門禁系統供應商分享了他們的最佳建議,幫助你盡可能地提高客戶門禁系統的網路安全。
![]() |
Panya Mingthaisong / iStock / Getty Images Plus / Via Getty Images 門禁控制的網路安全始於大門,並向系統後端推進。 |
與影像監控等安控技術相比,門禁系統的生命週期通常相當長。在實際應用中,30 多年前的技術仍然屢見不鮮,這給網路安全帶來了獨特的挑戰。近距離檢測技術的固有漏洞眾所周知,但這遠非唯一的隱憂。
隨著實體安全和邏輯安全融合的重要性日益凸顯,這個問題將變得更加關鍵。
「安全整合商必須先了解門禁控制系統面臨的風險,這些風險可能來自那些意圖利用這些系統的人,並認識到這些技術的安裝,可能會給客戶的整體業務帶來更廣泛的安全風險,」位於馬裡蘭州貝塞斯達的 Brivo 公司執行副總裁兼首席營運長 John Szczygiel 表示。 「為客戶應對網路安全問題,並非總是簡單的重複操作,因此整合商必須深入了解每個目標客戶的特定網路安全要求,和內部審查流程。」
霍尼韋爾公司門禁解決方案首席技術長伊娃·皮尼亞表示,這通常意味著要辨識並消除「最薄弱的環節」。「整合商應該建立可重複的流程,以幫助他們及早發現任何潛在的漏洞,並在整個系統中協調安全控制,因為任何不安全的區域,都可能迅速成為最薄弱的環節。」
網路安全從來都不是一件簡單的事,但 HID 公司系統架構和產品安全高級總監 Johan Oosthuizen,將整個過程分解為三個易於理解的要點。他表示:「整合商應該關注以下幾點:1. 讀卡機;2. 這些讀卡機掃描的憑證(實體憑證或行動憑證);以及 3. 這些憑證中包含的唯一數據,這些資料會被傳送到控制器,控制器會根據憑證的真實性和進出權限,做出門禁控制決策。」
下面,我們將更仔細地研究這三個基本要素,包括憑證、讀卡機,以及支援他們的資料和基礎設施。
憑證安全嗎?
顯然,提到門禁系統 ,人們首先想到的漏洞就是過時,但仍普遍使用的感應卡。雖然近年來感應卡的使用率有所下降,但它仍然是一個不容忽視的問題,即使在新安裝的系統中也是如此。專家建議,最好的第一步就是徹底淘汰感應卡。
Szczygiel 表示:「未加密的憑證,例如 prox,是導致系統安全性低下的主要原因。良好的網路安全始於前端,任何受過良好教育的網路安全審查團隊,都不會認真對待在當今環境下,仍將 prox 作為安全憑證的整合商。」
雖然現在大多數安控整合商,並不以近距離感應技術為主導,但它價格實惠、使用方便,仍然受到終端用戶的需求。
「人們仍在大量使用不安全的舊技術,」Genetec 公司的首席網路安全架構師 Mathieu Chevalier表示。 「Prox 協議正在逐漸被淘汰。我認為,在過去兩年裡,大約只有 57% 的使用者啟用了 Prox 協議,而其他更安全的技術則被棄用。但人們普遍存在一種誤解,認為只要不再使用 Prox 協議,就萬事大吉了 …… 實際上,還存在許多其他安全漏洞。」
他解釋說,例如,著名的「Flipper」駭客工具,也能破解一些智慧卡。 「大量複製很容易,而且不僅僅是近距離接觸。」
韋恩·多里斯(Wayne Dorris),註冊資訊系統安全專家(CISSP),是安迅士通訊公司網路安全專案經理。他表示:「如今,實體門禁控制領域最大的風險之一,就是仍在繼續使用 126 kHz近距離感應卡。這種卡片依賴於未加密的標識符,極易被大量複製。這些憑證可以透過網上售價,低至 20 美元的現成工具輕鬆複製,這使得它們很容易成為不法分子的目標。」
解決方案相當直接,但實施起來卻並非易事。「首先,使用傳統近距離感應技術的機構,應該考慮升級到包含安全增強技術的現代憑證技術,」Oosthuizen說。 「這可以消除舊式卡片的漏洞,舊式卡片就像容易複製的實體門鑰匙一樣。其他重要的最佳實踐,包括保護印刷的卡號(HID 建議訂購不帶打印卡號或卡號不匹配的憑證)。…… 敏感場所應使用多因素身份驗證進行保護,例如 PIN 碼或生物辨識。使用行動憑證可以提高安全性和便利性。」
本報導訪談的專家一致認為,行動憑證是提高憑證方面網路安全的最佳方法之一。
「它們本身就具有更高的安全性,並且可以透過自動化大量發行更容易進行大規模管理和撤銷,」Oosthuizen 說。
「手機是人們隨身攜帶的唯一物品,」AMAG Technology 北美地區高級銷售總監喬納森·杜邦(Jonathan Dupont)補充道,「如果手機丟失,系統會自動鎖定,使用者可以遠端清除憑證。而實體門禁卡,用戶往往幾天都不會報告丟失或被盜。此外,行動/錢包憑證採用更高級的加密協議,使得卡牌變得更加困難。」
但行動憑證也面臨著自身的一系列挑戰。 「行動憑證非常普及,因為幾乎人手一部手機,這給使用者帶來了極大的便利,」多里斯說。 「然而,如果實施不當,可能會遇到諸多挑戰。在許多情況下,行動憑證需要將蘋果或安卓等行動營運商整合到門禁系統中,而這些要求可能比較複雜。另一個需要考慮的因素是成本,因為大多數行動憑證的成本都高於實體憑證。」
型動憑證目前仍處於早期應用階段。生物辨識技術是另一種更安全的替代方案,但在成本和普及方面,也面臨著與行動憑證類似的許多問題。
如果這些卡片替代方案不切實際或不受歡迎,Oosthuizen 建議至少採用最新一代的實體卡片。「現代實體卡的安全性顯著提高 …… 它們在資料傳輸前,對讀卡機和卡片進行雙向認證;使用安全訊息傳遞,透過每筆交易的加密金鑰,來保護傳輸中的憑證資料;並採用成熟且標準化的加密技術。」
![]() |
| 126 kHz 近距離感應卡依賴未加密的標識符,極易被複製,是門禁系統中最為人所知的網路安全漏洞之一。 Ivan -balvan / iStock / Getty Images Plus / Via Getty Images |
等式的讀者方
門禁系統的另一個前端組件是讀卡機。多年來,門禁設備製造商一直在推廣「多技術」讀卡機,這對於從傳統技術升級到新技術來說是很好的選擇,但如果處理不當,也可能引入網路安全漏洞。
「許多門禁設備製造商提供的讀卡機都支援多種技術,」多里斯解釋。 「雖然這些產品的初衷,是為了支持向更安全的憑證過渡,但許多組織從未關閉舊版功能。因此,他們繼續支持安全性較低的憑證選項,使他們的系統面臨不必要的風險。」
「即使最終用戶不使用近距離感應技術,或正在逐步淘汰該技術,確保這些多技術讀卡機配置正確也非常重要,」Chevalier 補充道。 「購買讀卡機時,它們通常已預先配置好,但這有時會產生誤導。如果使用預設配置,你仍然在使用不安全的技術。如果你正在從近距離感應技術轉換,同時使用兩種技術是合理的,但轉換完成後,請務必關閉預設配置。」
Oosthuizen 表示,如果使用和配置得當,多技術讀卡機仍然是幫助客戶面向未來、擺脫傳統憑證的絕佳方式。「透過這種方法,可以將傳統憑證資料,編碼為支援更安全身份驗證和加密的現代憑證,而無需為每個使用者在控制器中,重新編程新憑證。讀卡機還應具備防篡改監控功能,並且只有在首次斷電重啟後才能進行配置。」
讀卡機方面的網路安全進步之一,是開放式監督設備協訂 (OSDP,Open Supervised Device Protocol),這是一種門禁控制通訊標準,它提供強化功能,並且比 20 世紀 80 年代開發的舊式 Wiegand 佈線標準安全性更高。
Oosthuizen 表示,OSDP 是由美國安全產業協會(SIA)開發的,目的在提高讀卡機與門禁控制面板,或系統之間連接的安全性,從而保護傳輸中的憑證資料。「它減少了控制訊號所需的線路數量,允許對讀卡器進行監控,並增強了整合防篡改檢測功能。」
多里斯建議盡可能使用 OSDP。 「對於使用傳統門禁系統的客戶,整合商應優先升級讀卡機和設備以支援 OSDP,」他說。「OSDP支援讀卡機和控制面板之間的加密雙向通信,有助於保護敏感憑證和設備數據,免遭攔截或篡改。同樣重要的是,整合商應向客戶講解 OSDP 的安全優勢,鞏固其作為值得信賴的顧問的角色,並切實提升客戶的整體安全態勢。」
![]() |
| 雲端技術讓韌體自動更新和安全性修補程式的安裝變得更加方便。 LeoWolfert / iStock / Getty Images Plus / Via Getty Images |
「重要的是,整合必須基於現代標準建構,例如安全的 API,並且必須完成測試以確保整合的可靠性。」
多里斯表示,隨著越來越多的終端使用者尋求實體和邏輯融合的策略,將實體門禁控制日誌,整合到網路安全監控平台非常重要,這樣才能對實體和數位安全事件進行聯合分析。「雖然基本的系統日誌整合是一個良好的開端,但整合商應該鼓勵客戶利用審核日誌,並將這些日誌整合到網路安全監控平台中。稽核日誌會揭示安全營運中心(SOC),正在積極尋找的安全相關事件,例如重複存取嘗試、暴力破解延遲、異常進出模式或憑證濫用。這種安全性營運中心(SOC)正在積極尋找的安全相關事件,例如重複進入嘗試、暴力破解延遲、異常進入模式或憑證濫用。這種網路威脅能夠實現有意義的網路記錄。
助力網路安全的技術趨勢,是遷移轉換到雲端。「雲端解決方案在門禁控制方面具有顯著優勢,尤其適用於規模較小的佈署或遠端場景,」多里斯補充道。 「它們提供可擴展性、靈活性和集中管理 …… 雲端平台通常也能自動保持最新狀態,因為更新由服務提供者負責,而且與傳統的本地佈署系統相比,IT 團隊通常更容易管理。」
皮尼亞對此表示贊同。 「雲端平台也有助於加強企業的網路安全態勢,」她說。「雲端佈署能夠實現更快的更新、內建的彈性以及小型組織可能難以獨立維護的安全功能。」
隨著越來越多的解決方案遷移轉換到雲端,甚至是混合雲環境,受益的不僅是小型客戶。「製造商會推送韌體升級,這些升級可以應用於控制器或後端,」Chevalier 說。「有時,系統會預設推送更新。如果你更多地使用雲端服務,這將是一項優勢,因為操作起來更加便捷。」
對於整合商而言,最關鍵的一點是:「要成為值得信賴的顧問,認真審查目前佈署的系統,並指導最終使用者如何獲得最佳的網路安全保障,」Genetec 產品和產業行銷經理 Marie-Jeanne Sauve 表示。 「要成為他們的日常聯絡人,或與他們進行年度審查,確保他們實施了最佳的網路安全實踐。… 門禁控制技術的發展雖然緩慢,但我們看到它的變化速度,比以往任何時候都快。市場上湧現出大量新技術,最終使用者希望佈署新系統,來採用這些技術,因此通路合作夥伴比以往任何時候,都更需要及時了解最新動態。」
Szczygiel 對此表示贊同,並補充說:「與其迴避網路安全方面的對話和潛在問題,不如直接解決它們。積極主動地了解客戶的網路安全需求,將使你從競爭對手中脫穎而出,並顯示你是他們安全方面的合作夥伴,而不僅僅是安全安裝商。」
給安全整合商的更多建議
本文訪談的解決方案提供者被問到:「您認為整合商現在/今年應該做的最重要的一件事是什麼,才能幫助他們及其客戶應對網路安全和存取控制問題?」以下是他們的回答:
- 「今年系統整合商最重要的任務是了解常見且過時的行業實踐所帶來的風險。這包括摒棄未加密的近場通訊憑證和 Wiegand(一種 20 世紀 80 年代的佈線標準!),轉而採用安全性更高的 OSDP 標準。此外,您還應該評估設備部署方式,避免在客戶網路上打開大量防火牆上開啟大量技術人員在使用機器的方法
- 「整合商應為每次部署制定加固檢查清單,並與設計網路安全系統的製造商合作。他們應實施維護和升級的最佳實踐。能夠證明其部署安全並長期保持系統安全的整合商將贏得更多投標,並降低客戶風險。」—喬納森·杜邦,AMAG Technology
- 「網路實體系統(包括存取控制)必須保持最新狀態,才能維護實體安全和網路安全。特別是本地部署的系統,需要對控制器和設備進行修補程式和更新。雖然有人擔心更新可能會中斷合法訪問,但這些修補程式至關重要。忽視它們會造成漏洞,從而危及物理環境和整個網路的安全。」—韋恩·多里斯,Axis Communications
- 「將網路安全評估納入常規流程。定期審查有助於在風險造成破壞之前發現它們,並增強客戶信任。在存取控制方面,韌性取決於了解系統最脆弱的環節,因為安全態勢的強弱取決於最薄弱的環節。」—霍尼韋爾公司 Ewa Pigna
- 「隨時注意漏洞資訊。這並非易事,但整合商需要努力了解情況,才能成為值得信賴的顧問。」— Mathieu Chevalier,Genetec
- 「整合商應確保客戶熟悉新興標準,並幫助他們的客戶了解符合這些標準的最佳實踐。尤其需要注意的是,如果客戶仍在使用舊版憑證,且不了解其面臨的安全漏洞,則應確保他們了解升級選項以及支援遷移模式的解決方案,以便在逐步引入新的現代化憑證的同時,繼續使用舊版憑證。」— Johan Oosthuizen,Hosthuizen,Hostn。
數據與基礎設施的考量
門禁系統的「後端」或許是最複雜的網路安全風險所在,無論是門禁系統、影像監控系統或其他任何連網設備,其風險都大同小異。同時,對於系統整合商而言,後端也可能是最大的競爭優勢所在,精通網路安全的整合商,往往在贏得合約和維繫客戶關係方面更具優勢。
「網路安全需要持續管理和主動監控,」皮尼亞說。 「系統整合商需要確保他們充分了解製造商關於日常系統更新和修補程式的指南,並確保隨著潛在威脅和運行環境的演變,系統得到妥善維護。如果發生安全事件,他們應該制定明確的響應計劃,明確責任人、升級路徑和聯絡人,以最大限度地減少影響。」
杜邦表示,第一步既簡單又不容商榷:「從一開始就消除預設設定。更改所有出廠密碼,停用未使用的帳戶,並限制管理員存取權限。…在此基礎上,嚴格執行『最小權限』原則:僅授予使用者和服務帳戶所需的權限;避免共享‘通用管理員’登入名,並要求管理員和遠端服務人員使用更強的身份驗證(例如多因素身份驗證)。
他補充說:「對於持續的系統維護和衛生,要著眼於例行程序,而不是一次性設置。要保持控制器固件、軟體和操作系統更新的規律性。許多製造商的更新版本都包含安全加固和已知漏洞的修復,延遲更新會讓[您的客戶]面臨已被識別並正在被積極利用的威脅。」
對於新建應用,杜邦建議整合商採用「安全設計」架構。 「首先要了解客戶的風險狀況和需求,因為醫院、資料中心和政府機構的網路安全期望各不相同。從一開始就要著手縮小攻擊面:分段、最小化暴露的服務、安全的遠端存取和受保護的整合。將每個整合和 API 都視為安全邊界:記錄已連接的內容;限制範圍和權限;保護機密資訊;並明確誰負責後續的更新。」誰負責後續的更新。」誰負責後續的更新。
整合可能會增加風險。 「整合越多,網路安全就越複雜,因為最終客戶期望整個生態系統都能滿足他們的安全標準,」Szczygiel 說。




0 comments:
張貼留言