★ 網路安全和門禁控制層

網路安全是製造商、經銷商、整合商和終端使用者的責任。 圖片由AXIS Communications提供

SDM

Klacci 凱樂奇通關機

（請點擊 ↑ 連結詳細介紹）

網路安全是一項多層次的努力，需要製造商、經銷商、整合商和終端使用者為保護系統做出貢獻。

作者：Christopher Crumley，副編輯

網路安全是當今安全解決方案的一個組成部分。 這是一項多層次的努力，要求製造商、經銷商、整合商和終端使用者為保護系統做出貢獻。

此外，門禁控制由多個元件組成 —— 憑證、閱讀器、面板 —— 每個設備組成都需要網路安全。

接著，門禁控制專家分享了關於遵行行業標準、硬體和軟體更新的見解，並教育終端使用者網路安全的重要性。

多層漏洞

安全交易商和整合商在評估解決方案的網路安全時，需要考慮門禁控制系統的各個方面。 整體的每一部分，都存在需要解決的漏洞。

紐約 Paladin Technologies 技術執行副總裁 Josh Cummings 說：「對我來說，它從憑證開始。」「作為一個行業，我們有很多遺留技術 —— 感應式是主要的技術 —— 而且不安全。 我們有太多的終端使用者仍在使用 prox（即感應式的門禁）。

「我們需要這些使用者轉移到加密卡上，」他繼續說道。「憑證在不斷發展 —— 技術不斷進步；標準不斷更新；舊技術不斷被駭客入侵。」

一些組織可能會在其員工和其他同事的口袋裡，擁有數千份憑證，在網路安全漏洞的情況下，這可能會嚴重複雜化門禁控制系統的更換。Cummings 說：「當涉及到卡片和讀卡機時，我們仍然使用對稱金鑰（symmetrical key），這些金鑰有可能被駭客入侵。」「一旦他們被駭客入侵，我們就無法解決它。 歷史上，這一直是我們在憑證和讀卡機方面的問題 —— 一旦該技術被駭客入侵，我們就必須放棄它，轉向另一種技術。」

不良行為者不斷追求使用者憑證授予的門禁許可權，教育使用者瞭解最新的網路釣魚，和其他社會威脅是網路安全不可或缺的。 紐約錫拉丘茲 Chimera Integrations 副總裁 Justin Stearns 說：「針對證書的網路釣魚計劃是一個主要威脅。」「我們透過員工訓練來解決這些問題，這些訓練強調發現網路釣魚策略和安全的憑證處理。」

即使是靜態資料也需要加密和保護。 圖片由ASSA ABLOY提供

 

網路釣魚攻擊是門禁控制中最具威脅性的漏洞之一。 圖片由AXIS Communications提供

Justin Stearns 在裝置上的操作

奇美拉整合副總裁 Justin Stearns，對不良行為者用來破壞門禁控制解決方案的網路安全裝置，提供了以下見解：

近年來，Flipper Zero、USB Rubber Ducky、ChameleonMini、Wi-Fi Pineapple、Raspberry Pi、具有 NFC 功能的智慧手機，和 OMG Cable 等小型但功能強大的工具，在測試和潛在損害門禁控制系統方面越來越受歡迎。 以下是每種情況的細節，以及減輕它們所帶來的風險的最佳做法：

• Flipper Zero：這款多功能裝置可以複製門禁徽章，類比 RFID 和 NFC 訊號，甚至開啟某些類型的無線屏障，使其成為滲透測試人員的首選工具 —— 不幸的是，這款裝置也是攻擊者的首選目標。 解決之道：為 RFID 和 NFC 系統實施高階加密，並定期更新安全協議，以限制被複製的風險。
• USB Rubber Ducky：這款 USB 裝置就像鍵盤一樣，可以在幾秒鐘內，將惡意程式碼注入裝置中的電腦。 在門禁控制環境中，它可以禁用安全協議或門禁系統憑證。 解決之道：在敏感系統上禁用 USB 埠，或實施限制未經授權裝置的 USB 安全解決方案。
• ChameleonMini：一個經濟型的 NFC 模擬器，它可以複製支援 NFC 的門禁卡，有可能讓未經授權的使用者進入訪問。 解決之道：將多重身份驗證（MFA）與 NFC 系統一起使用，並確保定期稽核門禁日誌的異常情況。
• Wi-Fi Pineapple：該裝置可以建立虛假的 Wi-Fi 網路，捕獲憑證或將有害軟體，注入連線到 Wi-Fi 的門禁控制裝置。 解決之道：使用專用的加密網路作為門禁控制系統，並儘可能禁用關鍵基礎設施上的 Wi-Fi 連線。
• 樹莓派：通常用於設定自定義 NFC 讀卡機或執行定向攻擊，樹莓派很小，很容易偽裝。 解決之道：限制進入具有關鍵硬體的區域，並定期檢查網路連線裝置，是否有未經授權的接入點。
• OMG 電纜：一條不起眼的 USB 電纜，允許遠端門禁連線的裝置，在不檢測的情況下執行惡意命令。 如果連線到門禁控制硬體或管理系統，這尤其危險。 解決之道：對連線的硬體實施嚴格的裝置身份驗證，並進行常規實體審查，以確保沒有未經授權的 USB 裝置被連線。
• 具有 NFC 功能的智慧手機：普通智慧手機現在可以複製或讀取某些類型的 NFC 門禁卡，這帶來了重大風險。 解決之道：使用加密的 NFC 標準，並教育終端使用者將 NFC 的使用，限制在公司認可的裝置上。

加上讀卡機和面板，這三項技術都相互通訊，因此需要考慮的最重要的事情是這種通訊是加密的。

Cummings 說：「下一步是確保讀卡機與設備小組間的溝通。」「這涉及到確保我們使用的是加密協議。 開放監督裝置協議（OSDP，Open Supervised Device Protocol）安全通道是主流的“首選”(go-to)，但我們可以根據該平台使用其他協議。」

如何對系統進行網路安全

安全整合商和經銷商可以採取哪些措施，來確保他們正在安裝的門禁控制解決方案的網路安全？

一個強有力的第一步是進行風險評估。 這是一種涉及多種考慮的做法。 最早的可能之一是系統相容性。Stearns 說：「確保現有基礎設施能夠在不引入漏洞或營運風險的情況下，支援新的或升級的門禁控制系統，這對安全部署非常重要。」

另一個早期的考慮因素是使用者的具體情況 —— 他們在哪個行業營運？ 那個行業有自己的一套標準和法規嗎？Stearns 解釋說：「保持遵守美國國家標準和技術研究所（NIST）、《健康保險可移植性和問責製法案》（HIPAA）和 SOC 2 等網路安全標準非常重要，特別是對醫療保健、政府和金融等部門來說。」

安全101 - 鳳凰城營運副總裁 Felipe Betances 強調：「在評估客戶端系統的漏洞時，需要考慮的一件事，是開放可能暴露門禁控制系統的網路埠。」

開放埠是通訊不可分割的一部分，但可以允許不良行為者繞過防火牆。

Stearns 說，這些早期風險評估，可以幫助早期辨識開放埠和其他風險。 他說：「安裝前掃描，辨識了現有網路和基礎設施中的潛在漏洞。」「這建立了一個基本，並突出了需要立即關注的領域。」

專家們還同意，網路隔離在門禁控制的網路安全中是最重要的。

猶他州鹽湖城 Stone Security 資訊保全經理 Brock Larson 說：「我們首先鼓勵防火牆和網路分割，確保門禁控制系統與其他關鍵業務網路隔離。」

安裝後，一些主要問題涉及使用者。 也就是說，使用者保護密碼，並使軟體保持最新狀態。 至於密碼，Stearns 說：「密碼協議不足會造成漏洞。」 「為了應對這種情況，我們強制執行複雜的密碼策略、多重身份驗證，和定期的憑證更新。」

這裡的主要問題之一又是網路釣魚，整合商需要與終端使用者合作，強調對密碼和其他個人身份保持警惕的重要性。

Larson 說：「我們遇到的最常見的網路威脅，包括網路釣魚攻擊和針對弱密碼的憑證填充攻擊(credential suffering attack)。」「為了解決這些，我們鼓勵多重身份驗證、強密碼政策，和終端使用者網路安全訓練。」

整合商需要與使用者合作，以建立軟體更新時間表等內容。 過時的軟體使系統容易受到未經授權的門禁權限，需要毫無疑問地保持最新狀態。Stearns 說：「過時的軟體可能會帶來弱點。」「標準化的更新時間表，以及對新漏洞的及時反應處理，將風險降到最低。」

Cummings 同意：「另一部分實際上是更新韌體，並保持作業系統在系統上是最新的。 幾乎所有這些裝置上都有韌體：面板有韌體；讀卡機有韌體；伺服器有需要更新的作業系統應用程式。 我們需要確保所有這些更新都定期進行，以便系統受到保護。」

教育終端使用者

讓終端使用者瞭解網路安全風險、最佳實踐、硬體和軟體更新，以及協議可能是一個挑戰。 但這是一個整合商不斷努力克服的挑戰。

Cummings 說：「這可能很困難。」「他們需要清楚這將如何影響他們。 我可以和終端使用者談談，他們為什麼要更換卡技術。 我可以告訴他們，這是因為有人可以入侵它。 嗯，他們需要更多地瞭解這一點。」

一旦他們被駭客入侵，我們就無法解決它。 歷史上，這一直是我們對憑證和讀卡機的問題 —— 一旦技術被駭客入侵，我們就必須放棄它，轉向另一種技術。

Genetec 的網路安全清單

製造商還提供網路安全指南和訓練。

為了改善門禁控制系統的網路安全，Genetec 建議採取以下步驟：

• 升級系統。 舊系統不是為了應對當今的威脅而建造的。 在評估新的門禁控制系統，或升級現有系統時，請確保網路安全是供應商選擇標準的關鍵組成部分。
• 使用高階安全憑證和最新的通訊協議來保護資料傳輸，因為舊的憑證很容易使用現成的工具進行複製。
• 教育員工和合作夥伴網路安全最佳實踐，並確保他們經常被提示更改密碼。
• 定期檢查韌體和軟體更新，並在可用時進行安裝。
• 使用集中式身份門禁管理系統來確保員工的虛擬和實體身份驗證和授權，以便更好地控制和更有效地維護你的系統。
• 為門禁控制系統建立一個專用網路，以便根據其目的對網路進行明確的隔離。
• 選擇一個能夠證明符合既定安全認證的安全提供商。
• 確保門禁控制系統使用經過驗證的資料加密標準，以及多重身份驗證。
• 與具有強大供應鏈風險管理的合作伙伴合作，一個專門的團隊來監控網路威脅，並確保軟體經常更新並根據需要進行修補。

此外，Genetec 最近釋出了一個關於操作傳統門禁控制系統風險的部落格。

Cummings 繼續說：「他們想和以前發生過這種情況的人談談，他們想親身瞭解這種情況的影響。 當我們被駭客入侵或被入侵時，我們對行業的資訊不是很瞭解。 因此，從終端使用者的角度來看，很難從同齡人那裡獲得關於事情發生時的回饋。」

Cummings 經常參加小組討論，強調加密資訊在門禁控制中的重要性。 他說：「我做一些網路安全演示和課程，並展示這些你可以花 50 美元買到的小裝置。」「你可以把它夾在電線上，然後我可以無線捕獲穿過電線的所有卡片讀數。 然後，我可以在我的 iPad 上重播它，開啟一扇門，而不必親自觸控門。」

許多整合商為終端使用者提供直接訓練。Stearns 說：「我們提供結構化、定期的訓練，涵蓋安全實踐，如適當的密碼管理、辨識網路釣魚嘗試，以及軟體更新的重要性。」「這些會議可以每季度舉行一次，並隨著新的網路威脅的出現而進行調整。」

Larson 說：「我們提供全面的訓練課程，涵蓋密碼衛生、辨識網路釣魚企圖，以及及時軟體更新的重要性。 我們強調使用者意識在維護系統安全方面的作用，並提供易於遵循的資源來加強這些做法。 正在進行的進修課程幫助終端使用者保持警惕，並將人為錯誤引入漏洞的風險降至最低。」

Stearns 還強調了與終端使用者建立持續關係的重要性。 他說：「安全整合商應該鼓勵客戶保持參與，提醒他們更新，並為技術問題提供支援。」「這促進了系統維護的主動而不是被動方法。 透過投資一致、可訪問的使用者教育，安全整合商幫助客戶培養一種安全意識文化，這種文化延伸到所有與門禁控制系統互動的人。」

關於網路安全的結論

Genetec 提請注意門禁控制和網路安全的分層性質，以及平等考慮每個層的重要性。 蒙特婁 Genetec 門禁控制產品行銷經理 Marie-Jeanne Sauvé 說：「由於網路安全是所有層次，有時客戶會認為透過改變他們的生態系統的一部分，現在他們非常網路安全。」「但我們看到，他們真的需要更新一切 —— 從憑證到伺服器再到軟體 —— 以確保一切都是網路安全的。」

Sauvé 繼續說：「改變一塊總是好的，但改變整個系統也總是更好的。 此外，越來越多的威脅來自使用者組織內部。 在那裡，他們通常有非常古老的系統 —— 15 到 20 年的歷史 —— 人們認為，」它開啟和關閉了我的門，所以一切都很好。「威脅越來越多，而且花費的錢越來越多。」

歸根究底，網路安全是每個人的責任 —— 製造商、整合商和經銷商、終端使用者。

Stearns 說：「保護門禁控制系統的責任超出了安裝範圍。」「它涉及持續評估、合規性和使用者教育，所有這些都有助於客戶基礎設施的安全和彈性。 透過實施最佳實踐並符合行業標準，整合商可以自信地提供安全、可靠的門禁控制解決方案，以滿足當今的網路安全需求。」

按此回今日3S Market新聞首頁