为什么访问控制已成对抗网络犯罪的前沿阵地

Hiscox发布报告称，自2019年以来，企业在网络安全方面的支出翻了一番。2N TELEKOMUNIKACE首席产品官Tomáš Vystavěl调查访问控制已成打击网络犯罪重要资产的个中缘由。

2021年早些时候，Hiscox对位于美国、英国、西班牙、荷兰、德国、法国、比利时和爱尔兰的6000多家公司进行了问卷调查，据此发布了《2021年网络准备度报告》。最引人注目的发现之一是，在过去两年中，各家企业在网络安全方面的支出平均增加了一倍多。

不过，网络安全开支增加是应对威胁水平日益增长的理性选择。Hiscox的研究表明，从2019年到2020年，成为网络罪犯目标的公司更多了，且遭遇攻击的公司中28%都经历了不止五次攻击。近半数受访者表示，自新冠肺炎疫情开始以来，自家公司变得更容易受到网络攻击;在员工数量超过250名的企业中，这么认为的受访者占比上升到59%。遭遇网络攻击的企业中，大约六分之一认为网络安全事件威胁到了企业生存能力。调查还发现，遭网络罪犯侵袭的企业中，约六分之一被勒索金钱，其中半数以上真的付款了。

Hiscox进一步评估公司在六个不同能力领域的成熟度，这六个能力领域组成了安装、运行、管理和治理有效安全系统所需的种种要素。其中的“身份与访问管理”能力在所有受访公司中位居能力成熟度列表的倒数第二位。

为什么访问控制是网络安全计划的重要组成部分?

现实总是比理想骨感。在网络安全方面，访问控制并不总是企业的首要考虑，很多公司在这方面仍然处于需要“迎头赶上”的状态。不过，情况正在迅速改变。现在，越来越多的公司意识到，如果访问控制系统受到损害，企业大厦的日常运营，还有其中人员，都可能面临风险。

这些公司正采取各种措施，重点应对最紧迫的威胁，尤其是下面这五个威胁：

• 中间人攻击(MitM)：黑客接入网络并窃听终端设备间通信的攻击。攻击者可通过中间人攻击盗取开门密码和设备登录口令。

• 密码/字典攻击：黑客尝试猜解设备登录密码的攻击(通常使用密码生成器，尝试不同猜解策略)。

• 局域网未授权连接：门禁对讲机或读卡器可能会装在房子外面，给坏人留下了破坏对讲机并利用UTP电缆接入LAN网络的机会。

• 对讲系统摄像头未授权查看：网络摄像头留有默认密码的事很常见，基本上任何人都可以连接这种摄像头，查看拍到的所有情况。

• 针对手机的恶意软件攻击：由于十分便利，基于手机凭证的访问控制系统越来越受欢迎。但是，这种系统也一直是黑客的目标，他们试图通过凭证窃取、监视和恶意广告来攻击智能手机。

这些威胁不仅仅局限于网络领域。访问控制遭破坏也可能构成物理威胁——如果罪犯能够潜入大楼的话。即便物理安全未遭破坏，网络攻击也可能导致成百上千万元的监管处罚，中断核心业务功能，威胁企业声誉。

保护访问控制系统免受网络攻击侵害：应遵循哪些基本规则?

很明显，威胁逐渐加重，企业应该采取一些基本的“良好实践”措施来保护其IT系统的各个方面。例如，使用复杂的强密码，定期对IT基础设施进行安全审计以识别和消除可能的漏洞，并培训负责保护大楼IT基础设施的安全团队，让他们了解最常见的威胁及其应对方法。

最重要的是，具体到访问控制上，公司可以遵循下面这几条收效甚高的附加规则：

• 遵循经验证的安全控制框架。其中两个备受认可的安全控制框架是ISO 27001和SOC 2。这些框架可以指导公司创建安全的系统和流程。

• 确保访问控制系统采用了加密和多步身份验证。这样可以保护设备、控制器和移动设备之间的通信，并杜绝出于“维护目的”的后门。

• 创建独立的网络，专用于处理敏感信息的设备，并确保这些设备之间的通信是加密的。将这些设备置于独立的虚拟局域网(VLAN) 中，确保已安装设备或软件的制造商默认使用HTTPS、TLS、SIPS或SRTP等实现协议。

• 创建具有不同权限的账户。这么做可以确保用户只能够做出与其特定任务相关的更改，而管理员会得到更大的权限来管理大楼和所有关联账户。

• 经常升级软件。在设备上安装最新的固件版本是降低网络安全风险的重要措施。每个新版本都通过实现最新安全补丁来修复在软件上发现的漏洞。

• 安排网络安全培训，教育员工规避社会工程威胁。人的因素是任何系统中最脆弱的一环，攻击者可以诱骗员工犯下安全错误，或者给出敏感信息。因此，有必要定期培训员工，培养他们的网络安全意识。

这些规则并不复杂，遵循这些规则也不用投入太多资源。事实上，随着抗击网络攻击和数据泄露的战争愈演愈烈，哪家公司能够承担忽视这些规则的后果?

想进一步了解智能访问控制和不断扩大的网络安全需求，可以查阅2N的白皮书《访问控制的演进》。

《访问控制的演进》：https://go.2n.cz/l/515041/2021-04-15/3vc2rb