如今,聯(lián)網(wǎng)安全攝像頭無(wú)處不在——公共場(chǎng)所、組織,甚至私人住宅。到 2021 年,市場(chǎng)估計(jì)約為 50B 美元并迅速增長(zhǎng)。每天,全球都有數(shù)十萬(wàn)個(gè)安全攝像頭安裝和連接。
這些產(chǎn)品正在由制造商快速開(kāi)發(fā),配備智能傳感器和高級(jí)軟件,包括夜視、距離檢測(cè)、熱量和運(yùn)動(dòng)檢測(cè)等功能。另一端是不太先進(jìn)的家用相機(jī),可以通過(guò)智能手機(jī)應(yīng)用程序進(jìn)行管理。
如今,閉路電視(或聯(lián)網(wǎng)安全攝像頭)是網(wǎng)絡(luò)攻擊者滲透企業(yè)網(wǎng)絡(luò)的首選方式之一,因?yàn)樗鼈兲焐资芄簦枪粽咦钊菀椎那腥朦c(diǎn)。在本文中,我將回顧這些聯(lián)網(wǎng)安全攝像頭所涉及的風(fēng)險(xiǎn),并分享一些關(guān)于如何將這些風(fēng)險(xiǎn)降至最低的建議。
讓我們先花點(diǎn)時(shí)間了解攻擊者可以通過(guò)這些攝像頭獲得什么樣的信息,以及為什么它們?nèi)绱祟l繁地成為目標(biāo)。我們今天看到許多組織使用的安全攝像頭是質(zhì)量更高的攝像頭。配備圖像和聲音處理能力。他們的錄音系統(tǒng)提供文本解碼和面部識(shí)別功能。來(lái)自這些攝像頭的信息會(huì)上傳到云端,用于遙測(cè)或從人工智能服務(wù)提供的分析功能中獲取價(jià)值。
通過(guò)安全攝像頭的敏感數(shù)據(jù)可能會(huì)使操作員面臨各種與隱私相關(guān)的問(wèn)題,并引發(fā)對(duì)外國(guó)實(shí)體觀看或收聽(tīng)敏感信息的能力的嚴(yán)重?fù)?dān)憂(yōu)。在美國(guó),已經(jīng)發(fā)布了一項(xiàng)指令,禁止在所有聯(lián)邦機(jī)構(gòu)的站點(diǎn)使用某些安全攝像頭。該指令涉及通信設(shè)備和攝像頭,要求拆除和更換現(xiàn)有設(shè)備。在幾個(gè)歐洲國(guó)家也聽(tīng)到了類(lèi)似的聲音,例如一些相機(jī)可以充當(dāng)主動(dòng)或休眠代理,隨意使用的例子已經(jīng)浮出水面。
攻擊者知道,這些安全攝像頭和記錄設(shè)備包含敏感信息,在右手手中可能非常有利可圖,使它們成為巨大的目標(biāo)。
為什么安全監(jiān)控?cái)z像頭如此困難?
安全攝像頭連接到公司網(wǎng)絡(luò)和 Internet,捕獲大量數(shù)據(jù)并將其傳輸?shù)轿挥诮M織內(nèi)或云中的記錄系統(tǒng)。攝像機(jī)的管理系統(tǒng)可以在內(nèi)部創(chuàng)建和管理,也可以通過(guò)設(shè)備制造商的網(wǎng)站進(jìn)行管理。記錄設(shè)備 (DVR/NVR) 處理視頻,根據(jù)公司政策創(chuàng)建可在公司存儲(chǔ)服務(wù)器 (NAS) 上保存不同時(shí)間段的備份文件。這些服務(wù)器通常在公司域控制器下進(jìn)行管理。
該領(lǐng)域的許多領(lǐng)導(dǎo)者推薦的一種常見(jiàn)做法是連接物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)分離(或至少在網(wǎng)絡(luò)內(nèi)實(shí)現(xiàn)網(wǎng)絡(luò)分段)。然而,要做到這一點(diǎn)對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō)是極其困難的。在他們看來(lái),手動(dòng)執(zhí)行此操作所花費(fèi)的時(shí)間超過(guò)了價(jià)值。此外,這樣做涉及建立和運(yùn)營(yíng)階段的高成本。所以我們剩下的就是選擇或妥協(xié),這些攝像機(jī)保持連接到內(nèi)部網(wǎng)絡(luò)。此外,在較小的組織中,我們經(jīng)常發(fā)現(xiàn)可以無(wú)線(xiàn)訪(fǎng)問(wèn)的單個(gè)網(wǎng)絡(luò)。
這些設(shè)備難以保護(hù)的另一個(gè)原因是大多數(shù)物聯(lián)網(wǎng)設(shè)備默認(rèn)安裝了制造商的固件。這提出了自己的一系列弱點(diǎn);例如源自錯(cuò)誤或糟糕的軟件工程的軟件漏洞。最重要的是,修復(fù)或更新固件總是需要更新代碼。物聯(lián)網(wǎng)設(shè)備制造商無(wú)論如何都不是安全專(zhuān)家,他們中的許多人更喜歡提供精益軟件,同時(shí)跳過(guò)編寫(xiě)安全代碼的關(guān)鍵原則。
這將我們與物聯(lián)網(wǎng)領(lǐng)域的關(guān)系引向何方?
就像我在上面暗示的那樣,許多制造商和軟件提供商并沒(méi)有優(yōu)先考慮在他們的產(chǎn)品中實(shí)現(xiàn)安全要求。數(shù)據(jù)安全的世界被認(rèn)為是復(fù)雜而復(fù)雜的,制造商更愿意專(zhuān)注于改進(jìn)和擴(kuò)展其產(chǎn)品的功能,而不是為產(chǎn)品添加安全層。有時(shí),我們會(huì)發(fā)現(xiàn)缺乏基本安全功能的產(chǎn)品,例如用戶(hù)/密碼管理和加密通信——更不用說(shuō)滲透測(cè)試和漏洞管理了。
與所有軟件開(kāi)發(fā)一樣,制造商使用開(kāi)源軟件包和標(biāo)準(zhǔn)第三方組件,這會(huì)使設(shè)備暴露于這些軟件包產(chǎn)生的已知問(wèn)題。開(kāi)源對(duì)開(kāi)發(fā)人員來(lái)說(shuō)是一個(gè)巨大的優(yōu)勢(shì),但它需要在軟件漏洞發(fā)布時(shí)頻繁更新。不幸的是,物聯(lián)網(wǎng)制造商不一定確保為他們的設(shè)備創(chuàng)建安全補(bǔ)丁。事實(shí)是——安全意識(shí)不足,用戶(hù)對(duì)這些設(shè)備的安全需求不夠強(qiáng)烈。即使在制造商對(duì)其設(shè)備內(nèi)的安全負(fù)責(zé)并定期發(fā)布安全更新的情況下,他們的許多客戶(hù)也很少費(fèi)心去更新他們的設(shè)備。
發(fā)生這種情況的原因有很多。第一個(gè)原因與運(yùn)營(yíng)效率和維護(hù)分布式系統(tǒng)所需的努力有關(guān)。在許多情況下,更新物聯(lián)網(wǎng)設(shè)備上的固件比更新計(jì)算機(jī)軟件更復(fù)雜。仍有一些設(shè)備依賴(lài)于通過(guò) USB 進(jìn)行更新。甚至我們還看到了將設(shè)備安裝在人跡罕至的地方(例如,安裝在柵欄、高桿上或距離管理團(tuán)隊(duì)數(shù)百公里的攝像頭)的情況。此外,軟件更新需要重新啟動(dòng)設(shè)備,由于設(shè)備的關(guān)鍵任務(wù)功能,這可能會(huì)出現(xiàn)問(wèn)題或非常敏感。
對(duì)惡意更新的恐懼也始終存在于腦海中。有許多源自軟件更新的攻擊的真實(shí)示例,例如我們通過(guò) SolarWinds 更新看到的著名供應(yīng)鏈攻擊。在這一切結(jié)束后,我們剩下的是運(yùn)行其原始軟件版本的設(shè)備……多年!
攻擊者如何利用軟件漏洞?
攻擊者通常瞄準(zhǔn)阻力最小的路徑。每個(gè)已知漏洞 (CVE) 都成為網(wǎng)絡(luò)攻擊者滲透組織的潛在武器。從本質(zhì)上講,漏洞通常是在攻擊者暴露它們并且已經(jīng)造成損害之后才發(fā)現(xiàn)的。作為研究項(xiàng)目或論文的一部分,漏洞研究人員充其量只能設(shè)法識(shí)別實(shí)驗(yàn)室環(huán)境中的弱點(diǎn)。研究人員允許制造商在公開(kāi)發(fā)布有關(guān)漏洞的信息之前有 90 天的時(shí)間發(fā)布軟件更新。這對(duì)制造商來(lái)說(shuō)是很短的時(shí)間——這意味著他們必須在漏洞發(fā)布之前停止他們目前正在進(jìn)行的工作并發(fā)布快速更新。
最嚴(yán)重的 CVE 是指遠(yuǎn)程運(yùn)行代碼的能力(RCE - 遠(yuǎn)程代碼執(zhí)行)。這種攻擊允許從任何遠(yuǎn)程位置完全控制設(shè)備,允許攻擊者竊取信息、運(yùn)行勒索軟件、在設(shè)備上安裝數(shù)字貨幣礦工、植入機(jī)器人以允許后續(xù)行動(dòng)等等。當(dāng)攻擊連接到公司網(wǎng)絡(luò)的設(shè)備時(shí),聰明的攻擊者可以訪(fǎng)問(wèn)網(wǎng)絡(luò)上的任何計(jì)算機(jī)并運(yùn)行遠(yuǎn)程命令。隨著時(shí)間的推移,我們看到這種方法變得越來(lái)越復(fù)雜。攻擊者甚至正在滲透組織并決定休眠數(shù)月,直到?jīng)Q定合適的攻擊時(shí)間。
當(dāng)制造商的名稱(chēng)與網(wǎng)絡(luò)攻擊相關(guān)聯(lián)時(shí),會(huì)對(duì)其聲譽(yù)和品牌造成重大損害。 去年 4 月,美國(guó)司法部和歐洲官員設(shè)法獲得了一項(xiàng)名為 RSOCKS 的服務(wù),該服務(wù)由一家俄羅斯集團(tuán)運(yùn)營(yíng),該服務(wù)以“設(shè)備即服務(wù)”的形式提供對(duì)設(shè)備的訪(fǎng)問(wèn)權(quán)限。感染掃描連接到網(wǎng)絡(luò)的設(shè)備并嘗試使用默認(rèn)用戶(hù)名/密碼和暴力攻擊登錄。攻擊者設(shè)法創(chuàng)建了一支由大約 350,000 臺(tái)感染了他們的機(jī)器人的設(shè)備組成的“軍隊(duì)”,并以數(shù)十到數(shù)百美元的價(jià)格出售了對(duì)這些設(shè)備的每日訪(fǎng)問(wèn)權(quán)。(1)
執(zhí)法人員一直在與網(wǎng)絡(luò)攻擊者作戰(zhàn)。盡管他們?nèi)〉昧艘恍┏晒Γ總€(gè)行動(dòng)都需要時(shí)間。然而,事實(shí)是,無(wú)論如何,組織仍然受到攻擊。
監(jiān)管行動(dòng)方式如何?
鑒于最近對(duì)物聯(lián)網(wǎng)設(shè)備的許多攻擊和威脅,法規(guī)和網(wǎng)絡(luò)安全要求不斷發(fā)展,以試圖對(duì)抗這些攻擊。主要標(biāo)準(zhǔn)化組織(ETSI、CISA 和 NIST)已發(fā)布文件,以幫助指導(dǎo)設(shè)備制造商在其設(shè)備中實(shí)施針對(duì)網(wǎng)絡(luò)攻擊的保護(hù)措施。該規(guī)范要求制造商實(shí)施所有基本原則,如用戶(hù)管理、權(quán)限、信息加密和加密通信的使用、漏洞管理和安全更新的發(fā)布。CISA 機(jī)構(gòu)最近發(fā)布了一份文件,旨在幫助利益相關(guān)者在獲取物聯(lián)網(wǎng)設(shè)備、系統(tǒng)和服務(wù)時(shí)納入安全考慮。目前,在消費(fèi)者物聯(lián)網(wǎng)中,法規(guī)尚未強(qiáng)制執(zhí)行網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。但是,有新的舉措進(jìn)入市場(chǎng),例如物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全標(biāo)簽。例如,美國(guó) UL 研究所發(fā)布了物聯(lián)網(wǎng)設(shè)備安全評(píng)級(jí)計(jì)劃,要求制造商說(shuō)明他們的設(shè)備抵御漏洞的能力有多強(qiáng)。
為了安全可以采取什么行動(dòng)?
有幾種方法可以最大限度地減少物聯(lián)網(wǎng)設(shè)備帶來(lái)的網(wǎng)絡(luò)風(fēng)險(xiǎn)。設(shè)備可分為各種類(lèi)別;每個(gè)類(lèi)別包含不同的風(fēng)險(xiǎn)級(jí)別。位居榜首的是具有“眼睛和耳朵”的設(shè)備,如攝像頭、電梯、無(wú)人機(jī),甚至路由器。最佳做法是從公認(rèn)、經(jīng)過(guò)驗(yàn)證且可靠的公司購(gòu)買(mǎi)設(shè)備。實(shí)施應(yīng)嚴(yán)格規(guī)劃,包括對(duì)這些設(shè)備進(jìn)行持續(xù)監(jiān)控、異常識(shí)別和制定更新程序。
以色列國(guó)家網(wǎng)絡(luò)系統(tǒng)最近發(fā)布了一份名為“減少安全攝像頭網(wǎng)絡(luò)風(fēng)險(xiǎn)的建議措施”文件的更新 (4)。該文件包含應(yīng)實(shí)施的重要建議。這些做法有些有效,但并非無(wú)懈可擊,需要網(wǎng)絡(luò)管理員付出巨大努力。在普通組織中,有數(shù)百甚至數(shù)千個(gè)不同型號(hào)的物聯(lián)網(wǎng)設(shè)備,包括智能電視、打印機(jī)、路由器、相機(jī)、電梯、入口大門(mén)、傳感器等。即使是普通家庭也有大約九種不同的物聯(lián)網(wǎng)設(shè)備。
一種先進(jìn)的方法要求制造商在產(chǎn)品開(kāi)發(fā)階段在其產(chǎn)品中實(shí)施網(wǎng)絡(luò)防御。在理想情況下,用戶(hù)應(yīng)該要求設(shè)備制造商更好地解決其產(chǎn)品中的網(wǎng)絡(luò)攻擊,在將每個(gè)產(chǎn)品連接到他們的公司或家庭網(wǎng)絡(luò)之前對(duì)其進(jìn)行徹底測(cè)試。
如前所述,監(jiān)管在不斷發(fā)展。制造商開(kāi)始明白他們不能繼續(xù)忽視網(wǎng)絡(luò)安全要求。然而,這種變化必須得到消費(fèi)者強(qiáng)烈需求的支持。消費(fèi)者需要選擇愿意投資于從一開(kāi)始就阻止攻擊的嵌入式安全保護(hù)的制造商。監(jiān)控已經(jīng)不夠了。在已經(jīng)發(fā)生的攻擊之后檢測(cè)它為時(shí)已晚,并且造成了損害。
