须注意其设施中的物理与网络连接,即使它们不一定在工业企业中运营。如果基本的物理设备资产可以远程控制或管理,那么 CISO 就需要保护这些资产。例如,未经授权访问锅炉或高炉等工业机械可能会导致故障,这会严重伤害工人。
偏远地区的物联网设备需要特别考虑
说到物理-网络连接,现代 CISO 需要考虑的其他物理安全因素之一是保护遍布各处的物联网设备。
Flexential 的 Bass 表示,物联网设备通常暴露在非安全区域,例如建筑物外部的安全摄像头,这对设备的物理访问是一个潜在的入口点,防止物联网设备被用作 IT 环境的入口可能具有挑战性,需要采取独特的防御措施。
此外,与 OT 系统一样,物联网设备通常可以控制物理领域的基本功能。Radware 的Taylor指出,物联网系统是信息与行动之间的桥梁,因此成为物理攻击的目标。物联网系统控制着汽车、船只、飞机、工厂、电梯等。这些设备必须具备内部监控功能,以检测和防止恶意行为,如未经授权的软件更改或病毒感染。万一有人用棒球棒破坏了物联网设备,必须有灾难恢复计划。
在远程或混合世界中锁定设备
传统的网络边界已经发生了变化,因此,CISO必须考虑对企业有意义的威胁模型和控制措施、其具体环境以及可接受的风险水平。安全利益相关者需要与供应链合作伙伴密切合作,确保硬件的完整性,并向员工传授有关物理、个人和操作安全的最佳实践,因为每种安全都会对网络安全产生影响,反之亦然。
尽管许多员工都回到了办公室,但大流行后的工作环境却加剧了分布式设备的问题。这意味着 CISO 必须扩大对远程设备的物理安全监管范围。
Fier表示,远程工作和混合工作的普及,使得确保物理 IT 资产安全成为 CISO 面临的一个日益严峻的挑战。Fier表示,随着员工携带设备从一个地点移动到另一个地点的频率越来越高,设备丢失、设备滥用的风险也越来越大,威胁行为者的机会也越来越多。此外,由于员工在家工作的频率越来越高,CISO 必须解决家庭设备(如路由器)的安全问题。
威胁行为者已经发现了这个机会,最近针对小型办公室、家庭办公室路由器的 Volt Typhoon 活动就是一个例子。对此,Fier建议向 C 级高管和特权管理员等优先目标个人发送加固设备。
综合门禁控制是理想选择
虽然设施团队负责物理访问控制和建筑物保护的日常管理,但 CISO 在理想情况下应充分参与设计,至少了解每个设施入口点的状况。
Church & Dwight 公司的 Ortiz 表示,CISO 应该与实体安全团队合作,了解实体访问控制的风险状况。这包括了解进入设施是否受到接待区的监控,或是否有证件进入,进入设施的入口是否使用闭路电视(CCTV)记录,是否对证件进入和闭路电视进行记录并审查可疑活动,以及计算机网络机柜数据中心区域是否有额外的进入要求。
Taylor认为,CISO还应为这些访问控制的设计提供意见,并想方设法将其整合到逻辑访问中。这种协调可以极大地帮助调查工作以及员工的顺利离职。物理访问控制和逻辑访问控制必须相互配合,尤其是当凭证丢失或员工被解雇时。
确保监控系统及其数据的安全
与物理访问控制一样,监控系统的具体细节很可能不属于CISO的职权范围,但他们通常会在帮助设计和加固这些系统方面拥有既得利益。CISO通常是企业中隐私问题和监管方面的领域专家,因此他们会帮助就哪些内容可以拍摄、哪些内容不可以拍摄以及如何存储数据提供建议。
鉴于视频监控涉及不同的隐私问题、监管责任和其他敏感性,CISO 在视频监控管理中发挥重要作用至关重要。他们必须与其他相关团队(如法律团队)密切协作,确保企业了解并遵守有关视频监控的法律法规,不同地区的法律法规可能有所不同。
此外,现代视频监控也是 IT 环境的一部分,这意味着这些系统是 CISO 需要担心的另一个网络攻击面。Agility Cyber 总监Jonathan Swor表示,CISO 需要对这些系统的架构提出建议。
随时获取监控数据用于调查
最后,对于 CISO 及其事件响应团队来说,随时获取这些监控系统的输出数据也是一个重要的考虑因素。由于一些严重的入侵事件可能是物理设施最初被入侵的结果,因此,响应人员需要能够轻松地将物理空间中的活动与逻辑系统中的行动联系起来。摄像机镜头可以帮助弥合这一差距。
Bishop Fox 的 Denis 表示,在发生事故期间,数据可能面临风险,而摄像机镜头可能对确定事故的当前状态至关重要,那么信息安全团队就应该有能力在物理团队无法查看镜头的情况下查看镜头。
预算因素是所有决策的基础
对于 CISO 来说,在适当解决所有这些物理安全问题时,最大的限制因素往往是预算和明确的责任归属。Denis表示,CISO 可以通过采取常识性的、精打细算的方法来提出建议,从而帮助赢得信誉和尊重。要做到这一点,CISO必须与CSO、安全设施团队密切合作,这种协调也有助于明确责任划分,从而避免出现相互推诿的情况。
为了确定最佳的前进道路,CSO和CISO应制定一份目标清单,然后列出他们希望采取的物理安全控制措施,以便在合理性和经济性之间取得平衡。
结语
实现和推广物理安全是CISO职级的一个延伸,想要从过去的职责范围内突破出来,物理安全无疑是最佳选择。现阶段,CISO们面临着一个又一个挑战,有人离开也有人坚守,而对于坚守在安全岗位的人来说,尝试突破,尝试寻找新的路径应该成为CISO下一阶段的目标。
原文链接:csoonline.com
领取优惠
提交成功!