2022年8月15日 星期一

· 填補門禁控制系統中的安全漏洞

 
帶門鎖、讀卡器和安全出口按鈕的門禁系統


不只是縮時,還有粉塵、噪音、位移偵測

SDM



目的在改善門禁控制的技術進步,也可能引發網路入侵。 以下是整合商和製造商如何聯手保護他們的客戶。

儘管企業繼續在與揮之不去的冠狀病毒大流行相關的問題上苦苦掙扎,但網路犯罪分子仍在繼續做他們的事情 —— 如今,他們中的更多人正試圖透過侵入門禁控制系統來闖關。


門禁控制曾經是電子安全行業的死水 —— 由於成本和複雜性,最後一個系統需要更新。然後是雲、物聯網、行動憑證和整合系統等技術進步。但這些相同的進步也使門禁控制更容易受到網攻擊。


以前,你幾乎必須對場域進行實體訪問才能侵入系統,「蒙特婁 Genetec 的產品線經理 Francois Brouillet 說。」這不再是真的了。即使你試圖透過不同的網層來隔離一個系統,總有一個切入點有人會忘記或找到進入的方法。這就是為什麼,你必須對你的網安全狀態,有一個 360° 的視角並加以維護。


紐約州阿米蒂維爾市 NAPCO 安全技術公司,企業控制部門 Continental Access 副總裁 Richard Goldsobel 表示,過去,門禁控制漏洞意味著犯罪分子,實際上是在偷竊財產。可能會利用門禁控制在最終用戶網上滲透、入侵和安裝惡意軟體 —— 他們可以幫助自己獲取其中的敏感財務或個人資訊。

AMAG Technology 產品管理副總裁 Jonathan Moore 表示:「使用專有的串行通信,將門禁控制系統佈署到自己的單獨網上的日子,已經一去不復返了,門禁控制系統本身之外的任何人,都無法訪問這些通信。」Inc., Hawthorne, Calif.「雖然這種類型的架構有其自身的問題,但一個優點是很難破解。」


儘管電子安全行業多年來一直致力於改善網安全,但冠狀病毒大流行已將其帶到了最前沿。遠端工作從一種選擇變成了必須,甚至 IT 部門都在家打卡,這會帶來每天都在變化的新漏洞。


「COVID-19 對我們的生活、工作和營運方式產生了深遠的影響,尤其是在涉及網安全方面,」紐約州梅爾維爾市霍尼韋爾商業安全,全球產品負責人 Sheeladitya Karmakar 說。更多的網來訪問設施。無論員工在哪裡登錄你的系統,都必須擁有安全的遠端訪問權限。」


有了 COVID-19,每個人都立即開始在家工作,無需提前通知實體安全或 IT。 「安全部門突然需要在家中門禁安全系統,這是大多數 IT 部門沒有預料到的,而且可能有點措手不及,」摩爾說。 「COVID 迫使 IT 和實體安全部門想辦法,讓人們從任何地方門禁系統,同時確保組織安全。這不僅推動了網安全,還推動了雲的採用。」


但是,雖然門禁控制可能是網犯罪分子的新目標,但威脅本身並不是特別新。根據思科 2021 年的「網安全威脅趨勢」報告,加密貨幣挖礦、網釣魚、勒索軟體和木馬在去年的安全威脅中名列前茅。威脅流行程度因行業而異:金融服務更容易受到網釣魚攻擊,特洛伊木馬是醫療保健領域最大的網威脅,而加密挖礦 —— 針對運算資源以挖掘比特幣等加密貨幣的惡意軟體 —— 是製造業面臨的第一大威脅


當駭客成功時,企業損失的遠不止金錢。加利福尼亞州弗里蒙特 Northland Controls 的首席技術官 Henry Hoyne 表示:「任何違規行為的成本,都遠遠超過財務成本。品牌受損、保險費增加,以及僅是不營運的嚴重影響,就足以關閉許多企業。」


「零信任」概念

許多整合商鼓勵客戶採用「零信任」概念,每個人或設備,必須單獨證明他們的身份和訪問權限,而不是簡單地訪問網路,紐約州梅爾維爾霍尼韋爾商業安全公司的 Sheeladitya Karmakar 說。


「這是由行業經驗推動的,即威脅參與者如何訪問受信任的網路、提高客戶意識和複雜性,以及我們產品中的新技術能力。」

Quantum Secure 的唐納德坎貝爾說,零信任的很大一部分是追踪和記錄所有決定,以了解誰有權訪問、在哪裡、為什麼以及誰授權了它。「此外,如果不清楚,請盡可能追踪和記錄所有內容,然後在這些內容到位後進行審核,」他說。「第三方審計可確保你始終如一地應用和政策,定期更新政策,並確保你培訓並遵守你的內部流程。」

Northland Controls 的 Henry Hoyne 表示,整合商和企業越來越關注零信任,並不再相信所有威脅都是外部的。「這要解決起來要困難得多,因為在大多數情況下,它可能需要對網路設計進行大修,」他說。「因此,重點一直放在適用時的 2FA(雙因素身份驗證)、傳輸和休息中的加密、更改密碼和權限、關閉功能和端口。」


零信任概念

許多整合商鼓勵客戶採用「零信任」概念,即每個人或設備,必須單獨證明自己的身份和訪問權限,而不是簡單地訪問網路,紐約州梅爾維爾霍尼韋爾商業安全公司的 Sheeladitya Karmakar 說。

“This is being driven by industry experience with how threat actors gain access to trusted networks, by increased customer awareness and sophistication, and by new technical capabilities in our products.”

A big part of zero trust is tracking and logging all decisions to know who has access, where, why, and who has authorized it, says Donald Campbell of Quantum Secure. “Also, if it wasn’t clear, track and log everything you can and then audit once these are in place,” he says. “A third-party audit ensures you apply procedures and policies consistently, update policies regularly, and that you train and comply with your internal processes.”

Henry Hoyne of Northland Controls says that integrators and businesses are increasingly focused on zero trust and getting away from believing that all threats are external. “This is much more difficult to tackle because in most instances, it may require an overhaul of network design,” he says. “So the focus has been on 2FA (two-factor authentication) when applicable, encryption in transit and rest, changing passwords and permissions, shutting off features and ports.”


製造商的角色

Karmakar 說,各種企業都需要一個強大的網路安全策略,來抵禦網路風險 —— 這首先要從製造商開發具有安全性和隱私性的產品開始。「從產品開發的角度來看,你必須了解攻擊者的動機和潛在的網路風險情景,」他說。 「我們知道威脅參與者,具有創造力並且不斷創新,因此建立一個動態發展的防禦機制非常重要。」製造商的最佳實踐包括進行產品安全、威脅建模和隱私影響評估,然後使用風險管理來辨識、追踪和解決,在整個產品生命週期中出現的潛在漏洞。


Karmakar 補充說,一種正在成為門禁控制新常態的關鍵方法,是多因素身份驗證,製造商通常會整合臉部或生物特徵身份驗證等工具。「這還可以透過增強的門禁控制,實現無摩擦訪問,從而以安全的方式提高設施的生產力。」


摩爾說,當前門禁控制硬體和軟體,成為客戶網路一部分的趨勢,增加了網路攻擊的機會。這就是為什麼製造商必須確保其門禁控制系統中的所有「傳輸中」(在兩個設備之間通信)的數據都經過加密,通常使用傳輸層安全性 (TLS)。他補充說,「靜止」的儲存數據(例如在數據庫中)可能也需要加密。


門禁控制系統的架構,還必須支持面向網路的伺服器,這些伺服器可以與後端伺服器和數據庫隔離,從而創建一個可能更安全的系統。最後,客戶需要對製造商解決方案的整體安全性,進行獨立的「滲透」測試,摩爾說。

總部位於加利福尼亞州聖何塞的 HID Global 旗下 Quantum Secure 產品副總裁 Donald Campbell 表示:「了解內部組織結構,通常是完全獨立的實體安全和網路安全非常重要。」隨著更多的智慧進入硬體。 ...... 兩個團隊都需要出現在安全桌上,並共同努力改善公司的整體狀況。」


Genetec 的 Brouillet 說,許多企業佈署的讀卡機和面板不支持較新的技術,例如由安全行業協會 (SIA) 開發的開放式監督設備協議 (OSDP)。再加上許多企業也沒有預算為員工提供新徽章(門禁卡),而且網路風險存在很大的風險。 「這是一個很大的忽視,因為如果你考慮風險,這不僅僅是人們如何進入設施,而是他們進入後可以做什麼,」他說。由於有大量與 COVID-19 相關的遠端工作人員,現在這可能不再是一個問題,但隨著員工返回辦公室,它可能會對公司產生影響。「拒絕服務在 IT 方面很常見,在證書和讀者方面也是如此,」他補充道。


門禁控制中技術進步的更多使用,例如行動憑據,提高了可訪問性和便利性,但也增加了網絡入侵的風險。


好消息是,雲端技術使製造商更容易填補,門禁系統中出現的安全漏洞,而技術進步意味著更多企業正在升級過時的系統。「以前,你會佈署一個面板並期望它可以工作 20 年,」Brouillet 說。「現在,值得質疑的是,即使董事會正在努力確定它是否仍然合適,它是否提供了正確的網路安全水準,它是否支持加密?這將是整合商展示其專業知識,並創造附加值的一種方式。」


弗吉尼亞州赫恩登的 Integrated Security Technologies Inc. 首席策略官 Michael S. Ruddo 表示,客戶教育是關鍵,製造商通常會提供,有關如何佈署其產品的網路強化指南。許多製造商還提供與其相關的網路特定培訓。具有優化網路衛生的解決方案。他說,教育材料可以包括一個專門的網站,其中包含有關各種駭客方法的相關資訊,以及具有必要專業知識的相關員工資源。


然而,霍恩說,「這句老話 ‘你的里程可能會有所不同’ 在這裡適用。我看到許多製造商在這方面做得更好,而其他製造商只是把責任放在整合商和客戶身上。」他說,強化指南是最低限度的,就像公告和電子郵件爆炸一樣,更新用戶關於發展網路風險的資訊。然而,Hoyne 承認過度硬化也有其風險:「如果產品開箱即用地硬化,並被鎖定以致難以安裝或完全投入使用,那麼整合商就不太可能正確銷售或佈署;因此,每個人都輸了。」

整合商和客戶需要考慮的另一件事是,「最新和最好的」技術設備附加組件,可能不是每個客戶的最佳選擇。「長期以來,門禁似乎是一隻行動遲緩的恐龍,但我們也需要對新技術保持謹慎;不一定要跳進去,但首先要檢查它是如何實施的,」Brouillet 說。例如,每個製造商都有自己的移動憑證風格。雖然這是一項偉大的創新,但用戶應該在添加到他們的系統之前,調查這些方法的有效性和製造商的可靠性,而不是簡單地添加另一個小工具。


整合商作為網路風險故障排除者

Goldsobel 說,由於它們位於製造商和最終用戶之間,整合商通常是第一個發現客戶門禁控制系統中獨特漏洞的人。其中包括讀卡機和控制器之間的不安全通道;將門禁控制硬體和軟體,整合到客戶網路時出現的安全漏洞;和不安全的卡和憑證。整合商需要為客戶提供有關網路風險的教育和培訓,並與製造商密切合作以獲取最新的軟體更新和補丁。


事實上,這應該是整合商故障排除的第一步,霍尼韋爾的 Karmakar 說。 「整合商可能有客戶安裝了門禁控制,然後忘記了它,給他們留下了較舊且可能易受攻擊的遺留系統,」他說。「我們的職責是進行用戶友好的升級,價格實惠且易於佈署。」


Ruddo 補充說:「整合商應確保他們遵守製造商的指導,一般來說,優先考慮網路衛生是最重要的。」首先要確保客戶端的網路環境,和連接的設備使用最新的韌體和軟體版本進行更新。


「執行與客戶系統/環境的網路衛生相關的定期網路風險評估,將確保他們的安全系統不會受到攻擊,」Ruddo 說。「這是一個持續的過程,不僅在初始部署或接管階段執行,而且應該在系統的生命週期內重新審視。」


由於新的整合系統,使門禁控製成為組織整體技術策略的一部分,整合商應與公司的 IT 部門密切合作,以確保網路安全。「必須將門禁控制解決方案視為 IT 解決方案,而不僅僅是實體安全,」Brouillet 說。


然而,Moore 表示,這種增加的 IT 關注,最初對於整合商來說,可能具有挑戰性。「隨著 IT 部門更多地參與客戶的門禁控制系統,他們開始將 IT 行業的相同流程和控制措施,應用於門禁控制,」他說。「雖然這是在門禁控制系統中,提高安全性的絕佳方式,但它給整合商帶來了挑戰,他們需要快速了解來自 IT 的流程和期望。我的第一個建議是保持簡單,不要害怕向 IT 部門提問。網路安全可能是一個令人生畏的話題,有很多複雜的流行語,但大多數要求都非常簡單。」


在檢查客戶的門禁控制系統時,Northland Controls 的 Hoyne 建議從全面審核開始 —— 包括安全生態系統中的所有設備 —— 並創建一個全面的清單矩陣,詳細說明每個設備的品牌、型號和版本。一旦到位,他建議首先更新操作系統,然後再轉向應用。他補充說:「更新所有設備韌體,並注意那些已報廢且不再接收韌體更新的設備。」「你可能需要製定一個計劃,來移除和更換這些設備。」


整合商還應該建議他們的客戶,在任何面向網路的東西,和它背後的系統之間創建多層防火牆。「這不僅僅是在網路和你的產品之間設置防火牆,」Karmakar 說。「整合商需要與客戶合作,對網路進行分段,以創建多層防禦。」


他補充說,企業可以在整合商徹底審查產品手冊的幫助下,實現這一目標,檢查以確保關閉不必要的端口,並確保系統通信盡可能安全。


最後一個難題,在於了解並非所有網路威脅都來自公司外部。許多企業在大流行期間經歷了大量人員流動,而其他企業則將承包商從工資單中,剔除以在大流行期間降低成本。Karmakar 說,還有一些人看到員工離職是「大辭職」的一部分,而這些前員工中的許多人,可能仍然持有允許他們進入公司大樓的門禁卡。 」大多數安全漏洞都是由內部人員犯下的 —— 他們之前與該組織有過聯繫,」他說。 

AMAG 的摩爾對此表示贊同。「客戶可以使用最安全的網路和伺服器,實施最好的加密,但這些都無法阻止惡意的授權用戶,」他說。「然而,組織可以透過多種方式減輕這種威脅,例如從公司的人力資源數據庫等可信來源,自動導入用戶; 這樣可以節省時間,並防止手動添加不應該在系統中的人。「像這樣的步驟並不是完美的解決方案,但在安全範圍內,沒有什麼是 100% 有效的,」他說。「添加盡可能多的保護層,同時監控用戶活動,是降低負面結果風險的最佳方式。」



按此回今日3S Market新聞首頁 

沒有留言:

張貼留言