泰勒’s:社交媒体和关键控制政策

我最近参与的一次Twitter交流提供了一个很好的例子,说明了为什么有效的关键控制政策现在必须包含与社交媒体相关的规定。让我解释。

原始推文。

早在十二月 @dontlook 转推了美国空军成员的推文。原始推文包含服务成员的照片’的ID徽章以及他的钥匙。使用徽章上的信息,’很难缩小他目前驻扎的位置:皇家空军设施中的公共卫生大楼。进一步的工作 @ nite0wl 确定了如图所示的钥匙的钥匙坯料和固定系统,该系统可以从多家售后市场供应商处获得。他还能够在没有可用的应用程序或程序的情况下或通过比较像素或使用实际测量值进行进一步分析的情况下,将密钥解码为两种可能性。他向我提供了他解码的内容,我剪下了钥匙进行比较。

让我强调一下:这仅是概念的证明。我们本可以完全确定地产生一个准确的重复密钥,但这不是’这是练习的重点。这表明无论锁匠与否,个人都可以使用在社交媒体平台上共享的照片和/或信息来破坏关键系统。

社交媒体和关键控制政策

您的机构’s or employer’关键控制政策应包含禁止在社交媒体上共享与之相关的信息的规定,以及在此类信息在社交媒体平台上发布的情况下提供纠正措施的规定。 2018年有效的钥匙控制政策将禁止拍摄钥匙以及锁或圆柱体的照片,这可能有助于揭示受其约束的钥匙孔。如果密钥控制策略还控制着访问控制系统,那么它也应该禁止凭证的照片,例如卡或密钥卡,读卡器以及其他与访问控制系统有关的硬件。此外,具有Internet连接的任何人都不应轻易获得物理安全系统特有的信息(例如,关键信息或徽章类型)。对于具有专利保护和受限制的分配通道的钥匙和锁芯,情况甚至如此。是的,这增加了一层额外的安全保护,但不会使您无敌。如果发现了这种妥协,则纠正措施应是所有合理的努力,以恢复脆弱地区的安全。这可能包括特权的损失,罚款和费用,锁的重新锁定和新密钥的发行等。

整个前提似乎很难实现,但是它’不是。我知道由于缺乏关键控制策略而导致的安全损失。不幸的是,发生了性侵犯。除了法律和民事方面的影响,我不会’不想出于我的良心而拒绝’希望我的远见卓识导致他人的悲惨经历。确保您的关键控制政策是最新的,以保护您的机构,您的雇主,使用它的个人以及您自己。

特别感谢@ nite0wl和@dontlook参与本案例研究。

通过 | 2018-10-14T09:59:01-04:00 2018年1月30日|所有, 商业, 泰勒's Take|0条留言

About the Author:

我是 安全工程顾问 在美国乔治亚州亚特兰大。我是ALOA,Clearstar安全网络,Locksmith国家和密歇根州Locksmith安全协会的成员。 在这里给我发电子邮件 或跟随我 推特.

发表评论