EDUCATION · PHYSICAL SECURITY

🛡️ Fiziskā drošība kiberdrošībā

Fiziskā drošība ir kiberdrošības pamatslānis: ja uzbrucējam ir fiziska piekļuve ierīcei, loģiskās kontroles vairs nepasargā. Aizsardzība dziļumā, drošības zonas, 5 D modelis un standarti (ISO 27002 7. nodaļa, NIST SP 800-53 PE, NIST SP 800-88). Piemēri ir izdomāti, paredzēti mācībām.

Kāpēc tas svarīgi

Fiziska piekļuve apiet loģiskās kontroles

Fiziska piekļuve apiet loģiskās kontroles Tīkla uzbrucēju aptur loģisko kontroļu barjera, bet fiziskā piekļuve apiet to un sasniedz serveri pa apakšējo ceļu. Fiziska piekļuve apiet loģiku Ja uzbrucējam ir fiziska piekļuve ierīcei, tā vairs nav tikai tava ierīce Tīkla uzbrucējs (attālināti) Loģiskās kontroles Ugunsmūris MFA · IAM Šifrēšana EDR / AV Segmentācija · žurnalēšana aptur tīkla ceļu SERVERIS · DATI konsole · diski · RAM · porti (fiziskā robeža) Fiziska piekļuve (klātbūtne telpā) apiet visas loģiskās kontroles Vektori: konsole · BadUSB · diska izņemšana · cold-boot RAM · evil maid

Pamatprincips: fiziskā un kiberdrošība ir saaudušas. Fiziska klātbūtne ļauj apiet ugunsmūri, MFA un šifrēšanu - tāpēc fiziskās kontroles ir tikpat svarīgas kā tīkla kontroles. Tas atspoguļojas arī ISO 27001 Pielikuma A.7 obligātajās fiziskajās kontrolēs.

Kāpēc tā ir kiberdrošība

Fiziskā piekļuve ļauj pievienot ierīces, izņemt diskus, nolasīt RAM vai pieslēgties konsolei - apejot tīkla un autentifikācijas kontroles. Tāpēc serveru telpas, datu centri un galiekārtas ir daļa no uzbrukuma virsmas.

Klasiskie fiziskie uzbrukumi

Evil maid (neuzraudzīta ierīce), cold-boot (RAM atslēgu nolasīšana), DMA caur Thunderbolt/PCIe, BadUSB un nozagtu disku lasīšana. Pretpasākumi: pilna diska šifrēšana, Secure Boot/TPM, portu bloķēšana, BIOS parole.

Mērķis

Ierobežo, kurš fiziski tuvojas aktīviem (least privilege arī telpām), un kārto aizsardzību slāņos (drošības zonas), lai viena slāņa pārkāpums nedotu tūlītēju piekļuvi datiem.

Aizsardzība dziļumā

Koncentriskas drošības zonas - no perimetra līdz ierīcei

Koncentriskas fiziskās drošības zonas Sešas ligzdotas zonas no ārējā perimetra līdz datu nesējam centrā, katra ar savu ISO 27002 kontroli. Drošības zonas (aizsardzība dziļumā) Katrs slānis pievieno atturēšanu, atklāšanu un aizkavēšanu Perimetrs / teritorija ISO 7.1 - žogs · CCTV · apgaismojums Ēka ISO 7.2 - kontrolēta ieeja · reģistrs Drošā zona / birojs ISO 7.3/7.6 - badge · clean desk Datu centrs ISO 7.4 - monitorings · mantrap Skapis slēdzene Ierīce Kodols: TPM · pilna diska šifrēšana · portu bloķēšana · plombes

Aizsardzība dziļumā: neviena atsevišķa kontrole nav pietiekama. Slāņi ir savstarpēji neatkarīgi, tāpēc viena pārkāpums (piem., ielavīšanās ēkā) joprojām saskaras ar nākamo (badge uz drošo zonu, mantrap datu centrā, slēdzene skapī).

Perimetrs un ieeja (7.1–7.2)

Skaidri definēts perimetrs (žogs, sienas, apsardzes postenis), kontrolēti ieejas punkti ar badge/PIN, apmeklētāju reģistrācija un pavadīšana. Mērķis - tikai pilnvarotie nokļūst iekšā un tas ir izsekojams.

Drošās zonas un darbs tajās (7.3/7.6)

Jutīgās telpas atdala atsevišķi, ar papildu piekļuves kontroli, clean desk / clean screen un noteikumiem par ierakstu ierīcēm. Darbu drošajā zonā uzrauga un dokumentē.

Datu centra īpatnības (7.4)

Nepārtraukta uzraudzība (CCTV, signalizācija, badge žurnāli), mantrap/sluzas pret tailgating, atsevišķa piekļuve serveru rindām un vides kontroles. Piekļuves žurnālus glabā un periodiski pārskata.

Aizsardzības mērķi

5 D modelis - atturēt, atklāt, liegt, aizkavēt, reaģēt

Fiziskās drošības 5 D modelis Pieci secīgi aizsardzības mērķi - Deter, Detect, Deny, Delay, Respond - katrs ar piemēriem. 5 D - secīgi aizsardzības mērķi Uzbrucējs virzās pa kreisi → pa labi. Mērķis - aizkavēt ilgāk nekā reaģēšanas laiks 1 · Atturēt · žogs, vārti · apgaismojums · redzama CCTV · brīdinājuma zīmes · apsardzes postenis Deter 2 · Atklāt · kustības sensori · CCTV ieraksts · signalizācija · badge žurnāli · durvju kontakti Detect 3 · Liegt · slēdzenes · badge / PIN · biometrija · mantrap / sluzas · apsargs Deny 4 · Aizkavēt · vairāki slāņi · seifi, skapji · stiprinātas durvis · režģi, barjeras · plombes Delay 5 · Reaģēt · apsardze · izsaukums (112) · incidentu plāns · eskalācija · pierādījumi Respond Galvenā formula: aizkavēšanas laiks > atklāšanas + reaģēšanas laiks

CPTED un 5 D: fiziskā drošība nav par neielaušanas garantiju, bet par to, lai uzbrukums būtu pamanīts un apturēts pirms mērķa sasniegšanas. Tāpēc aizkavēšanai jābūt ilgākai par laiku, kas vajadzīgs atklāšanai un reaģēšanai.

Starptautiskā prakse

ISO/IEC 27002:2022 7. nodaļa un NIST SP 800-53 PE

ISO 27002:2022 kontroļu tēmas Četras ISO 27002:2022 kontroļu tēmas. Fiziskās kontroles (7. nodaļa, 14 kontroles) ir izceltas. ISO/IEC 27002:2022 - 4 kontroļu tēmas Organizatoriskās nodaļa 5 · 37 kontroles Personāla nodaļa 6 · 8 kontroles Fiziskās nodaļa 7 · 14 kontroles ← šī sadaļa Tehnoloģiskās nodaļa 8 · 34 kontroles ISO 27001 Pielikums A.7 atspoguļo šīs 14 fiziskās kontroles · NIST SP 800-53 ekvivalents - PE saime
ISO 7.1
Fiziskās drošības perimetri

Definēti perimetri ap zonām ar jutīgu informāciju.

ISO 7.2
Fiziskā ieeja

Ieejas kontrole, apmeklētāju reģistrs un pavadīšana.

ISO 7.3
Biroju, telpu un iekārtu nodrošināšana

Jutīgo telpu fiziska aizsardzība un izvietojums.

ISO 7.4
Fiziskās drošības uzraudzība

Nepārtraukta novērošana (CCTV, signalizācija, žurnāli).

ISO 7.5
Aizsardzība pret fiziskiem un vides draudiem

Ugunsgrēks, plūdi, zemestrīce, civilā nemiers u.c.

ISO 7.6
Darbs drošajās zonās

Noteikumi un uzraudzība darbam jutīgajās telpās.

ISO 7.7
Tīrs galds un tīrs ekrāns

Dokumenti un ekrāni netiek atstāti neuzraudzīti.

ISO 7.8
Iekārtu izvietojums un aizsardzība

Aprīkojums novietots tā, lai mazinātu riskus.

ISO 7.9
Aktīvu drošība ārpus telpām

Klēpjdatoru, mobilo ierīču aizsardzība ārpus biroja.

ISO 7.10
Datu nesēji

Storage media aprite, glabāšana un transports.

ISO 7.11
Atbalsta utilītas

Elektrība, dzesēšana, ūdens - nepārtrauktība.

ISO 7.12
Kabeļu drošība

Barošanas un datu kabeļu aizsardzība pret bojājumu/noklausīšanos.

ISO 7.13
Iekārtu apkope

Plānota apkope, lai saglabātu pieejamību un integritāti.

ISO 7.14
Droša iznīcināšana vai atkārtota izmantošana

Datu nesēju droša dzēšana pirms izmešanas/atkārtotas lietošanas.

NIST SP 800-53 - PE saime

Physical and Environmental Protection: PE-2 (piekļuves pilnvarojumi), PE-3 (piekļuves kontrole), PE-6 (uzraudzība), PE-8 (apmeklētāju žurnāli), PE-13 (ugunsaizsardzība), PE-14 (temperatūra/mitrums), PE-15 (ūdens), PE-18 (komponentu izvietojums).

NIS2 un MK 397

NIS2 (ES 2022/2555) 21. panta riska pārvaldības pasākumi ietver fiziskās vides drošību, piekļuves kontroli un aktīvu pārvaldību. Latvijas MK noteikumi Nr. 397 nosaka minimālās prasības, tostarp fizisko aizsardzību kritiskajiem resursiem.

Citi attiecināmi standarti

PCI DSS 9. prasība (fiziska piekļuve karšu datiem), ISO 27001 Pielikums A.7 (audita atsauce) un NIST SP 800-116 (PIV/PACS kartes piekļuves kontrolei).

Uzbrukumi un pretpasākumi

Fiziskie draudi un to kontroles

Tailgating un mantrap Pa kreisi tailgating - divi cilvēki iziet ar vienu badge. Pa labi mantrap ar divām bloķētām durvīm ielaiž pa vienam. Tailgating vs. mantrap (sluzas) Tailgating / piggybacking badge ✓ bez badge → seko līdzi Mantrap / sluzas viens badge = viena persona ārējās iekšējās abas durvis nekad nav vaļā reizē
Tailgating
Sekošana pa atvērtām durvīm

Nepilnvarota persona ieiet aiz pilnvarotas.

↳ mantrap, turniketi, apziņošana, apsardze
Badge / RFID klonēšana
Karšu kopēšana

Vāji šifrētas RFID kartes nolasa un klonē.

↳ šifrētas kartes, PIN+badge, biometrija
Shoulder surfing
Skatīšanās pār plecu

Paroļu/PIN nolasīšana no ekrāna vai tastatūras.

↳ privātuma ekrāni, clean screen, izvietojums
Dumpster diving
Rakšanās atkritumos

Dokumentu un nesēju izmešana bez iznīcināšanas.

↳ smalcinātāji, droša iznīcināšana (7.14)
Evil maid
Neuzraudzīta ierīce

Īslaicīga fiziska piekļuve modificē iekārtu.

↳ FDE, Secure Boot/TPM, plombes, seifi
Zādzība / nozaudēšana
Ierīču un nesēju zudums

Klēpjdatori, diski un telefoni pazūd vai tiek nozagti.

↳ šifrēšana, attālināta dzēšana, inventarizācija
Lock picking
Mehānisku slēdzeņu apiešana

Vājas slēdzenes atver bez atslēgas.

↳ kvalitatīvas slēdzenes, elektroniskā kontrole, žurnāli
TEMPEST
Elektromagnētiskā noplūde

Signālu pārtveršana no kabeļiem/ekrāniem.

↳ ekranēšana, kabeļu drošība (7.12), zonējums

Vide, utilītas un nesēji

Vides kontroles un datu nesēju droša iznīcināšana

Datu centra vides kontroles Serveru skapis centrā ar četrām vides kontrolēm - barošana, dzesēšana, ugunsdzēsība un ūdens noplūdes atklāšana. Vides un utilītu kontroles (ISO 7.5 · 7.11) Serveru skapis pieejamība = drošības mērķis Barošana UPS + ģenerators redundance (A/B) Dzesēšana HVAC · temperatūra mitruma kontrole Ugunsdzēsība inertā gāze · detektori VESDA agra atklāšana Ūdens / noplūde noplūdes sensori paaugstinātas grīdas

Pieejamība ir drošība: vides un utilītu kontroles (ISO 7.5, 7.11) aizsargā informācijas pieejamību - barošanas, dzesēšanas vai ugunsgrēka incidents ir tikpat nopietns kā uzbrukums. Kabeļus aizsargā atsevišķi (ISO 7.12).

SP 800-88 · Clear
Loģiska dzēšana

Pārrakstīšana ar standarta komandām - aizsargā pret vienkāršu atjaunošanu. Nesējs paliek izmantojams.

SP 800-88 · Purge
Padziļināta dzēšana

Kriptogrāfiskā dzēšana, degausēšana vai iebūvētā secure erase - dati nav atjaunojami pat laboratorijā.

SP 800-88 · Destroy
Fiziska iznīcināšana

Smalcināšana, sadedzināšana, kausēšana - augstākajai klasifikācijai. Nesēju vairs nevar izmantot.

Fiziski-kiber konverģence

Mūsdienu piekļuves kontroles (PACS), IP kameras un BMS sistēmas ir tīklā - tās pašas ir uzbrukuma virsma. Segmentē tās no ražošanas tīkla, atjaunini programmaparatūru un nelieto noklusējuma paroles.

Datu nesēju aprite (ISO 7.10/7.14)

Nesējus marķē pēc klasifikācijas, kontrolē transportu, glabā droši un iznīcina pēc NIST SP 800-88. Dzēšanas metode atbilst datu klasifikācijai - augstākai klasei stingrāka metode.