cookieOptions = {...}; ‧ 保護物聯網生態系統中的 IP 監控攝影機 - 3S Market「全球智慧科技應用」市場資訊網

3S MARKET

3S MARKET
2021年7月19日 星期一

 

Hacking your Home: How safe is the Internet of Things? – IoT Security

入侵你的家:物聯網有多安全?



TREND MICRO

保護網絡攝像機物聯網作者:Jeffrey Cheng(趨勢科技物聯網安全)

連接到物聯網 (IoT) 的設備的安全性一直是一個熱門話題,尤其是網路協議 (IP) 監控攝影機,已成為越來越受到審查的主題。

IP 攝影機由於其相對較高的計算能力,和良好的網路流量吞吐量,已成為駭客的首要目標。一個典型的例子是 2016 年底發生的事件,當時一個名為 Mirai 的 Linux 殭屍網路,被用來促成歷史上最大的分佈式拒絕服務 (DDoS) 攻擊。

其結果是,數據包流有經驗的爆發高達 50 倍高於其正常體積,估計在 1.2 Tbps 的紀錄高位網路流量。流量是由遠端命令觸發的,被劫持的設備主要是 IP 監控攝影機。

此後,多種類似 Mirai 的惡意軟體變種浮出水面,以進一步利用易受攻擊的 IP 監控攝影機。理所當然地,網路安全現在正成為 IP 監控設備的主要考慮因素,例如,一些政府已經在製訂法規以提升網路安全實施。它正在成為 IP 監控攝影機市場,新的決定性因素。

瞄準 IP 監控攝影機的動機

駭客攻擊物聯網設備的主要動機之一,是經濟利益。在貨幣化方面,IP 監控攝影機是不同的目標,原因如下:

  • 持續連接像許多其他設備一樣,IP 攝影機需要連接到網路才能正常工作。但是,接觸網路也使駭客很容易找到攝影機,並可能利用這些設備。一旦被駭客入侵,這些設備將能夠滿足駭客的需求。
  • 低駭客投資與入侵 PC 不同的是,一旦駭客發現了一種可以破壞物聯網設備(如 IP 攝影機)安全性的方法,通常可以將相同的方法,應用於類似型號的其他設備,從而使每台設備的駭客攻擊成本非常低。
  • 缺乏監督與PC,尤其是辦公室使用的PC 不同,IP 攝影機的用戶交互較少,並且在安全性方面管理不善。也無法安裝售後反惡意軟體應用。
  • 高性能IP 監控攝影機的空閒計算能力,通常足以執行與駭客相關的任務,例如加密貨幣挖掘,並且不會被最終用戶注意到。
  • 面向網路的高頻寬專為影像通信而設計的始終連接、快速和巨大的頻寬,使駭客成為發起 DDoS 攻擊的合適目標。

典型的攻擊鏈

圍繞 IP 監控攝影機的典型攻擊鏈,包括以下步驟。

網絡攝像機安全

1.初次感染在找到具有開放端口(例如 Telnet、Secure Shell 和通用即插即用 (UPnP))的設備後,攻擊者使用設備的默認憑據(如 Mirai)或利用未修補的系統漏洞(如 Persirai 和 Reaper)獲取訪問控制。

2.命令第二控制在獲得設備控制權後,攻擊者下載並執行向命令與控制 (C&C) 伺服器報告的惡意腳本或樣本。該服務器發出命令,指示受影響的 IP 攝影機執行惡意活動,例如透過用戶數據報協議泛洪對其他設備進行加密貨幣挖掘或 DDoS 攻擊。

3.傳播根據其種類,所使用的惡意軟體可以掃描網路,並採用相同的感染方法,將自身傳播到其他易受攻擊的設備。攻擊者可以自動觸發此操作(如蠕蟲殭屍網路的情況),也可以透過接收來自 C&C 伺服器的指令手動觸發。

公共和封閉網路的風險

傳統的自助 (DIY) 消費市場中,提供的大多數家用 IP 攝影機都直接連接到網路。這意味著家庭 IP 攝影機,以與家庭中的個人電腦,非常相似的水平暴露於網路,但缺乏用戶安裝安全軟體的能力。儘管家用 IP 攝影機僅佔所有已安裝設備的一小部分,但由於其價格越來越便宜,且大眾可訪問,它們構成了一個快速成長的市場。

另一方面,許多人聲稱 IP 攝影機不會受到這種程度的風險,因為大多數產品通常是為企業設計的,這些企業基本上將 IP 攝影機佈署在局域網中,並且無法在網路上搜索到。這種說法可能成立,但它可能忽略了幾個現實世界的因素:

  • 系統整合商可能不會按預期安裝 IP 攝影機。在許多情況下,人們只是選擇更方便的方法,來安裝所有東西,並使設備正常工作。易於維護是他們這樣做的另一個動力。這就解釋了,為什麼仍然可以找到,許多應該留在局域網中的 IP 攝影機的 IP 地址。
  • 圍繞 IP 攝影機的商業模式,正在發生變化。服務提供商正在使用 IP 攝影機來運行定制服務(例如老人護理),並且使攝影機在網路上,可用是用戶和遠端操作員,同時根據需要訪問攝影機的最簡單方法。
  • 影像分析功能等現代增值功能通常佈署在雲中,以降低整體硬體和軟體成本,可以靈活地打開或關閉特定功能,或添加新功能,而不管攝影機的硬體性能如何.

將 IP 攝影機連接到整個網路,是一個明顯的趨勢。鑑於全球佈署的 IP 攝影機數量相當可觀,一小部分暴露在公共領域的 IP 攝影機可以成為駭客的巨大誘因。

另一件需要考慮的事情,是網路隔離如何成為經常提到的網路安全方法之一。但是,在局域網中並不能保證 IP 攝影機免受駭客攻擊。一方面,精心設計的惡意軟體,可以很容易地在局域網中傳播,任何帶入同一局域網的便攜式設備,都可以很容易地變成感染媒介。以臭名昭著的 Mirai 殭屍網路為例:基於 Windows 的木馬,在分發它方面發揮著重要作用,即使目標是在 Linux 上運行的 IP 攝影機。

IP 攝影機的分層防禦

IP 攝影機提供的完整功能,通常包括攝影機本身、網路功能和雲端服務。為了提供一個安全的產品,製造商需要實現一個總體方針安全策略 - 從設備到雲端計算:

1. IP 攝影機硬體由於發現系統漏洞,是駭客入侵 IP 攝影機的最關鍵因素之一,因此業界領先的製造商密切關注,對產品的韌體進行監控,並修補易受攻擊的系統組件。但是,為了提高安全性,可以應用進一步的增強功能,例如:

  • 強制更改默認憑據。
  • 應用安全啟動以防止受損設備運行。
  • 如有必要,實施韌體無線 (FOTA) 更新以修補問題。
  • 如果沒有必要,通過最小化設備上的開放端口來採用最少功能原則

2. 網路在封閉網路中佈署 IP 攝影機,已經是一種高度採用的機制,可確保更高的安全級別。虛擬專用網路 (VPN) 可用於透過安全連接啟用遠端訪問。其他與網端相關的安全實現包括:

  • 加密連接以阻止妥協嘗試。
  • 與安全隧道連接。
  • 使用硬體組件來儲存加密密鑰。
3. 雲端服務提供的功能越多,雲端安全就變得越重要。從好的方面來說,許多(如果不是大多數)服務提供商已經意識到這一點。大多數領先的服務提供商,都對其雲基礎架構,提供了足夠的保護。高度整合的安全產品,包括 Trend Micro 的產品,在雲環境中也發揮著重要作用。

物聯網安全責任和共同責任

與其他物聯網設備一樣,完整的基於 IP 攝像頭的應用程序中有很多活動部件。因此,在發生安全事件時,任何人都不能也不應該承擔全部責任。從網路安全的角度來看,我們相信每個人都可以,在充分實現安全方面發揮作用。

IP 監控系統的傳統商業模式,是一次性付款。在 DIY 市場中,最終用戶只需購買 IP 攝影機,並將其安裝在現有網路環境中。更複雜的案例將引入系統整合商,他們基本上為用戶處理所有事情,包括選擇正確的硬體、將它們固定在所需的位置、將它們連接到外發路由器,以及設置網路。如果未考慮維護合同,這也是一次性付款。

隨著越來越多的各方,試圖透過 IP 監控服務獲利,許多不同的商業模式應運而生,以滿足不同的需求。監控服務提供商現在向用戶收取月費,而不是一次性付款,網路服務提供商 (ISP) 也是如此。

該業務的新參與者,不僅為用戶提供影像監控系統,還提供雲端錄影,和各種智慧功能等增值服務。至此,這個行業的參與方之間的界限越來越模糊。例如,Nest 不僅是 Nest Cam™ 安全攝影機的製造商,而且還是促進相關雲記錄服務的服務提供商。

無論行業中的所有工作組件如何,都有一群人和實體在監控系統的網路安全中,發揮著關鍵作用:

  • 設備製造商負責任的製造商,應始終牢記設計和交付的每個功能的安全考慮。有人可能會爭辯說,用戶經常忽略或忘記採取基本的安全措施,而這可能正是當今世界廣泛傳播惡意軟體的根本原因。各國政府現在正在關注這一點,並正在努力以他們的權力,強制執行一定級別的安全實施。由美國政府營運的工業控制系統網路應急響應小組 (ICS-CERT) 不時披露現有 IP 攝影機產品的系統漏洞,以提高網路安全問題的可見性。此外,台灣政府全球至少有四分之一的 IP 攝影機是在該地區生產的,該公司正在起草一系列,目的在確保設備網路安全的法規。像 UL 這樣的安全科學公司也在致力於他們的網路安全驗證計劃,以進一步了解網路安全實施。
  • 服務供應商那些使用 IP 攝影機建構系統並運行其服務的人,應該對系統級別的網路安全負責。透過整合 IP 攝影機的基本功能,和其他高階功能,服務提供商基本上塑造了整個系統 —— 從設備到網路再到雲。服務提供商和整合商不僅將事情放在一起,而且還確保設備和系統,在整個使用壽命期間按預期運行。正如他們應該的那樣,服務提供商必須優先考慮網路安全以及承諾的功能。
  • 系統整合商設置硬體和軟體,並啟動一切以啟動監控系統服務的人員,也對應用安全起到了作用。最少功能原則是這裡的關鍵準則,目標是啟用盡可能多的功能。未使用的功能,尤其是開放端口等網路功能,通常是駭客的捷徑。
  • 終端用戶IP 攝影機產品通常有安全指南或使用者手冊。通讀它並按照指示設置攝影機在網路安全中,起著非常重要的作用。例如,Mirai 的成功,主要歸功於更改默認密碼的失敗。

確定安全的角色和職責不是知道一個人是誰的問題,而是知道個人做什麼的問題在 DIY 市場,家庭用戶也扮演著系統整合商的角色。同樣,IP 攝影機供應商,不僅扮演設備製造商的角色,還扮演服務提供商的角色,因為所有應用和雲端服務,也是由供應商自己開發和維護的。

在我們能想到的所有場景中,我們發現透過將所涉及的實體,映射到上述四個角色中,任何的一個來傳達安全責任,和責任很容易。

成本與收益

對於聯網設備製造商來說,安全性是一個常見問題 —— IP 攝影機硬體製造商也不例外。可以肯定的是,添加的網路安全實施越多,物料清單 (BOM) 清單中,成本的增加就越明顯。

另一方面,由於網路安全現在是業界乃至終端用戶,認知度很高的話題,網路攝影機廠商也可以藉此機會,在市場上創造獨特的價值,而不是追求無休止的價格戰。網路安全實施也可用於提出報價請求 (RFQ) 的決定性因素,尤其是來自公共領域的報價,因為網路安全已引起政府的進一步審查。對於服務提供商或系統整合商,

複雜性是改善網路安全的另一種成本形式。設置所有內容的最簡單方法,始終是最便宜和最不安全的方法。用易用性換取網路安全是 IT 專家的常識,但對於一般用戶而言則不然。

例如,如果監控系統允許透過網路進行遠端訪問,則採用 VPN 通常是安全性的首要建議。但是,使用 VPN 訪問設備在一般用戶,尤其是智慧手機用戶中並不常見。

網路安全的成本和收益之間,永無休止的爭論,只能預期繼續下去,公司無論規模大小,在努力維護功能和安全性的同時,繼續權衡其物聯網實施,所有的影響因素。

從現在開始保持安全檢查

雖然歸為物聯網產品,IP 攝影機裡已經在市場上,甚至術語之前的聯網物聯網被創造出來。但是,儘管 IP 攝影機的市場已經成熟,但圍繞它們的網路安全問題,仍然是整個行業面臨的一大挑戰。與其他物聯網設備和服務一樣,IP 攝影機的資訊串流是一條長鏈,惡意攻擊可以在任何地方出現。透過物聯網相關業務獲利的公司,已經在相當長的一段時間內,提高了對雲安全,以及網路連接上的網路安全問題的認識。

設備中缺乏足夠的網路安全實施,是接下來要解決的問題,不僅對於 IP 監控行業,而且對於所有基於物聯網的企業。萬物互聯的世界可能看起來很棒,但只有擁有足夠的網路安全,這個互聯的世界才能既安全又智慧。


0 comments: