如今,聯(lián)網(wǎng)安全攝像頭無處不在——公共場所、組織,甚至私人住宅。到 2021 年,市場估計約為 50B 美元并迅速增長。每天,全球都有數(shù)十萬個安全攝像頭安裝和連接。
這些產(chǎn)品正在由制造商快速開發(fā),配備智能傳感器和高級軟件,包括夜視、距離檢測、熱量和運動檢測等功能。另一端是不太先進的家用相機,可以通過智能手機應(yīng)用程序進行管理。
如今,閉路電視(或聯(lián)網(wǎng)安全攝像頭)是網(wǎng)絡(luò)攻擊者滲透企業(yè)網(wǎng)絡(luò)的首選方式之一,因為它們天生易受攻擊,是攻擊者最容易的切入點。在本文中,我將回顧這些聯(lián)網(wǎng)安全攝像頭所涉及的風險,并分享一些關(guān)于如何將這些風險降至最低的建議。
讓我們先花點時間了解攻擊者可以通過這些攝像頭獲得什么樣的信息,以及為什么它們?nèi)绱祟l繁地成為目標。我們今天看到許多組織使用的安全攝像頭是質(zhì)量更高的攝像頭。配備圖像和聲音處理能力。他們的錄音系統(tǒng)提供文本解碼和面部識別功能。來自這些攝像頭的信息會上傳到云端,用于遙測或從人工智能服務(wù)提供的分析功能中獲取價值。
通過安全攝像頭的敏感數(shù)據(jù)可能會使操作員面臨各種與隱私相關(guān)的問題,并引發(fā)對外國實體觀看或收聽敏感信息的能力的嚴重擔憂。在美國,已經(jīng)發(fā)布了一項指令,禁止在所有聯(lián)邦機構(gòu)的站點使用某些安全攝像頭。該指令涉及通信設(shè)備和攝像頭,要求拆除和更換現(xiàn)有設(shè)備。在幾個歐洲國家也聽到了類似的聲音,例如一些相機可以充當主動或休眠代理,隨意使用的例子已經(jīng)浮出水面。
攻擊者知道,這些安全攝像頭和記錄設(shè)備包含敏感信息,在右手手中可能非常有利可圖,使它們成為巨大的目標。
為什么安全監(jiān)控攝像頭如此困難?
安全攝像頭連接到公司網(wǎng)絡(luò)和 Internet,捕獲大量數(shù)據(jù)并將其傳輸?shù)轿挥诮M織內(nèi)或云中的記錄系統(tǒng)。攝像機的管理系統(tǒng)可以在內(nèi)部創(chuàng)建和管理,也可以通過設(shè)備制造商的網(wǎng)站進行管理。記錄設(shè)備 (DVR/NVR) 處理視頻,根據(jù)公司政策創(chuàng)建可在公司存儲服務(wù)器 (NAS) 上保存不同時間段的備份文件。這些服務(wù)器通常在公司域控制器下進行管理。
該領(lǐng)域的許多領(lǐng)導(dǎo)者推薦的一種常見做法是連接物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)分離(或至少在網(wǎng)絡(luò)內(nèi)實現(xiàn)網(wǎng)絡(luò)分段)。然而,要做到這一點對于網(wǎng)絡(luò)管理員來說是極其困難的。在他們看來,手動執(zhí)行此操作所花費的時間超過了價值。此外,這樣做涉及建立和運營階段的高成本。所以我們剩下的就是選擇或妥協(xié),這些攝像機保持連接到內(nèi)部網(wǎng)絡(luò)。此外,在較小的組織中,我們經(jīng)常發(fā)現(xiàn)可以無線訪問的單個網(wǎng)絡(luò)。
這些設(shè)備難以保護的另一個原因是大多數(shù)物聯(lián)網(wǎng)設(shè)備默認安裝了制造商的固件。這提出了自己的一系列弱點;例如源自錯誤或糟糕的軟件工程的軟件漏洞。最重要的是,修復(fù)或更新固件總是需要更新代碼。物聯(lián)網(wǎng)設(shè)備制造商無論如何都不是安全專家,他們中的許多人更喜歡提供精益軟件,同時跳過編寫安全代碼的關(guān)鍵原則。
這將我們與物聯(lián)網(wǎng)領(lǐng)域的關(guān)系引向何方?
就像我在上面暗示的那樣,許多制造商和軟件提供商并沒有優(yōu)先考慮在他們的產(chǎn)品中實現(xiàn)安全要求。數(shù)據(jù)安全的世界被認為是復(fù)雜而復(fù)雜的,制造商更愿意專注于改進和擴展其產(chǎn)品的功能,而不是為產(chǎn)品添加安全層。有時,我們會發(fā)現(xiàn)缺乏基本安全功能的產(chǎn)品,例如用戶/密碼管理和加密通信——更不用說滲透測試和漏洞管理了。
與所有軟件開發(fā)一樣,制造商使用開源軟件包和標準第三方組件,這會使設(shè)備暴露于這些軟件包產(chǎn)生的已知問題。開源對開發(fā)人員來說是一個巨大的優(yōu)勢,但它需要在軟件漏洞發(fā)布時頻繁更新。不幸的是,物聯(lián)網(wǎng)制造商不一定確保為他們的設(shè)備創(chuàng)建安全補丁。事實是——安全意識不足,用戶對這些設(shè)備的安全需求不夠強烈。即使在制造商對其設(shè)備內(nèi)的安全負責并定期發(fā)布安全更新的情況下,他們的許多客戶也很少費心去更新他們的設(shè)備。
發(fā)生這種情況的原因有很多。第一個原因與運營效率和維護分布式系統(tǒng)所需的努力有關(guān)。在許多情況下,更新物聯(lián)網(wǎng)設(shè)備上的固件比更新計算機軟件更復(fù)雜。仍有一些設(shè)備依賴于通過 USB 進行更新。甚至我們還看到了將設(shè)備安裝在人跡罕至的地方(例如,安裝在柵欄、高桿上或距離管理團隊數(shù)百公里的攝像頭)的情況。此外,軟件更新需要重新啟動設(shè)備,由于設(shè)備的關(guān)鍵任務(wù)功能,這可能會出現(xiàn)問題或非常敏感。
對惡意更新的恐懼也始終存在于腦海中。有許多源自軟件更新的攻擊的真實示例,例如我們通過 SolarWinds 更新看到的著名供應(yīng)鏈攻擊。在這一切結(jié)束后,我們剩下的是運行其原始軟件版本的設(shè)備……多年!
攻擊者如何利用軟件漏洞?
攻擊者通常瞄準阻力最小的路徑。每個已知漏洞 (CVE) 都成為網(wǎng)絡(luò)攻擊者滲透組織的潛在武器。從本質(zhì)上講,漏洞通常是在攻擊者暴露它們并且已經(jīng)造成損害之后才發(fā)現(xiàn)的。作為研究項目或論文的一部分,漏洞研究人員充其量只能設(shè)法識別實驗室環(huán)境中的弱點。研究人員允許制造商在公開發(fā)布有關(guān)漏洞的信息之前有 90 天的時間發(fā)布軟件更新。這對制造商來說是很短的時間——這意味著他們必須在漏洞發(fā)布之前停止他們目前正在進行的工作并發(fā)布快速更新。
最嚴重的 CVE 是指遠程運行代碼的能力(RCE - 遠程代碼執(zhí)行)。這種攻擊允許從任何遠程位置完全控制設(shè)備,允許攻擊者竊取信息、運行勒索軟件、在設(shè)備上安裝數(shù)字貨幣礦工、植入機器人以允許后續(xù)行動等等。當攻擊連接到公司網(wǎng)絡(luò)的設(shè)備時,聰明的攻擊者可以訪問網(wǎng)絡(luò)上的任何計算機并運行遠程命令。隨著時間的推移,我們看到這種方法變得越來越復(fù)雜。攻擊者甚至正在滲透組織并決定休眠數(shù)月,直到?jīng)Q定合適的攻擊時間。
當制造商的名稱與網(wǎng)絡(luò)攻擊相關(guān)聯(lián)時,會對其聲譽和品牌造成重大損害。 去年 4 月,美國司法部和歐洲官員設(shè)法獲得了一項名為 RSOCKS 的服務(wù),該服務(wù)由一家俄羅斯集團運營,該服務(wù)以“設(shè)備即服務(wù)”的形式提供對設(shè)備的訪問權(quán)限。感染掃描連接到網(wǎng)絡(luò)的設(shè)備并嘗試使用默認用戶名/密碼和暴力攻擊登錄。攻擊者設(shè)法創(chuàng)建了一支由大約 350,000 臺感染了他們的機器人的設(shè)備組成的“軍隊”,并以數(shù)十到數(shù)百美元的價格出售了對這些設(shè)備的每日訪問權(quán)。(1)
執(zhí)法人員一直在與網(wǎng)絡(luò)攻擊者作戰(zhàn)。盡管他們?nèi)〉昧艘恍┏晒Γ總€行動都需要時間。然而,事實是,無論如何,組織仍然受到攻擊。
監(jiān)管行動方式如何?
鑒于最近對物聯(lián)網(wǎng)設(shè)備的許多攻擊和威脅,法規(guī)和網(wǎng)絡(luò)安全要求不斷發(fā)展,以試圖對抗這些攻擊。主要標準化組織(ETSI、CISA 和 NIST)已發(fā)布文件,以幫助指導(dǎo)設(shè)備制造商在其設(shè)備中實施針對網(wǎng)絡(luò)攻擊的保護措施。該規(guī)范要求制造商實施所有基本原則,如用戶管理、權(quán)限、信息加密和加密通信的使用、漏洞管理和安全更新的發(fā)布。CISA 機構(gòu)最近發(fā)布了一份文件,旨在幫助利益相關(guān)者在獲取物聯(lián)網(wǎng)設(shè)備、系統(tǒng)和服務(wù)時納入安全考慮。目前,在消費者物聯(lián)網(wǎng)中,法規(guī)尚未強制執(zhí)行網(wǎng)絡(luò)安全標準。但是,有新的舉措進入市場,例如物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全標簽。例如,美國 UL 研究所發(fā)布了物聯(lián)網(wǎng)設(shè)備安全評級計劃,要求制造商說明他們的設(shè)備抵御漏洞的能力有多強。
為了安全可以采取什么行動?
有幾種方法可以最大限度地減少物聯(lián)網(wǎng)設(shè)備帶來的網(wǎng)絡(luò)風險。設(shè)備可分為各種類別;每個類別包含不同的風險級別。位居榜首的是具有“眼睛和耳朵”的設(shè)備,如攝像頭、電梯、無人機,甚至路由器。最佳做法是從公認、經(jīng)過驗證且可靠的公司購買設(shè)備。實施應(yīng)嚴格規(guī)劃,包括對這些設(shè)備進行持續(xù)監(jiān)控、異常識別和制定更新程序。
以色列國家網(wǎng)絡(luò)系統(tǒng)最近發(fā)布了一份名為“減少安全攝像頭網(wǎng)絡(luò)風險的建議措施”文件的更新 (4)。該文件包含應(yīng)實施的重要建議。這些做法有些有效,但并非無懈可擊,需要網(wǎng)絡(luò)管理員付出巨大努力。在普通組織中,有數(shù)百甚至數(shù)千個不同型號的物聯(lián)網(wǎng)設(shè)備,包括智能電視、打印機、路由器、相機、電梯、入口大門、傳感器等。即使是普通家庭也有大約九種不同的物聯(lián)網(wǎng)設(shè)備。
一種先進的方法要求制造商在產(chǎn)品開發(fā)階段在其產(chǎn)品中實施網(wǎng)絡(luò)防御。在理想情況下,用戶應(yīng)該要求設(shè)備制造商更好地解決其產(chǎn)品中的網(wǎng)絡(luò)攻擊,在將每個產(chǎn)品連接到他們的公司或家庭網(wǎng)絡(luò)之前對其進行徹底測試。
如前所述,監(jiān)管在不斷發(fā)展。制造商開始明白他們不能繼續(xù)忽視網(wǎng)絡(luò)安全要求。然而,這種變化必須得到消費者強烈需求的支持。消費者需要選擇愿意投資于從一開始就阻止攻擊的嵌入式安全保護的制造商。監(jiān)控已經(jīng)不夠了。在已經(jīng)發(fā)生的攻擊之后檢測它為時已晚,并且造成了損害。
