背景

本文記錄了一名資深滲透測試員首次參與物理性滲透測試（Physical Pentest）的經歷。受測企業雖然配備了監視器、警衛與門禁系統，但測試人員透過尾隨、偽裝與利用社交心理漏洞，輕易進入了多棟辦公大樓，甚至在眾目睽睽下推走了一桶裝滿機密文件的碎紙回收桶。這場測試揭示了企業在實體安全防禦上的脆弱，以及員工對於陌生人入侵的普遍冷漠。

社群觀點

在 Hacker News 的討論中，許多具備紅隊測試經驗的專業人士對此感觸良多。多數觀點認為，實體安全防禦失敗的核心原因不在於技術設備的匱乏，而在於人性與職場文化。一位資深測試員指出，基層員工的薪資與福利往往不足以支撐他們去承擔「守衛公司」的責任。在現行的就業環境下，員工更專注於自身的生計與工作表現，而非質疑陌生人的身份。這種「不關我的事」或「不想顯得太過多疑」的社交壓力，成為了滲透者最容易利用的漏洞。

留言中也分享了許多雷同的實戰案例，進一步印證了「態度決定一切」的論點。有測試員提到，只要提著工具箱、拿著夾板，並表現出一副理所當然屬於這裡的自信態度，甚至主動向警衛打招呼，就能輕易進入管制區域。這種「偽裝成維修人員」的策略在實務上極為有效，因為多數人對於穿著商務休閒裝或工作服、看起來正在執行任務的人會自動降低戒心。

此外，討論也觸及了技術層面的低成本破解手段。例如利用壓縮空氣罐噴出的冷氣體來觸發自動門的紅外線感應器，或是使用簡單的掛鉤工具繞過門鎖。社群共識傾向於認為，除非企業能讓員工感受到保護公司資產與自身利益有直接關聯，否則再精密的監控與門禁系統，也難以抵擋一個帶著自信微笑並推著碎紙桶走過大廳的入侵者。這種現代黑色電影般的敘事風格，也引發了讀者對於實體安全與心理防禦之間巨大鴻溝的深刻反思。

延伸閱讀

在討論串中，有讀者推薦了知名安全專家 Deviant Ollam 與 Howard Payne 關於電梯安全與實體漏洞的演講影片，該資源深入探討了建築物內部設施在設計上的安全盲點。