近段時間，一個網(wǎng)絡(luò)攻擊的段子在互聯(lián)網(wǎng)上火了起來。

“某公司被黑客勒索，每20分鐘斷一次網(wǎng)，給公司帶來了極其嚴重的影響，但通過技術(shù)手段怎么也找不到問題。最后公司發(fā)現(xiàn)是黑客買通了保安，每20分鐘拔一次網(wǎng)線?！?/p>

看完后，網(wǎng)友不禁感嘆，“最有效的攻擊往往只需要使用最樸素的方式。”

誠然這個段子有點夸大的成分，卻也點出了物理安全(這里指“物理設(shè)備安全”)對于企業(yè)網(wǎng)絡(luò)安全體系的重要性：在絕大部分時間它都很不起眼，經(jīng)常被大家遺忘在角落里，以至于出現(xiàn)問題后竟一時無法發(fā)現(xiàn)，更別提進行應(yīng)急響應(yīng)。

其原因在于，企業(yè)在建設(shè)安全體系時會更側(cè)重于防范網(wǎng)絡(luò)性攻擊風(fēng)險。而且安全投入的資源和人力有限，自然無法面面俱到，自然也就會遺忘一些不起眼的角落。但在這些角落里，同樣隱藏著致命的風(fēng)險。

隨著物聯(lián)網(wǎng)技術(shù)的快速發(fā)展并廣泛應(yīng)用于生活之中，物理安全的重要性進一步凸顯。此時，企業(yè)也需要開始重視物理安全。畢竟安全是一個整體，只要有一個地方出現(xiàn)了漏洞，攻擊者就有可能順著這個漏洞進行入侵。

隨著一年一度的HW即將開始，那些被遺忘在角落里的物理安全還好嗎?

物理安全是網(wǎng)絡(luò)安全的基礎(chǔ)

所謂物理安全，是指拒絕未經(jīng)授權(quán)訪問設(shè)施，設(shè)備和資源并保護人員和財產(chǎn)免受損害或傷害(如間諜活動，盜竊或恐怖襲擊)的安全措施。 物理安全涉及使用多層互相依賴的系統(tǒng)，其中包括閉路電視監(jiān)控、安全警衛(wèi)、防護屏障、鎖、訪問控制協(xié)議以及許多其他技術(shù)。

物理安全主要涉及機房環(huán)境要求、設(shè)備安全和傳輸介質(zhì)安全三個方面，每個方面都有不同的要求。其中，設(shè)備安全主要包括設(shè)備的防盜、防毀壞、防設(shè)備故障、防電磁信息輻射泄漏、防止線路截獲、抵抗電磁干擾及電源保護等方面的內(nèi)容。其目標是防止組織遇到資產(chǎn)損壞、資產(chǎn)流失、敏感信息泄露或商業(yè)活動中斷的風(fēng)險。

針對物理安全，此前頒布的等保2.0也有類似的明確要求。

例如，在機房的物理位置選擇上，等保2.0就明確規(guī)定：

• 機房和辦公場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；
• 機房場地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。

畢竟數(shù)據(jù)機房關(guān)乎企業(yè)的生命線，倘若出現(xiàn)斷電、漏水等問題，導(dǎo)致數(shù)據(jù)機房無法工作，那么將會給企業(yè)業(yè)務(wù)連續(xù)性造成毀滅性打擊，甚至導(dǎo)致企業(yè)無法運轉(zhuǎn)。

而在物理訪問控制上，等保2.0也指出：

• 機房出入口應(yīng)安排專人值守，控制、鑒別和記錄進入的人員;
• 需進入機房的來訪人員應(yīng)經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍;
• 應(yīng)對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域;
• 重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員等。

事實上，物理安全就在我們身邊。例如我們常見的門禁系統(tǒng)就是一道物理安全措施，可以避免外部人員進出公司，但要注意其他進出渠道，如樓梯間;類似還有嚴格區(qū)分訪客網(wǎng)絡(luò)和內(nèi)部員工網(wǎng)絡(luò)，避免攻擊者可直接訪問員工網(wǎng)絡(luò)，并以此發(fā)起網(wǎng)絡(luò)攻擊等。

此外，還有一些敏感重要的地方應(yīng)設(shè)置權(quán)限規(guī)則，盡可量減少非必要人員的靠近，包括數(shù)據(jù)機房、財務(wù)系統(tǒng)等，防止攻擊者混入其中。

千萬別以為沒有人會去破壞數(shù)據(jù)機房或中心，這樣的思維定勢對于安全工作來說極為不利。2021年，美國德克薩斯州一名男子就曾策劃，對亞馬遜部署在弗吉尼亞州的網(wǎng)絡(luò)服務(wù)(AWS)數(shù)據(jù)中心發(fā)動炸彈襲擊，目標是“毀壞約70%的互聯(lián)網(wǎng)”。

所幸FBI的臥底給了該男子一枚啞彈，使得這一瘋狂的舉動并未成功。事后亞馬遜表示，公司非常重視員工和客戶數(shù)據(jù)的安全保障，并不斷審查各種載體，以應(yīng)對任何潛在威脅，未來將繼續(xù)保持對員工和客戶的這種警惕性。

目前，企業(yè)與機構(gòu)對于數(shù)據(jù)安全愈加重視，各種安全產(chǎn)品、安全策略安排得井井有條。但是與此同時，對于機房、數(shù)據(jù)中心等重要場地的物理安全也不容忽視。

美國FBI逮捕了一名德克薩斯州的男子，原因是據(jù)稱該男子計劃對弗吉尼亞州的一個亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)數(shù)據(jù)中心發(fā)動炸彈襲擊，并且他的目標是“毀壞約70%的互聯(lián)網(wǎng)”。

當(dāng)下，企業(yè)所面臨的物理威脅形勢越來越嚴峻。根據(jù)Ontic 保護情報中心發(fā)布的《2021 年年中展望保護情報報告》，大多數(shù)受訪者表示企業(yè)應(yīng)對物理威脅保持一定的警惕;半數(shù)以上受訪者認為物理攻擊活動正在逐漸增加;一半以上的受訪者認為，自己的企業(yè)在物理安全方面準備不足。

那些“神奇”的物理攻擊

隨著網(wǎng)絡(luò)攻擊的趨利性日漸明顯，攻擊者更傾向于使用較低的成本，獲取更高的收益。某些時候，物理攻擊往往成本更加低廉，以一種出人意料的方式來完成攻擊行為，但效果有時卻更直接、有效，讓人不禁感嘆“這樣也可以”。

這里簡單列舉幾個代表性案例。

1. 故意丟失的U盤

21世紀初，U盤攻擊是一種十分常見的攻擊手法，2007年，“U盤寄生蟲”病毒更是登上了病毒排行榜榜首，成為互聯(lián)網(wǎng)面臨重大威脅之一。攻擊者一般會將已經(jīng)加載好木馬的U盤故意丟在目標用戶的必經(jīng)之路，一旦對方撿起U盤并插入電腦之中，其木馬病毒將會繞過電腦的防護系統(tǒng)，黑客可以輕而易舉地入侵目標用戶的系統(tǒng)。

除了U盤之外，MP3、MP4、移動硬盤、數(shù)碼相機等移動儲存設(shè)備無一例外地成為此類病毒的傳播載體。2018年，臺積電生產(chǎn)線感染了臭名昭著的WannaCry勒索病毒，導(dǎo)致多個廠區(qū)被迫停產(chǎn)，損失達到驚人的近10億人民幣。而這一切的根源，很有可能是臺積電員工使用了加載了勒索病毒的U盤。

2. 利用電源竊取數(shù)據(jù)

以色列內(nèi)蓋夫本·古里安大學(xué)曾發(fā)布了一項研究報告揭露了一種“會說話”的惡意軟件。它通過啟動和停止CPU工作負載，影響電源的開關(guān)頻率，從而讓電源中的變壓器和電容器發(fā)出聲音信號。

簡單來說，惡意軟件利用變化電流所對應(yīng)的變化電磁場，將其轉(zhuǎn)化為音頻，以便竊取數(shù)據(jù)。 而這種特殊的“噪音”，一旦被聲波接收設(shè)備捕獲，稍加提取處理，就能復(fù)原成原始信息，也就是目標電腦設(shè)備上的高敏感數(shù)據(jù)。

這樣的攻擊方式聽起來是不是和傳統(tǒng)的網(wǎng)絡(luò)攻擊大相徑庭，既不需要WiFi，也不需要藍牙，黑客竟然可以輕松獲取目標的機密數(shù)據(jù)。另外，由于這樣的攻擊并不是以傳統(tǒng)入侵的方式進行，因此極難被發(fā)現(xiàn)。

3. 災(zāi)備不完善導(dǎo)致?lián)p失慘重

2020年，微盟就因程序員刪庫一事?lián)p失慘重。根據(jù)公開報告，程序員因個人原因深夜刪除微盟數(shù)據(jù)庫，導(dǎo)致微盟自2020年2月23日19時起癱瘓，300余萬用戶無法正常使用該公司SaaS產(chǎn)品，故障持續(xù)時間長達8天14個小時。微盟一夜之間市值蒸發(fā)超10億，300萬商鋪慘遭癱瘓，微盟支付恢復(fù)數(shù)據(jù)服務(wù)費、商戶賠付費及員工加班報酬等經(jīng)濟損失共計人民幣2260余萬元。

雖然刪庫不是一項真正意義上的物理攻擊，但是從刪庫一事造成的嚴重影響來看，很明顯微盟沒有做好容災(zāi)備份，最起碼每天的增量備份工作沒有完成，還有可能沒有對非機構(gòu)化數(shù)據(jù)進行備份。而缺乏對物理安全的重視，最終讓微盟付出了無比慘痛的代價。

類似的案例歷史上已經(jīng)出現(xiàn)過許多次，其中不乏無法恢復(fù)備份的情況，但是總有企業(yè)心存僥幸，以至于事故出現(xiàn)時無能為力。

4. 直接潛入公司獲取登錄憑證

很多人因為不愿意記賬號和密碼，就直接將其貼在了桌子上。在某次HW演練中，攻擊方成員了解到這一情況后，就偽裝成該公司的保潔人員，光明正大進入公司辦公區(qū)域，并以打掃衛(wèi)生，清理垃圾為由，悄悄查看員工的登錄憑證，最終憑借這些信息成功入侵企業(yè)內(nèi)網(wǎng)。而目標公司對此則一臉懵逼，看著沒有被攻擊的安全體系，始終弄不明白為什么這么容易就被打破了內(nèi)網(wǎng)。

5. 利用激光和LED突破物理隔離

眾所周知，LED常用語打印機等設(shè)備內(nèi)，用以顯示設(shè)備狀態(tài)，而這種LED是可以接受光信號。利用這一特性，攻擊者將激光定向發(fā)送到事先安裝好的LED，并記錄LED燈的響應(yīng)情況，建立了一個可以雙向使用的長達25米的隱蔽通信通道。

根據(jù)測試情況，這個隱蔽通信通道的數(shù)據(jù)輸入速率可以達到每秒18KB以上，數(shù)據(jù)輸出速率可以達到每秒100KB，已經(jīng)足夠支持一般文字文件的實時傳輸。這就意味著，利用激光和LED，攻擊者不僅可以讀取物理隔離系統(tǒng)中的數(shù)據(jù)，還可以寫入數(shù)據(jù);并在不添加額外硬件的情況下，在被攻擊的設(shè)備中檢索數(shù)據(jù)。

類似的物理攻擊案例還有很多。而面對這些物理攻擊，企業(yè)的安全體系往往顯的捉襟見肘，傳統(tǒng)應(yīng)對網(wǎng)絡(luò)的各種方法無法奏效，甚至短時間內(nèi)都無法找到問題出現(xiàn)的原因。

物理攻擊廣泛存在于商業(yè)犯罪之中

除了利用物理攻擊突破企業(yè)安全體系外，物理攻擊還廣泛被用于商業(yè)犯罪和間諜竊聽中，其過程更加隱蔽且具有高威脅性。

例如在上世紀四十年代，蘇聯(lián)曾經(jīng)利用一種名為“金唇”的竊聽器竊聽了美國駐蘇聯(lián)大使館長達七年的時間。期間歷任數(shù)屆大使，大使館還進行了翻新和裝修，但是這個竊聽器就一直安安穩(wěn)穩(wěn)放在了大使館的墻上。

該竊聽器藏在一枚蘇聯(lián)贈送的木制美國國徽之中，拿到該禮物后，大使館技術(shù)人員對此進行了細致的檢查，由于沒有發(fā)現(xiàn)電池，因此斷定絕不可能是竊聽器。

但實際上，“金唇”竊聽器所使用的是射頻識別技術(shù)。這是一種無線電通信技術(shù)，最大的特點就是自身無需電源即可工作?！敖鸫健眱?nèi)部有一個線圈組件，收到外部發(fā)射過來的無線電信號后， 通過電磁感應(yīng)就會自動產(chǎn)生電流，實現(xiàn)無需電池就可以驅(qū)動設(shè)備工作。而沒有外部的無線電信號時，這個設(shè)備就不會工作，也不會發(fā)送任何無線電信號，非常隱蔽，不容易被發(fā)現(xiàn)。

此外，在商業(yè)環(huán)境中還有另外一種神奇的竊聽技術(shù)——激光竊聽。

其原理是用激光發(fā)生器產(chǎn)生一束極細的激光，發(fā)射到被竊聽房間的玻璃上。當(dāng)房間里有人談話的時候，玻璃因受室內(nèi)聲音變化的影響而發(fā)生輕微的振動，從玻璃上反射回的激光包含了室內(nèi)聲波的振動信息。人們在室外一定的位置上，用專門的激光接收器接收，就能解調(diào)出聲音信號，從而監(jiān)聽室內(nèi)人的談話。

由于激光竊聽設(shè)備并不需要放置到被監(jiān)聽者的房間內(nèi)，所以很難被排查發(fā)現(xiàn)。較早的激光竊聽器需要極大的穩(wěn)定性，往往會在一個較為固定的地方實施。據(jù)稱海灣戰(zhàn)爭期間，美國情報人員在伊拉克使用激光竊聽技術(shù)，從行駛的汽車反光鏡上捕捉到了車內(nèi)伊拉克高級將領(lǐng)說話的聲音，通過技術(shù)處理掌握了車內(nèi)談話的全部信息。

除竊聽外，其他被用于商業(yè)犯罪的攻擊手段還有很多，包括利用針孔攝像頭攝像，在車上或身上安裝定位設(shè)備，在鍵盤上安裝記錄器，安放無線干擾器干擾對手投標答辯等等。隨著經(jīng)濟的不斷發(fā)展，當(dāng)下商業(yè)犯罪手段出現(xiàn)的頻率越來越高，值得引起企業(yè)的重視。

結(jié)語

隨著網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展和融合，網(wǎng)絡(luò)攻擊的復(fù)雜性正在快速上升，一次成功的網(wǎng)絡(luò)攻擊往往包含多個步驟。在這個過程中，物理攻擊往往以網(wǎng)絡(luò)攻擊的跳板或后門出現(xiàn)，并且同樣呈現(xiàn)出快速上升的趨勢。

究其原因，網(wǎng)絡(luò)安全體系的整體能力正在逐步提升，拉高了單次網(wǎng)絡(luò)攻擊的成本，迫使攻擊者選擇成本更低的攻擊路徑，而此時不怎么顯眼的物理安全就成為了新的突破點。尤其是當(dāng)下很多企業(yè)的物理安全和網(wǎng)絡(luò)安全存在割裂感，給了攻擊者可趁之機。

當(dāng)下，全國HW行動即將啟動，相信針對物理安全部分的攻擊也將逐漸增加。畢竟網(wǎng)絡(luò)安全是一個整體性的工程，短板效應(yīng)十分明顯。

此時，企業(yè)也應(yīng)適當(dāng)回過頭，看看那些被遺忘在角落里的物理安全。