尾随入侵

本文约需 2 分钟阅读

尾随进入是指无权限者紧跟在拥有正规入室权限的人身后，在门打开的瞬间非法进入的物理入侵手法。这种手法可以说是社会工程学的物理版，完全不需要高超的技术，而是利用人类善意和礼貌这一心理弱点。即使是在网络安全上投入巨资的组织，只要物理出入管理松懈，也会让攻击者直接访问内部网络，是一种容易被忽视的严重威胁。

尾随进入与搭便车进入的区别

这两个术语容易被混淆，但正规入室者的参与程度有着决定性的差异。尾随进入是指不法者在正规入室者未察觉、或即使察觉也无法阻止的情况下入侵的情形。而搭便车进入则是指正规入室者有意按住门让不法者通过，也就是已经形成共谋的状态。

尾随进入

正规者未参与 / 未察觉
入侵者单独实施
“从后面跟进”
对策: 物理闸门

搭便车进入

正规者有意配合
形成共谋关系
“帮忙按住门”
对策: 安全教育

实务上的问题在于这两者的界限模糊。“为双手都拿满行李的人按住门”这一行为，既是出于善意的搭便车进入，同时也是可能被入侵者利用的尾随进入的典型场景。

渗透测试揭示的现实

在物理安全审计和渗透测试中，反复有报告指出尾随进入的成功率高得惊人。现实情况是，测试人员穿上工作服、抱着纸箱，只要说一句“不好意思，我腾不出手”，就能进入许多办公楼。在真实的社会工程学案例中，也记录了大量物理入侵成为网络攻击起点的情形。

渗透测试人员常用的手法包括伪装成快递员或清洁人员、在吸烟区与员工闲聊后一起进入，以及谎称“忘带门禁卡”而假装成同事。物理安全的基础也可以通过物理安全专业书 (Amazon)系统地学习。

尾随进入的入侵流程

侦察 (观察出入模式)

伪装准备 (服装、道具)

接近正规者背后

在门关闭前侵入

访问内部网络

对策技术与运营

应对尾随进入的对策需要从物理机制和人员意识两个方面入手。作为访问控制的物理实现，以下技术行之有效。

互锁门 (Mantrap)设有双重门的小房间。每次仅允许一人通过，前一道门关闭前后一道门不会打开。防返传 (Anti-passback)拒绝没有入室记录的人员退室的机制。强制保证出入记录的一致性。旋转闸门每次认证仅允许一人通过。在机场和数据中心广泛采用。监控摄像头 + 自动检测自动检测出入时的人数统计，若出现不一致则发出警报。

然而，最重要的对策是安全意识教育。让“不为陌生人按住门”“发现可疑人员就上前询问”的文化在组织中扎根，比技术性对策更能发挥效果。物理安全基础中也讲解了此类教育计划的设计方法。

远程办公时代的物理安全

随着新冠疫情以来远程办公的普及，物理安全的课题也发生了质变。由于办公室的出勤率下降，人们对“陌生面孔”的警惕心减弱，形成了尾随进入更易得手的环境。每周只来办公室一两次的员工无法完全掌握同一楼层的人员，识别可疑人员的能力随之下降。

另一方面，肩窥的风险转移到了咖啡馆和共享办公空间，物理威胁的范围已扩展到办公室之外。从内部威胁防御的角度来看，也需要采取将物理安全与网络安全统筹考虑的方法。安全意识培养相关书籍 (Amazon)也可用于构建组织的教育计划。