如今,联网安全摄像头无处不在——公共场所、组织,甚至私人住宅。到 2021 年,市场估计约为 50B 美元并迅速增长。每天,全球都有数十万个安全摄像头安装和连接。
这些产品正在由制造商快速开发,配备智能传感器和高级软件,包括夜视、距离检测、热量和运动检测等功能。另一端是不太先进的家用相机,可以通过智能手机应用程序进行管理。
如今,闭路电视(或联网安全摄像头)是网络攻击者渗透企业网络的首选方式之一,因为它们天生易受攻击,是攻击者最容易的切入点。在本文中,我将回顾这些联网安全摄像头所涉及的风险,并分享一些关于如何将这些风险降至最低的建议。
让我们先花点时间了解攻击者可以通过这些摄像头获得什么样的信息,以及为什么它们如此频繁地成为目标。我们今天看到许多组织使用的安全摄像头是质量更高的摄像头。配备图像和声音处理能力。他们的录音系统提供文本解码和面部识别功能。来自这些摄像头的信息会上传到云端,用于遥测或从人工智能服务提供的分析功能中获取价值。
通过安全摄像头的敏感数据可能会使操作员面临各种与隐私相关的问题,并引发对外国实体观看或收听敏感信息的能力的严重担忧。在美国,已经发布了一项指令,禁止在所有联邦机构的站点使用某些安全摄像头。该指令涉及通信设备和摄像头,要求拆除和更换现有设备。在几个欧洲国家也听到了类似的声音,例如一些相机可以充当主动或休眠代理,随意使用的例子已经浮出水面。
攻击者知道,这些安全摄像头和记录设备包含敏感信息,在右手手中可能非常有利可图,使它们成为巨大的目标。
为什么安全监控摄像头如此困难?
安全摄像头连接到公司网络和 Internet,捕获大量数据并将其传输到位于组织内或云中的记录系统。摄像机的管理系统可以在内部创建和管理,也可以通过设备制造商的网站进行管理。记录设备 (DVR/NVR) 处理视频,根据公司政策创建可在公司存储服务器 (NAS) 上保存不同时间段的备份文件。这些服务器通常在公司域控制器下进行管理。
该领域的许多领导者推荐的一种常见做法是连接物联网设备的网络分离(或至少在网络内实现网络分段)。然而,要做到这一点对于网络管理员来说是极其困难的。在他们看来,手动执行此操作所花费的时间超过了价值。此外,这样做涉及建立和运营阶段的高成本。所以我们剩下的就是选择或妥协,这些摄像机保持连接到内部网络。此外,在较小的组织中,我们经常发现可以无线访问的单个网络。
这些设备难以保护的另一个原因是大多数物联网设备默认安装了制造商的固件。这提出了自己的一系列弱点;例如源自错误或糟糕的软件工程的软件漏洞。最重要的是,修复或更新固件总是需要更新代码。物联网设备制造商无论如何都不是安全专家,他们中的许多人更喜欢提供精益软件,同时跳过编写安全代码的关键原则。
这将我们与物联网领域的关系引向何方?
就像我在上面暗示的那样,许多制造商和软件提供商并没有优先考虑在他们的产品中实现安全要求。数据安全的世界被认为是复杂而复杂的,制造商更愿意专注于改进和扩展其产品的功能,而不是为产品添加安全层。有时,我们会发现缺乏基本安全功能的产品,例如用户/密码管理和加密通信——更不用说渗透测试和漏洞管理了。
与所有软件开发一样,制造商使用开源软件包和标准第三方组件,这会使设备暴露于这些软件包产生的已知问题。开源对开发人员来说是一个巨大的优势,但它需要在软件漏洞发布时频繁更新。不幸的是,物联网制造商不一定确保为他们的设备创建安全补丁。事实是——安全意识不足,用户对这些设备的安全需求不够强烈。即使在制造商对其设备内的安全负责并定期发布安全更新的情况下,他们的许多客户也很少费心去更新他们的设备。
发生这种情况的原因有很多。第一个原因与运营效率和维护分布式系统所需的努力有关。在许多情况下,更新物联网设备上的固件比更新计算机软件更复杂。仍有一些设备依赖于通过 USB 进行更新。甚至我们还看到了将设备安装在人迹罕至的地方(例如,安装在栅栏、高杆上或距离管理团队数百公里的摄像头)的情况。此外,软件更新需要重新启动设备,由于设备的关键任务功能,这可能会出现问题或非常敏感。
对恶意更新的恐惧也始终存在于脑海中。有许多源自软件更新的攻击的真实示例,例如我们通过 SolarWinds 更新看到的著名供应链攻击。在这一切结束后,我们剩下的是运行其原始软件版本的设备……多年!
攻击者如何利用软件漏洞?
攻击者通常瞄准阻力最小的路径。每个已知漏洞 (CVE) 都成为网络攻击者渗透组织的潜在武器。从本质上讲,漏洞通常是在攻击者暴露它们并且已经造成损害之后才发现的。作为研究项目或论文的一部分,漏洞研究人员充其量只能设法识别实验室环境中的弱点。研究人员允许制造商在公开发布有关漏洞的信息之前有 90 天的时间发布软件更新。这对制造商来说是很短的时间——这意味着他们必须在漏洞发布之前停止他们目前正在进行的工作并发布快速更新。
最严重的 CVE 是指远程运行代码的能力(RCE - 远程代码执行)。这种攻击允许从任何远程位置完全控制设备,允许攻击者窃取信息、运行勒索软件、在设备上安装数字货币矿工、植入机器人以允许后续行动等等。当攻击连接到公司网络的设备时,聪明的攻击者可以访问网络上的任何计算机并运行远程命令。随着时间的推移,我们看到这种方法变得越来越复杂。攻击者甚至正在渗透组织并决定休眠数月,直到决定合适的攻击时间。
当制造商的名称与网络攻击相关联时,会对其声誉和品牌造成重大损害。 去年 4 月,美国司法部和欧洲官员设法获得了一项名为 RSOCKS 的服务,该服务由一家俄罗斯集团运营,该服务以“设备即服务”的形式提供对设备的访问权限。感染扫描连接到网络的设备并尝试使用默认用户名/密码和暴力攻击登录。攻击者设法创建了一支由大约 350,000 台感染了他们的机器人的设备组成的“军队”,并以数十到数百美元的价格出售了对这些设备的每日访问权。(1)
执法人员一直在与网络攻击者作战。尽管他们取得了一些成功,但每个行动都需要时间。然而,事实是,无论如何,组织仍然受到攻击。
监管行动方式如何?
鉴于最近对物联网设备的许多攻击和威胁,法规和网络安全要求不断发展,以试图对抗这些攻击。主要标准化组织(ETSI、CISA 和 NIST)已发布文件,以帮助指导设备制造商在其设备中实施针对网络攻击的保护措施。该规范要求制造商实施所有基本原则,如用户管理、权限、信息加密和加密通信的使用、漏洞管理和安全更新的发布。CISA 机构最近发布了一份文件,旨在帮助利益相关者在获取物联网设备、系统和服务时纳入安全考虑。目前,在消费者物联网中,法规尚未强制执行网络安全标准。但是,有新的举措进入市场,例如物联网设备的网络安全标签。例如,美国 UL 研究所发布了物联网设备安全评级计划,要求制造商说明他们的设备抵御漏洞的能力有多强。
为了安全可以采取什么行动?
有几种方法可以最大限度地减少物联网设备带来的网络风险。设备可分为各种类别;每个类别包含不同的风险级别。位居榜首的是具有“眼睛和耳朵”的设备,如摄像头、电梯、无人机,甚至路由器。最佳做法是从公认、经过验证且可靠的公司购买设备。实施应严格规划,包括对这些设备进行持续监控、异常识别和制定更新程序。
以色列国家网络系统最近发布了一份名为“减少安全摄像头网络风险的建议措施”文件的更新 (4)。该文件包含应实施的重要建议。这些做法有些有效,但并非无懈可击,需要网络管理员付出巨大努力。在普通组织中,有数百甚至数千个不同型号的物联网设备,包括智能电视、打印机、路由器、相机、电梯、入口大门、传感器等。即使是普通家庭也有大约九种不同的物联网设备。
一种先进的方法要求制造商在产品开发阶段在其产品中实施网络防御。在理想情况下,用户应该要求设备制造商更好地解决其产品中的网络攻击,在将每个产品连接到他们的公司或家庭网络之前对其进行彻底测试。
如前所述,监管在不断发展。制造商开始明白他们不能继续忽视网络安全要求。然而,这种变化必须得到消费者强烈需求的支持。消费者需要选择愿意投资于从一开始就阻止攻击的嵌入式安全保护的制造商。监控已经不够了。在已经发生的攻击之后检测它为时已晚,并且造成了损害。
