觀點

破壞實體安全的元兇 流程不當、員工無知

2009 / 07 / 15
廖邦彥
破壞實體安全的元兇 流程不當、員工無知
日常生活中,即便在不牽涉到高深技術的情況下,仍有非常多的資訊安全整體性被破壞殆盡。

  一般參加資訊安全的議題或者展覽時,看到的多數是跟高科技、高技術相關的內容。不管是改進的演算法,或者是更智慧的垃圾郵件過濾方式,大多方向都朝著技術的演進以及硬體的升級為主, 就算是跟實體安全相關的主題,仍然是介紹新技術帶來的產品。有創新的技術並不是一件壞事, 雖然通常新技術新產品也就代表了新的預算新的採購,也讓廠商有動力開發新的產品,無可否認的,通常也能解決以往因為解決方案或者硬體能力限制所帶來的瓶頸。然而,本篇想跟大家討論的是一些在日常生活中我們常常會遇到的情境,以及在不牽涉到高深技術的情況之下,竟然能有如此多的可能性資訊安全的整體性會被破壞殆盡,引申出背後的意義及能做的改進,來讓整個企業體的資訊安全獲得改善。

案例1,搭順風車

  如果讀者曾翻過資訊安全證照的教材,便會看過關於piggybacking一詞,一般解釋為一個人跟著另一個有權限的人進入授權區域,而這個跟在別人後面的人可能有、或者沒有權限。其實piggybacking這個字,是跟小朋友在玩的時候讓小朋友騎在肩膀上,在安全的延伸意義上就如同剛剛所講的。因為筆者的好奇心驅使,常常會去嘗試相關的東西,在累積的測試結果中,筆者得到的經驗是,一般利用人脆弱的同情心往往是最有效的,兩隻手抱著一個大紙箱,或者拿著手機很忙的在講電話,跟在有權限的人後面,通常因為同理心,大家都是很樂意幫忙,甚至幫你頂住門讓你慢慢過。這時候企業主在挑選員工性格如希望能在公司互相幫助的特色,反而成了安全的累贅。

感想以及解決方式

  訓練,再訓練。只有靠不斷的給員工訓練,配合合格訓練的警衛才能杜絕這樣的漏洞。就我所知有些公司,對於這方面的訓練非常注重,不斷的強調這方面的重要性,不可以幫其他員工開門,唯一的方式就是建議他到正門經過front desk登記後再合法的進入限制區域,而front desk的訓練也要相對的加強,就算是認識的員工,仍然要出入磁卡控管進入;就算是手持出入證而聲稱磁卡失效,也要請人事部確定是否是剛離職的員工,甚至是否所持的是真卡。而就算一切都正常,仍要請人事部核發臨時磁卡,讓磁卡失效的員工有合適授權的磁卡進入適當的地區,而不是從此以後讓員工習慣沒有磁卡或者身分識別也可以到處進出。

案例2,感情是最脆弱的一環

  如同剛剛上一個段落談到的部分, 往往最容易被入侵的部分就是利用人的情感部分:同情心、樂於助人的態度、懼怕對方是高級主管的心理等,這些情感上容易被利用到的部分,無論在實體安全,或者非實體的資訊安全部分,都是最脆弱的一環。上一個案例舉出來的是一例,再舉一例:當helpdesk接到是聲稱出差中資深經理的電話,並且要求因為輸入錯誤帳號而被鎖住,需要helpdesk立刻重設帳號並且提供臨時密碼時,很多情況執勤的helpdesk ,因為懼怕對方是高級主管或者阻擋到重要關鍵任務的執行,而讓公司或者自己的工作陷入危機,便提供了帳號重新設定的服務,卻因此開啟了漏洞。有興趣的讀者,可以查詢知名駭客Kevin Mitnick利用社交工程的事蹟,有相當多值得我們借鏡以及省思的地方。

感想以及解決方式

  對付這個部分,最有效的解決方式仍然是依賴標準而可行的處理程序,再加上不斷的在員工教育以及訓練上面加強這個部分。這裡指的可行的處理程序,比如說在helpdesk對於帳號重設的使用者提出如何的身分確認方式是可行的,要求提供身分證最後4碼是否有其他的安全考量?詢問員工編號來確認身分是否足夠?而對於員工的教育訓練,也不只僅僅於helpdesk,對於所有的員工,包括從高階主管一般員工甚至訪客,都要有充分的認識,讓這件事情執行起來能夠將阻礙減至最低,解決問題。

案例3,關於員工證以及其他身分證件

  有外來人員的時候,公司幾乎都會在填好資料換好證件後,提供一個臨時的證件,顏色通常跟一般員工的證件不一樣。同時,公司的員工也都會有證件,平常合理的推測,大家都不喜歡隨身攜帶證件,也因為如此,以前在台灣的時候常常同事會笑稱員工證為「狗牌」。現在問題來了,臨時證為何要有不同的顏色?我想每個人都憑直覺就可以回答,是為了區分與一般員工。那麼當員工都不戴證件的時候,要怎麼混入員工之中?也是一樣很簡單的答案,把臨時證件拿下來就好了!以這樣簡單的方式,就把企業辛苦建立的安全識別控管給破壞掉了。

感想以及解決方式

  在本篇文章看到的問題,幾乎都是歸結於流程的設計,以及員工的訓練,如何讓設計的流程以及方式讓員工不得不採行是這裡最重要的課題。合理性是先要的前提,不可能讓每一位員工拿個5、6張磁卡跑來跑去,要讓員工能夠執行的方案一定要合理可行,方便讓員工佩帶的識別證,並且讓員工必須隨時帶在身上的識別證(進出門禁,登入電腦都需要的證件),以及人事或者公環部門不定期的抽查,等等的配套措施,讓員工隨身攜帶證件成為一種便利而不是麻煩,才能有效的解決這個問題。對於外來人員的臨時證件也是一樣的,如何讓他們必須隨時攜帶(基本上分成3種人:員工=>佩帶員工證;訪客=>佩帶訪客證;非法進入=>沒有證件)才能夠有效的區分合法訪客以及非法進入者。

案例4,電力公司打敗公司實體安全

  在設計進出限制區域的管制或者資料中心的建置有相當多的考量:控管進出的方式,警衛、生物辨識、身分證件或者兩層關卡的進出門。資料中心的熱氣流設計,如何讓冷氣可以完全被設備所利用然後再由排氣系統將熱器排出。或者是電力系統承載量以及不斷電系統的設計,依照伺服器的電量使用以及未來擴充量的預期來設計主要以及備用系統。然而,作了這麼多,在不良的設計下卻完全敵不過電力公司的停電通知;任何一種可能的原因都會導致之前所提的這些諸多考量設計化為灰燼:不斷電系統不夠提供辦公室的空調系統,然而員工卻必須辦公時,為了通風就把本來用磁卡控管的門打開通風;再者,不斷電系統因為資料中心的擴張而無法支持空調系統時,萬一停電只好又把資料中心的控管門禁打開讓空氣流通。

感想以及解決方式

  資訊安全的設計不是第一次設計完後就可以高枕無憂, 就跟很多其他的課題一樣, 通常是一個循環不斷的過程,好像PDCA (plan-do-check-action) 一個不斷循環的方式,不論是系統、伺服器的承載量、網路的使用率、或者是機房電力的使用,都是要在規劃建制完成之後,不斷的持續或者定期的去重新檢討、測量、估算,停電時才不會有超出計畫的不恰當處理方式。而明確的規定工作環境對於停電的處理方式,能夠阻止非預期的狀況出現。而利用其他的補救控制來取代類似情況的發生,也是可行的,舉上面的例子來說,若是真的一定要在這樣的情況下辦公而且進出管制的門必須打開,則可以用警衛檢查員工證來暫時取代磁卡控管,總而言之,良好的規劃以及詳細可用的備用計畫(比如說上述講的用警衛來代替)才能讓完整的企業安全環境走的又長又遠。

結論

  實體安全是做資訊安全的人最容易忽略的部分之一,然而試想精心策劃的存取控管、資料庫安全的設計,如果竟然被一場停電而整個瓦解了的話,這些其他部分所投注的心力也等於白費了,正是驗證了一句話 :“security is only as strong as your weakest link”安全的強度就只跟整個環節裡面最弱的一環一樣。資訊安全是很複雜卻有趣的一個課題,但唯有每個環節都注重,不將任何一部分忽略遺漏,才能提供真正完整的資訊安全防護體系。所以下次,在檢查或者設計實體安全的時候,將所有可能忽略的部分,以及如何從開始到結束的保護企業整體資訊安全做全盤的考量,才能達成保護重要資料及資料流程的終極目標 。