SpiderLabs 的顧問 Ryan Jones 於日前表示,根據他實際檢驗過許多資料中心後的經驗顯示,僅管這些資料中心花了大把的銀子做好網路的安全防護,但是在實體方面的防護仍舊存在許多明顯可見且容易被有心份子所利用的安全漏洞。
他列出了五項最容易進入資料中心進行破壞的手法,包含
- 從建築物的空隙爬進去 (Crawling through void spaces)。
- 當高架地板與懸吊式天花板在規劃或安裝時沒有仔細考量,就很容易形成一個能夠輕易進出的管道。
- 為了避免產生此一問題,需要盡可能使用實體的牆壁延伸於整個高架地板與天花板之間,不然至少應該使用石膏牆板 (dry wall) 加以封閉。
- 撬開或破壞安裝不正確的門扉或窗戶 (Jimmying open improperly installed doors or windows)。
- 使用實心材質的門板。有些門板使用空心夾板的材質,很容易受外力的破壞。另外像是玻璃 (非強化玻璃) 材質的門板,也存在類似的缺點。
- 確定鉸鏈的安裝方向是否正確。一旦鉸鏈安裝在錯誤的方向,那麼有心份子就可以將門扉卸下以達到破壞的目的。這個問題可以透過實際動線的模擬來加以防範。
- 打開門鎖 (Lock-picking the door)。
- 除了門板本身的安全外,門鎖也是很重要的一環。事實上,一般門鎖除了可以利用專門的工具加以破壞之外,有些門鎖甚至只要使用一張卡片就可以加以解除。
- 使用高安全性的門鎖或者生物識別的系統,可以減少這類問題的產生。
- 尾隨 (Tailgating)。
- 因為人們通常熱於幫助別人,而且也不願意與他人產生無謂的衝突,因此往往會協助他人通過受管制的門扉。例如當我們看到一個人雙手抱著重物時,會很自然地幫他擋住即將關閉的門扉以協助其進入。如果再搭配一些肢體動作或是外型偽裝 (如制服、識別證),其成功率將更為提高。這部分需要透過教育訓練以提升員工的危機意識。
- 此外,如果門扉的關閉動作較為緩慢,有心份子甚至可以在沒有人注意到的情況下偷溜進去。對於此一問題,可以將門扉的關閉時間加以縮短。而 man trap 可以進一步減少這類問題的發生。
- 除此之外,聘用安全人員檢驗所有人員的進出也是一個可行的方法。
- 假冒合約廠商或其他服務人員 (Posing as contractors or service repairman)。
- 屬於社交工程的手法。
- 除了強化員工相關的教育訓練外,同時必須制定明確的識別機制與作業規範,以避免員工無所適從、甚至誤解所產生的安全危機。
嚴格來說,在傳統上這些原本就是常見的實體安全問題。但是當在講求高安全性的資料中心也存在著同樣的問題,再再顯示出令人不安的隱憂。原因可能在於或許是因為現在大家太過於強調網路/系統/應用程式的安全,反而忽略了最基本的問題。另外一個可能的原因就是實體安全的負責人員跟資訊安全 (系統) 人員屬於不同的體系,兩者之間如何能夠有效地協調並確保重要的資產受到合適的保護,所需的不僅僅只是技術方面的考量,更包含了政治性的議題。
相關連結:
沒有留言:
張貼留言