HW在即，那些被遗忘的物理安全还好吗？

近段时间，一个网络攻击的段子在互联网上火了起来。

“某公司被黑客勒索，每20分钟断一次网，给公司带来了极其严重的影响，但通过技术手段怎么也找不到问题。最后公司发现是黑客买通了保安，每20分钟拔一次网线。”

看完后，网友不禁感叹，“最有效的攻击往往只需要使用最朴素的方式。”

诚然这个段子有点夸大的成分，却也点出了物理安全（这里指“物理设备安全”）对于企业网络安全体系的重要性：在绝大部分时间它都很不起眼，经常被大家遗忘在角落里，以至于出现问题后竟一时无法发现，更别提进行应急响应。

其原因在于，企业在建设安全体系时会更侧重于防范网络性攻击风险。而且安全投入的资源和人力有限，自然无法面面俱到，自然也就会遗忘一些不起眼的角落。但在这些角落里，同样隐藏着致命的风险。

随着物联网技术的快速发展并广泛应用于生活之中，物理安全的重要性进一步凸显。此时，企业也需要开始重视物理安全。毕竟安全是一个整体，只要有一个地方出现了漏洞，攻击者就有可能顺着这个漏洞进行入侵。

随着一年一度的HW即将开始，那些被遗忘在角落里的物理安全还好吗？

物理安全是网络安全的基础****

所谓物理安全，是指拒绝未经授权访问设施，设备和资源并保护人员和财产免受损害或伤害(如间谍活动，盗窃或恐怖袭击)的安全措施。
物理安全涉及使用多层互相依赖的系统，其中包括闭路电视监控、安全警卫、防护屏障、锁、访问控制协议以及许多其他技术。

物理安全主要涉及机房环境要求、设备安全和传输介质安全三个方面，每个方面都有不同的要求。其中，设备安全主要包括设备的防盗、防毁坏、防设备故障、防电磁信息辐射泄漏、防止线路截获、抵抗电磁干扰及电源保护等方面的内容。其目标是防止组织遇到资产损坏、资产流失、敏感信息泄露或商业活动中断的风险。

针对物理安全，此前颁布的等保2.0也有类似的明确要求。

例如，在机房的物理位置选择上，等保2.0就明确规定：1、机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；2、机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

毕竟数据机房关乎企业的生命线，倘若出现断电、漏水等问题，导致数据机房无法工作，那么将会给企业业务连续性造成毁灭性打击，甚至导致企业无法运转。

而在物理访问控制上，等保2.0也指出：

1、机房出入口应安排专人值守，控制、鉴别和记录进入的人员；

2、需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；

3、应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；

4、重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员等。

事实上，物理安全就在我们身边。例如我们常见的门禁系统就是一道物理安全措施，可以避免外部人员进出公司，但要注意其他进出渠道，如楼梯间；类似还有严格区分访客网络和内部员工网络，避免攻击者可直接访问员工网络，并以此发起网络攻击等。

此外，还有一些敏感重要的地方应设置权限规则，尽可量减少非必要人员的靠近，包括数据机房、财务系统等，防止攻击者混入其中。

千万别以为没有人会去破坏数据机房或中心，这样的思维定势对于安全工作来说极为不利。2021年，美国德克萨斯州一名男子就曾策划，对亚马逊部署在弗吉尼亚州的网络服务(AWS)数据中心发动炸弹袭击，目标是“毁坏约70%的互联网”。

所幸FBI的卧底给了该男子一枚哑弹，使得这一疯狂的举动并未成功。事后亚马逊表示，公司非常重视员工和客户数据的安全保障，并不断审查各种载体，以应对任何潜在威胁，未来将继续保持对员工和客户的这种警惕性。

目前，企业与机构对于数据安全愈加重视，各种安全产品、安全策略安排得井井有条。但是与此同时，对于机房、数据中心等重要场地的物理安全也不容忽视。

美国FBI逮捕了一名德克萨斯州的男子，原因是据称该男子计划对弗吉尼亚州的一个亚马逊网络服务(AWS)数据中心发动炸弹袭击，并且他的目标是“毁坏约70%的互联网”。

当下，企业所面临的物理威胁形势越来越严峻。根据Ontic 保护情报中心发布的《2021
年年中展望保护情报报告》，大多数受访者表示企业应对物理威胁保持一定的警惕；半数以上受访者认为物理攻击活动正在逐渐增加；一半以上的受访者认为，自己的企业在物理安全方面准备不足。

那些“神奇”的物理攻击****

随着网络攻击的趋利性日渐明显，攻击者更倾向于使用较低的成本，获取更高的收益。某些时候，物理攻击往往成本更加低廉，以一种出人意料的方式来完成攻击行为，但效果有时却更直接、有效，让人不禁感叹“这样也可以”。

这里简单列举几个代表性案例。

1、故意丢失的U盘****

21世纪初，U盘攻击是一种十分常见的攻击手法，2007年，“U盘寄生虫”病毒更是登上了病毒排行榜榜首，成为互联网面临重大威胁之一。攻击者一般会将已经加载好木马的U盘故意丢在目标用户的必经之路，一旦对方捡起U盘并插入电脑之中，其木马病毒将会绕过电脑的防护系统，黑客可以轻而易举地入侵目标用户的系统。

除了U盘之外，MP3、MP4、移动硬盘、数码相机等移动储存设备无一例外地成为此类病毒的传播载体。2018年，台积电生产线感染了臭名昭著的WannaCry勒索病毒，导致多个厂区被迫停产，损失达到惊人的近10亿人民币。而这一切的根源，很有可能是台积电员工使用了加载了勒索病毒的U盘。

2、利用电源窃取数据****

以色列内盖夫本·古里安大学曾发布了一项研究报告揭露了一种“会说话”的恶意软件。它通过启动和停止CPU工作负载，影响电源的开关频率，从而让电源中的变压器和电容器发出声音信号。

简单来说，恶意软件利用变化电流所对应的变化电磁场，将其转化为音频，以便窃取数据。
而这种特殊的“噪音”，一旦被声波接收设备捕获，稍加提取处理，就能复原成原始信息，也就是目标电脑设备上的高敏感数据。

这样的攻击方式听起来是不是和传统的网络攻击大相径庭，既不需要WiFi，也不需要蓝牙，黑客竟然可以轻松获取目标的机密数据。另外，由于这样的攻击并不是以传统入侵的方式进行，因此极难被发现。

3、灾备不完善导致损失惨重****

2020年，微盟就因程序员删库一事损失惨重。根据公开报告，程序员因个人原因深夜删除微盟数据库，导致微盟自2020年2月23日19时起瘫痪，300余万用户无法正常使用该公司SaaS产品，故障持续时间长达8天14个小时。微盟一夜之间市值蒸发超10亿，300万商铺惨遭瘫痪，微盟支付恢复数据服务费、商户赔付费及员工加班报酬等经济损失共计人民币2260余万元。

虽然删库不是一项真正意义上的物理攻击，但是从删库一事造成的严重影响来看，很明显微盟没有做好容灾备份，最起码每天的增量备份工作没有完成，还有可能没有对非机构化数据进行备份。而缺乏对物理安全的重视，最终让微盟付出了无比惨痛的代价。

类似的案例历史上已经出现过许多次，其中不乏无法恢复备份的情况，但是总有企业心存侥幸，以至于事故出现时无能为力。

4、直接潜入公司获取登录凭证****

很多人因为不愿意记账号和密码，就直接将其贴在了桌子上。在某次HW演练中，攻击方成员了解到这一情况后，就伪装成该公司的保洁人员，光明正大进入公司办公区域，并以打扫卫生，清理垃圾为由，悄悄查看员工的登录凭证，最终凭借这些信息成功入侵企业内网。而目标公司对此则一脸懵逼，看着没有被攻击的安全体系，始终弄不明白为什么这么容易就被打破了内网。

5、利用激光和LED突破物理隔离****

众所周知，LED常用语打印机等设备内，用以显示设备状态，而这种LED是可以接受光信号。利用这一特性，攻击者将激光定向发送到事先安装好的LED，并记录LED灯的响应情况，建立了一个可以双向使用的长达25米的隐蔽通信通道。

根据测试情况，这个隐蔽通信通道的数据输入速率可以达到每秒18KB以上，数据输出速率可以达到每秒100KB，已经足够支持一般文字文件的实时传输。这就意味着，利用激光和LED，攻击者不仅可以读取物理隔离系统中的数据，还可以写入数据；并在不添加额外硬件的情况下，在被攻击的设备中检索数据。

类似的物理攻击案例还有很多。而面对这些物理攻击，企业的安全体系往往显的捉襟见肘，传统应对网络的各种方法无法奏效，甚至短时间内都无法找到问题出现的原因。

物理攻击广泛存在于商业犯罪之中****

除了利用物理攻击突破企业安全体系外，物理攻击还广泛被用于商业犯罪和间谍窃听中，其过程更加隐蔽且具有高威胁性。

例如在上世纪四十年代，苏联曾经利用一种名为“金唇”的窃听器窃听了美国驻苏联大使馆长达七年的时间。期间历任数届大使，大使馆还进行了翻新和装修，但是这个窃听器就一直安安稳稳放在了大使馆的墙上。

该窃听器藏在一枚苏联赠送的木制美国国徽之中，拿到该礼物后，大使馆技术人员对此进行了细致的检查，由于没有发现电池，因此断定绝不可能是窃听器。

但实际上，“金唇”窃听器所使用的是射频识别技术。这是一种无线电通信技术，最大的特点就是自身无需电源即可工作。“金唇”内部有一个线圈组件，收到外部发射过来的无线电信号后，
通过电磁感应就会自动产生电流，实现无需电池就可以驱动设备工作。而没有外部的无线电信号时，这个设备就不会工作，也不会发送任何无线电信号，非常隐蔽，不容易被发现。

此外，在商业环境中还有另外一种神奇的窃听技术——激光窃听。

其原理是用激光发生器产生一束极细的激光，发射到被窃听房间的玻璃上。当房间里有人谈话的时候，玻璃因受室内声音变化的影响而发生轻微的振动，从玻璃上反射回的激光包含了室内声波的振动信息。人们在室外一定的位置上，用专门的激光接收器接收，就能解调出声音信号，从而监听室内人的谈话。

由于激光窃听设备并不需要放置到被监听者的房间内，所以很难被排查发现。较早的激光窃听器需要极大的稳定性，往往会在一个较为固定的地方实施。据称海湾战争期间，美国情报人员在伊拉克使用激光窃听技术，从行驶的汽车反光镜上捕捉到了车内伊拉克高级将领说话的声音，通过技术处理掌握了车内谈话的全部信息。

除窃听外，其他被用于商业犯罪的攻击手段还有很多，包括利用针孔摄像头摄像，在车上或身上安装定位设备，在键盘上安装记录器，安放无线干扰器干扰对手投标答辩等等。随着经济的不断发展，当下商业犯罪手段出现的频率越来越高，值得引起企业的重视。

结语

随着网络安全产业的发展和融合，网络攻击的复杂性正在快速上升，一次成功的网络攻击往往包含多个步骤。在这个过程中，物理攻击往往以网络攻击的跳板或后门出现，并且同样呈现出快速上升的趋势。

究其原因，网络安全体系的整体能力正在逐步提升，拉高了单次网络攻击的成本，迫使攻击者选择成本更低的攻击路径，而此时不怎么显眼的物理安全就成为了新的突破点。尤其是当下很多企业的物理安全和网络安全存在割裂感，给了攻击者可趁之机。

当下，全国HW行动即将启动，相信针对物理安全部分的攻击也将逐渐增加。毕竟网络安全是一个整体性的工程，短板效应十分明显。

此时，企业也应适当回过头，看看那些被遗忘在角落里的物理安全。

理安全和网络安全存在割裂感，给了攻击者可趁之机。

当下，全国HW行动即将启动，相信针对物理安全部分的攻击也将逐渐增加。毕竟网络安全是一个整体性的工程，短板效应十分明显。

此时，企业也应适当回过头，看看那些被遗忘在角落里的物理安全。

最后

分享一个快速学习【网络安全】的方法，「也许是」最全面的学习方法：
1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

在这里插入图片描述