如今,聯網安全攝像頭無處不在——公共場所、組織,甚至私人住宅。到 2021 年,市場估計約為 50B 美元并迅速增長。每天,全球都有數十萬個安全攝像頭安裝和連接。
這些產品正在由制造商快速開發,配備智能傳感器和高級軟件,包括夜視、距離檢測、熱量和運動檢測等功能。另一端是不太先進的家用相機,可以通過智能手機應用程序進行管理。
如今,閉路電視(或聯網安全攝像頭)是網絡攻擊者滲透企業網絡的首選方式之一,因為它們天生易受攻擊,是攻擊者最容易的切入點。在本文中,我將回顧這些聯網安全攝像頭所涉及的風險,并分享一些關于如何將這些風險降至最低的建議。
讓我們先花點時間了解攻擊者可以通過這些攝像頭獲得什么樣的信息,以及為什么它們如此頻繁地成為目標。我們今天看到許多組織使用的安全攝像頭是質量更高的攝像頭。配備圖像和聲音處理能力。他們的錄音系統提供文本解碼和面部識別功能。來自這些攝像頭的信息會上傳到云端,用于遙測或從人工智能服務提供的分析功能中獲取價值。
通過安全攝像頭的敏感數據可能會使操作員面臨各種與隱私相關的問題,并引發對外國實體觀看或收聽敏感信息的能力的嚴重擔憂。在美國,已經發布了一項指令,禁止在所有聯邦機構的站點使用某些安全攝像頭。該指令涉及通信設備和攝像頭,要求拆除和更換現有設備。在幾個歐洲國家也聽到了類似的聲音,例如一些相機可以充當主動或休眠代理,隨意使用的例子已經浮出水面。
攻擊者知道,這些安全攝像頭和記錄設備包含敏感信息,在右手手中可能非常有利可圖,使它們成為巨大的目標。
為什么安全監控攝像頭如此困難?
安全攝像頭連接到公司網絡和 Internet,捕獲大量數據并將其傳輸到位于組織內或云中的記錄系統。攝像機的管理系統可以在內部創建和管理,也可以通過設備制造商的網站進行管理。記錄設備 (DVR/NVR) 處理視頻,根據公司政策創建可在公司存儲服務器 (NAS) 上保存不同時間段的備份文件。這些服務器通常在公司域控制器下進行管理。
該領域的許多領導者推薦的一種常見做法是連接物聯網設備的網絡分離(或至少在網絡內實現網絡分段)。然而,要做到這一點對于網絡管理員來說是極其困難的。在他們看來,手動執行此操作所花費的時間超過了價值。此外,這樣做涉及建立和運營階段的高成本。所以我們剩下的就是選擇或妥協,這些攝像機保持連接到內部網絡。此外,在較小的組織中,我們經常發現可以無線訪問的單個網絡。
這些設備難以保護的另一個原因是大多數物聯網設備默認安裝了制造商的固件。這提出了自己的一系列弱點;例如源自錯誤或糟糕的軟件工程的軟件漏洞。最重要的是,修復或更新固件總是需要更新代碼。物聯網設備制造商無論如何都不是安全專家,他們中的許多人更喜歡提供精益軟件,同時跳過編寫安全代碼的關鍵原則。
這將我們與物聯網領域的關系引向何方?
就像我在上面暗示的那樣,許多制造商和軟件提供商并沒有優先考慮在他們的產品中實現安全要求。數據安全的世界被認為是復雜而復雜的,制造商更愿意專注于改進和擴展其產品的功能,而不是為產品添加安全層。有時,我們會發現缺乏基本安全功能的產品,例如用戶/密碼管理和加密通信——更不用說滲透測試和漏洞管理了。
與所有軟件開發一樣,制造商使用開源軟件包和標準第三方組件,這會使設備暴露于這些軟件包產生的已知問題。開源對開發人員來說是一個巨大的優勢,但它需要在軟件漏洞發布時頻繁更新。不幸的是,物聯網制造商不一定確保為他們的設備創建安全補丁。事實是——安全意識不足,用戶對這些設備的安全需求不夠強烈。即使在制造商對其設備內的安全負責并定期發布安全更新的情況下,他們的許多客戶也很少費心去更新他們的設備。
發生這種情況的原因有很多。第一個原因與運營效率和維護分布式系統所需的努力有關。在許多情況下,更新物聯網設備上的固件比更新計算機軟件更復雜。仍有一些設備依賴于通過 USB 進行更新。甚至我們還看到了將設備安裝在人跡罕至的地方(例如,安裝在柵欄、高桿上或距離管理團隊數百公里的攝像頭)的情況。此外,軟件更新需要重新啟動設備,由于設備的關鍵任務功能,這可能會出現問題或非常敏感。
對惡意更新的恐懼也始終存在于腦海中。有許多源自軟件更新的攻擊的真實示例,例如我們通過 SolarWinds 更新看到的著名供應鏈攻擊。在這一切結束后,我們剩下的是運行其原始軟件版本的設備……多年!
攻擊者如何利用軟件漏洞?
攻擊者通常瞄準阻力最小的路徑。每個已知漏洞 (CVE) 都成為網絡攻擊者滲透組織的潛在武器。從本質上講,漏洞通常是在攻擊者暴露它們并且已經造成損害之后才發現的。作為研究項目或論文的一部分,漏洞研究人員充其量只能設法識別實驗室環境中的弱點。研究人員允許制造商在公開發布有關漏洞的信息之前有 90 天的時間發布軟件更新。這對制造商來說是很短的時間——這意味著他們必須在漏洞發布之前停止他們目前正在進行的工作并發布快速更新。
最嚴重的 CVE 是指遠程運行代碼的能力(RCE - 遠程代碼執行)。這種攻擊允許從任何遠程位置完全控制設備,允許攻擊者竊取信息、運行勒索軟件、在設備上安裝數字貨幣礦工、植入機器人以允許后續行動等等。當攻擊連接到公司網絡的設備時,聰明的攻擊者可以訪問網絡上的任何計算機并運行遠程命令。隨著時間的推移,我們看到這種方法變得越來越復雜。攻擊者甚至正在滲透組織并決定休眠數月,直到決定合適的攻擊時間。
當制造商的名稱與網絡攻擊相關聯時,會對其聲譽和品牌造成重大損害。 去年 4 月,美國司法部和歐洲官員設法獲得了一項名為 RSOCKS 的服務,該服務由一家俄羅斯集團運營,該服務以“設備即服務”的形式提供對設備的訪問權限。感染掃描連接到網絡的設備并嘗試使用默認用戶名/密碼和暴力攻擊登錄。攻擊者設法創建了一支由大約 350,000 臺感染了他們的機器人的設備組成的“軍隊”,并以數十到數百美元的價格出售了對這些設備的每日訪問權。(1)
執法人員一直在與網絡攻擊者作戰。盡管他們取得了一些成功,但每個行動都需要時間。然而,事實是,無論如何,組織仍然受到攻擊。
監管行動方式如何?
鑒于最近對物聯網設備的許多攻擊和威脅,法規和網絡安全要求不斷發展,以試圖對抗這些攻擊。主要標準化組織(ETSI、CISA 和 NIST)已發布文件,以幫助指導設備制造商在其設備中實施針對網絡攻擊的保護措施。該規范要求制造商實施所有基本原則,如用戶管理、權限、信息加密和加密通信的使用、漏洞管理和安全更新的發布。CISA 機構最近發布了一份文件,旨在幫助利益相關者在獲取物聯網設備、系統和服務時納入安全考慮。目前,在消費者物聯網中,法規尚未強制執行網絡安全標準。但是,有新的舉措進入市場,例如物聯網設備的網絡安全標簽。例如,美國 UL 研究所發布了物聯網設備安全評級計劃,要求制造商說明他們的設備抵御漏洞的能力有多強。
為了安全可以采取什么行動?
有幾種方法可以最大限度地減少物聯網設備帶來的網絡風險。設備可分為各種類別;每個類別包含不同的風險級別。位居榜首的是具有“眼睛和耳朵”的設備,如攝像頭、電梯、無人機,甚至路由器。最佳做法是從公認、經過驗證且可靠的公司購買設備。實施應嚴格規劃,包括對這些設備進行持續監控、異常識別和制定更新程序。
以色列國家網絡系統最近發布了一份名為“減少安全攝像頭網絡風險的建議措施”文件的更新 (4)。該文件包含應實施的重要建議。這些做法有些有效,但并非無懈可擊,需要網絡管理員付出巨大努力。在普通組織中,有數百甚至數千個不同型號的物聯網設備,包括智能電視、打印機、路由器、相機、電梯、入口大門、傳感器等。即使是普通家庭也有大約九種不同的物聯網設備。
一種先進的方法要求制造商在產品開發階段在其產品中實施網絡防御。在理想情況下,用戶應該要求設備制造商更好地解決其產品中的網絡攻擊,在將每個產品連接到他們的公司或家庭網絡之前對其進行徹底測試。
如前所述,監管在不斷發展。制造商開始明白他們不能繼續忽視網絡安全要求。然而,這種變化必須得到消費者強烈需求的支持。消費者需要選擇愿意投資于從一開始就阻止攻擊的嵌入式安全保護的制造商。監控已經不夠了。在已經發生的攻擊之后檢測它為時已晚,并且造成了損害。
