過去，物理安全(企業人員和物理資產安全)主要由基礎設施團隊或CSO負責，但隨著越來越多的物理安全系統與IT系統相連(涉及到IT資產的物理訪問權限)，物理網絡空間交叉滲透的混合威脅快速增長，CISO在企業物理安全戰略中正扮演著越來越重要的角色。

物理安全，另一個千億美元的“安全市場“

物理安全是指保護人員、財產和物理資產避免損害或損失的行動和事件。盡管物理安全常常被網絡安全搶去風頭，但其重要性同樣不容忽視。據估計，2023年全球物理安全市場規模高達1100億美元至1230億美元。

為什么物理安全如此重要?

當今大多數物理安全系統和控制裝置都與IT系統緊密相連，這就要求CISO團隊加強網絡安全監督，確保這些系統得到充分強化，例如員工身份認證系統和視頻監控系統等。更關鍵的是，對IT資產的物理訪問可能會引發一系列網絡安全事件和數據泄露。因此，CISO不僅有責任，而且為了滿足許多法規和標準的要求，必須采取物理安全措施來保護對IT資產的(物理)訪問權限。

“CISO在物理世界中發揮作用是必要的，”Nuspire的網絡安全咨詢副總裁Mike Pedrick表示：“CISO的職責是保護所有形式的信息，包括物理媒體和訪問數字信息的機制。”

這并不是說CISO需要承擔所有物理安全職責。雖然一些小型企業可能會合并CISO和CSO職位，或者干脆將物理安全納入CISO的職責范圍，但在許多大型企業，這種做法并不常見。Optiv的首席信息安全官Max Shier表示：“對于有監管要求的大型企業而言，合并這兩個團隊可能并不合理，因為物理安全團隊的職責可能比網絡安全團隊所能管理的更廣泛，例如保安人員、高管保護等。”

CISO必須與物理安全團隊合作

Radware的首席信息安全官Howard Taylor表示，如果不合并CISO和CSO的職責，那么CISO如果要實現目標，與物理安全團隊的溝通和協調就變得至關重要。對于許多網絡安全資深人士來說，這并不陌生，他們經常需要與產品管理、開發團隊等保持溝通以實現網絡安全計劃的其他目標，在物理安全方面也一樣。“CISO在業務連續性、災難恢復、設施設計和實施的規劃過程中，必須與物理安全專家合作。這包括保護物理訪問權限、網絡和數據中心資產、電力以及防火和監控，”Taylor說：“此外，安全專家還必須與CISO合作，確保訪問控制和監控系統的實施和運行的安全性。這包括確保攝像頭和監控圖像不會違反隱私規則和法規。”

無論企業的組織架構如何設計，CISO都需要與設施團隊、CSO以及其他負責物理安全的人員合作，共同制定計劃，并重點關注以下十大物理安全注意事項和措施：

• 強化IT設施和數據中心的安全
• 日常辦公設施的安全注意事項
• 阻止物理空間的橫向移動
• 保護共置和云端設施中的資產
• 物理—網絡連接的OT環境
• 分布式物聯網設備需要重點防護
• 遠程/混合辦公環境的設備鎖定
• 采用集中式的訪問控制管理
• 監控系統及其數據的安全
• 調查時能夠快速訪問監控數據

一、強化IT設施和數據中心物理安全

數據中心、敏感IT設施以及多功能辦公設施中的計算機房是CISO的關注重點，對敏感系統的物理訪問需要嚴格控制。“CISO應該規定只有需要訪問的人員才能進入計算機房，并確保承包商的現場服務有內部人員陪同，且絕不會被單獨留在計算機房內。計算機房的訪問權限應該每天進行記錄和審查，”Church&Dwight的首席信息安全官David Ortiz說。

根據風險的高低，采取的訪問控制措施也應有所不同。Darktrace的紅隊運營高級副總裁Justin Fier指出：“保存關鍵信息的設施，例如擁有敏感服務器的辦公室，應該比擁有不太敏感資產的設施采取更嚴格的安全控制。CISO必須了解哪些數據和資源存儲在哪些設施中，評估這些設施被攻破的風險，并相應地加強物理保護。”

二、日常辦公設施安全注意事項

即使是最普通的辦公環境也可能成為狡猾的攻擊者獲取進入公司網絡立足點的目標。“任何設施中的網絡插座都可能是進入內部IT環境的潛在入口，”Flexential的網絡安全副總裁Will Bass說道：“CISO應該積極參與所有設施(無論敏感與否)的物理安全架構和標準的制定，以確保采取適當的縱深防御措施來防止對IT環境未經授權的物理訪問。”

Optiv的Shier補充說，盡管遠程和混合辦公改變了員工對辦公室的看法，并可能減少了許多設施的客流量，但CISO仍然應該監督物理安全衛生的基本要素。“我們仍然需要確保辦公室有充分的物理安全控制措施，”Shier指出：“即便在今天，端口安全、無線接入點安全、工卡訪問控制和攝像頭仍然不容忽視。”

三、阻止物理空間橫向移動的“零信任”方法

當CISO在整個組織的設施中審查物理安全控制措施時，應該注意攻擊者在物理空間和不同限制區域內橫向移動的容易程度。Bishop Fox的紅隊高級安全顧問Alethe Denis表示，如果沒有采取必要的措施，攻擊者往往很容易潛入建筑物、倉庫或服務區：“一旦對手獲得對限制區域的初始訪問，他們在物理空間的橫向移動往往能夠暢行無阻，因為大多數員工會想當然地認為攻擊者被允許進入敏感區域之前已經獲得了訪問權限。”

就像使用微隔離和零信任身份驗證來保護網絡上的邏輯資產一樣，企業也應該在建筑物內設置物理空間移動的“微隔離“，越接近敏感區域，控制措施越嚴，訪問權限要求越高。Denis認為：“理想情況下，員工需要通過工卡訪問樓梯、電梯區域和電梯樓層(不允許有無關人員尾隨)，這些物理”零信任“措施可以防止攻擊者橫向移動并限制其初始訪問公共大廳后可能造成的破壞。”

四、保護共置和云端設施中的資產

CISO對物理安全的監督也不限于組織自己的設施。Shier解釋說，CISO還需要考慮如何保護共置設施或數據中心中的資產。“在與其他公司資產共置的設施中，需要單獨保護每個機架，并能夠通過工卡閱讀器或其他手段進行控制和審核，”Shier說，“確保數據中心配備攝像頭、保安和其他控制措施也將非常重要。”

此外，即使系統的物理處理完全脫離組織(如公共云和SaaS資源)，CISO仍然需要關注這些系統的物理控制方式，”Nuspire的Pedrick說，“云端并不意味著不需要物理安全。CISO需要了解云計算合同和服務水平協議的重要性，以及第三方審計結果。”

五、物理-網絡連接的OT環境

除了擔心物理行動如何影響網絡環境外，在管理關鍵基礎設施的組織中工作的CISO還必須能夠反向操作。換句話說，他們需要考慮網絡攻擊活動如何可能對物理環境(例如制造裝配線、發電廠、采礦作業)產生負面影響。

“工業環境中的網絡攻擊可能會對物理安全構成重大威脅，”Cyolo的聯合創始人AlmogApirion表示，該公司專注于運營技術(OT)環境中的遠程特權訪問管理：“惡意行為者可以滲透設備并破壞關鍵基礎設施，例如水處理廠或電網，造成對社區的廣泛傷害。”

由于IT和OT環境已經高度融合，CISO必須注意設施內的物理—網絡連接，因為可以遠程控制或管理的工廠資產也可能在CISO的管轄范圍內。“未經授權訪問工業機械，例如鍋爐或高爐，可能會導致嚴重的工傷事故。”Apirion解釋說。

六、分布式物聯網設備安全需要重點關注

與OT系統一樣，物聯網設備通常可以控制物理系統的重要功能。“物聯網系統在信息和行動之間架起橋梁，使其成為物理攻擊的誘人目標，”Radware的Taylor指出：“物聯網系統可直接控制汽車、船舶、飛機、工廠、電梯等物理系統，因此必須有內部監控功能，以檢測和防止惡意操作，例如未經授權的軟件更改或病毒感染。最后還需要有一個災難恢復計劃，以應對物聯網設備被人用彈弓打壞之類的意外事件。”

七、遠程/混合辦公環境中的設備鎖定

傳統的“網絡邊緣”已經發生天翻地覆的變化，因此CISO必須根據業務性質、特定上下文和可接受的風險水平設計相應的威脅模型和控制措施。安全利益相關者需要與供應鏈合作伙伴密切合作，以確保硬件完整性，并教育員工了解物理、個人和操作安全最佳實踐。每項物理安全措施都會對網絡安全產生影響，反之亦然。

后疫情時代的辦公模式變化也放大了分布式設備的問題。這意味著CISO必須擴大其對遠程設備的物理安全監督范圍。

“遠程和混合工作的普及使保護物理IT資產成為CISO面臨的越來越大的挑戰，”Fier解釋說：“隨著員工攜帶設備越來越多地從一個地方移動到另一個地方，設備丟失、設備濫用的風險以及被攻擊者利用的機會大增。此外，隨著員工越來越多地在家工作，CISO必須著手解決保護員工家用設備(例如路由器)的問題。”

Fier以最近針對小型辦公室/家庭辦公室路由器的Volt Typhoon黑客攻擊活動為例，建議CISO向高優先級人員(例如高管和特權管理員)提供加強型家庭設備。

八、采用集中式的訪問控制管理

雖然物理訪問控制和建筑物保護的日常管理主要由設施團隊負責，但理想情況下CISO應該參與設計，至少要了解每個設施的入口點狀態。

“CISO應該與物理安全團隊合作，了解物理訪問控制的風險態勢，”Church&Dwight的Ortiz解釋說：“這包括了解進入設施是否有接待區監控或有工卡訪問控制，進入設施的入口點是否使用閉路電視(CCTV)記錄，工卡訪問和監控錄像是否記錄并審查可疑活動，以及計算機網絡機房數據中心區域是否具有額外的訪問要求。”

CISO還應該為這些訪問控制的設計提供意見，并找到將這些訪問控制與邏輯訪問集成的方法。這種協調可以極大地幫助調查，并使員工順利離職。“物理訪問和邏輯訪問控制必須一起工作，尤其是當憑證丟失或員工被解雇時。”Ortiz說道。

九、監控系統及其數據的安全

與物理訪問控制一樣，視頻監控系統的技術細節可能超出CISO的職責范圍，但他們通常會對幫助設計和強化這些系統有濃厚的興趣。CISO通常是隱私問題和法規方面的領域專家，可以就能拍攝什么以及如何存儲數據給出專業建議。

“鑒于視頻監控存在各種隱私問題、監管責任和其他敏感性，因此CISO在其管理中發揮主要作用至關重要。他們必須與其他相關團隊(例如法律團隊)密切合作，以確保他們的組織了解并遵守有關視頻監控的法律法規，這些法律法規可能因地區而異，”Fier說。

此外，視頻監控也是IT環境的一部分，這意味著這些系統是CISO需要擔心的另一個網絡攻擊面。“辦公室的CCTV攝像頭通常連接到主公司網絡，這使得它們不僅容易被網絡上的其他用戶觀看，而且容易被攻擊者觀看，”Agility Cyber的董事Jonathan Sword解釋說，這就是為什么CISO需要參與這些系統的架構設計。

十、確保調查時能夠快速訪問監控數據

最后，對于CISO及其事件響應團隊來說，能夠快速訪問這些監控系統的存儲記錄很重要。由于一些嚴重的網絡安全事件始于物理設施被入侵，因此應急響應人員需要能夠快速將物理空間中的活動與邏輯系統上的操作聯系起來。攝像頭畫面可以幫助彌合這一差距。

總結

面對后疫情時代的混合辦公環境、物理網絡系統融合以及快速發展的威脅形勢，CISO必須擴大視野，超越傳統網絡安全關注領域，重視物理安全問題。

通過與CSO、設施團隊和其他利益相關者合作，梳理預算和責權關系，CISO可采用整體方法來管理物理和網絡風險，打造適應物理網絡空間新威脅的高彈性安全防御體系。