2022年6月13日 星期一

· 影像監控和網路風險:更多設備,更多問題?

海康威視關鍵漏洞和網路安全問題 



SDM

 更多的物聯網裝置、更大的雲存在和勒索軟體匯聚在一起,在影片監控中造成了更大的網路安全威脅。


雖然複雜的 IP 攝影機比以往任何時候都更有能力,但它們也更容易受到駭客攻擊 —— 供應商、整合商和客戶都必須保持警惕,以確保安全。

在當今互聯的安全行業中,攝影機、物聯網和邊緣設備之間的「對話」比以往任何時候都多。現代 IP 攝影機具有強大的處理、網路和儲存能力,使它們具有難以置信的多功能性,而云技術支持更多的數據儲存,而網路將它們全部連接起來。

但所有這些進步都有一個缺點:更多的設備、雲使用、開源軟體組件和網路連接也意味著更多的網路風險。

北美、博世、紐約費爾波特的高級網路和數據安全培訓工程師 David Brent 表示,更多的物聯網設備、更大的雲存在和勒索軟體匯聚在一起,在影像監控中造成更大的網路安全威脅。他說,遠端工作,現在估計有 381 億個物聯網設備在網路上,具有面向公眾的 IP 地址和開放線路,駭客可以造成很大的破壞。

「當不安全時,網路攝影機等物聯網設備,不可避免地會增加攻擊面,」德克薩斯州科佩爾 IDIS America 的全球技術顧問 Peter Kim 博士說。「添加到組織網路中的大量物聯網設備,通常沒有 IT 部門的參與,這無疑增加了人們的擔憂和警惕。」

影像監控從類比向 IP 的轉變,導致網路風險增加。自從基於 IP 的系統和攝影機開始主導影像監控行業以來,我們看到與網路相關的問題越來越多,紐約 Hauppage 的 Vicon 產品開發總監 Guy Arazi 說。一般的 IT 方面,但影像監控行業從類比到 IP 的轉移,可能造成了在精通網路的 IT 世界中不存在的知識鴻溝。


託管門禁控制的新興趨勢

手機屏幕

RAYAHRISTOVA/ISTOCK / GETTY IMAGES PLUS VIA GETTY IMAGES



防止視頻網絡攻擊的 6 個技巧

1.更改默認密碼和弱密碼。

“80% 的黑客攻擊是由於密碼薄弱造成的。” ——大衛布倫特,博世


2. 確保已安裝所有升級和補丁。

“隨著新威脅的出現和黑客變得越來越老練,製造商及其集成合作夥伴共同努力提供軟件和固件更新非常重要,這樣客戶就不會容易受到新的攻擊。” – Peter Kim 博士,IDIS 美國


3. 維護詳細的資產清單。 

“了解您擁有哪些設備、可以利用哪些漏洞、它們使用的固件版本以及上次更新密碼的時間可以指導需要採取哪些措施來保護它們。” – Bud Broomhead,維亞庫


4. 對員工進行預防培訓。 

“第一大漏洞是最終用戶。任何系統中最薄弱的環節都是未經訓練的人。我曾經在班上有一個人為集成商工作,因為他的卡車被盜而遲到了。他的記事本在那裡,他管理的所有系統的所有密碼都在那裡。” ——大衛布倫特,博世


5.實施多因素身份驗證(MFA)。

“使用基於證書的相互身份驗證和專有協議的端到端系統是確保網絡安全的最安全的監控技術選項之一。…這意味著可以保證視頻源來自與 NVR 配對的攝像機。這是網絡安全在幕後工作,沒有人為互動,再次將人為因素排除在網絡安全等式之外。” – Peter Kim 博士,IDIS 美國


6. 採用零信任方式。

“向零信任環境邁進,每個人和/或設備必須單獨證明他們的身份和對視頻監控系統的訪問權限,而不是簡單地訪問網絡。這是由行業經驗推動的,即威脅參與者如何訪問受信任的網絡、提高客戶意識和復雜性,以及視頻市場的新技術能力。” – Vijay Dhamija,全球視頻工程負責人,霍尼韋爾建築技術公司,亞特蘭大

“使用證書(802.1x 和 TLS/SSL)來驗證設備身份和加密設備流量……是零信任架構的核心,許多已經轉向零信任的組織現在正在將其擴展到物聯網設備,包括攝像頭和訪問控制。” –布·布魯姆黑德,維亞庫


Arazi 說,攝影機網路機和編碼器等邊緣設備,更容易受到駭客攻擊。雖然運行官方操作系統的主要基於 Windows 和 Linux 的伺服器,由操作系統製造商定期更新,以解決漏洞和安全漏洞,但物聯網類型的設備依賴於特定製造商跟進,並提供韌體更新 —— 這並不總是會到達他補充說,速度足夠快,通常不會自動更新。

可以做更多事情的更複雜的設備,特別容易受到駭客攻擊。德克薩斯州奧斯汀 Eagle Eye Networks 創始人、總裁兼首席執行官 Dean Drako 表示:「行業面臨的挑戰,是影像監控系統中使用的組件,歷來被忽視,並且沒有像企業 IT 系統中的其他組件,那樣堅定不移地升級。「影像監控升級過程需要關閉系統,這可能在每棟建築中都不同,並且不一定連接到企業 IT,因此它經常被忽視。」

俄勒岡州威爾遜維爾 Teledyne FLIR Security 高級產品經理 Steffen De Muynck 說,攝影機一直是攻擊目標,因為它們讓攻擊者可以查看特定場域的情況。用於促進破門而入、敲詐勒索等等,「他說。更陰險的是,」安全攝影機還可以用作攻擊客戶網中其他資產的踏腳板,或者可以用來形成可以同時攻擊特定目標的殭屍網,」他補充道。


物理安全

根據 Genetec 的2021 年實體安全狀況報告,越來越多的企業報告稱其四分之一的實體安全環境位於雲或混合雲中。//圖片由 GENETEC 提供


在過去的幾年裡,安全行業出現了一些引人注目的例子,幾家行業領導製造商,都在努力應對由 IP 攝影機洩露引起的駭客攻擊。最近的一次攻擊,要求製造商關閉所有系統以限制後果。最大的安全攝影機駭客事件之一,暴露了學校、監獄牢房、醫院 ICU 和大公司內部使用的 150,000 多台聯網攝影機的影像。

加州工業城海康威視全球資訊安全副總裁 Chuck Davis 表示:「無法透過允許直接從網路訪問 IP 攝影機和其他設備,來適當保護它們是影像監控中網路風險的最大來源。」

加利福尼亞州山景城的 Viakoo 首席執行官 Bud Broomhead,對此表示贊同。「IP 攝影機本身就是網路風險的最大來源。實際上,這些是功能強大的 Linux 伺服器,有時掛在帶有暴露端口的建築物外 —— 當然,威脅者將它們視為破壞組織時唾手可得的果實。」


大流行起了作用

正如它影響到生活的許多其他領域一樣,全球大流行和遠端工作的增加,加大了對影像監控網路風險,以及整個網路安全的賭注。

根據 Genetec 的「2021 年實體安全狀況:適應不確定的未來」,網路安全將成為 2022 年企業的首要任務。全球 36% 的受訪者,希望投資於網路安全相關工具,以改善其實體安全環境在接下來的 12 個月內。


雲:或多或少安全?

手機屏幕

雖然 Genetec 最近的一項調查發現,由於實體安全問題,一些企業不願轉移到雲,但 35% 的受訪者已經觸發或加速了他們與實體安全相關的雲策略。// ATOMICSTUDIO/ISTOCK / GETTY IMAGES PLUS VIA GETTY IMAGES


在 Genetec 的“2021 年物理安全狀況:適應不確定的未來”中,35% 的受訪者表示,大流行已經觸發或加速了他們與物理安全相關的雲戰略,比去年的調查增加了 31%,當時 31% 表示相同的。

Genetec 還發現,大型組織對雲解決方案更加開放,30% 的受訪者至少部署了一些視頻監控即服務 (VSaaS)。“回應清楚地表明,這種向雲計算的趨勢將繼續下去,”報告發現。“將不到 50% 的物理安全環境部署到雲端的公司中有 40% 表示計劃開始或進一步將部分安全解決方案部署到雲端。”

然而,該報告還發現,網絡安全問題阻礙了雲的採用,並且大多數物理安全部署仍然在本地。報告發現:“受訪者總體上強調網絡安全問題是阻止他們採用雲的主要原因之一。” “金融機構、交通和政府的最終用戶是最關心的。”

根據他們管理的攝像頭數量,受訪者對網絡安全的看法各不相同。其組織安裝的攝像頭少於 500 台的最終用戶將“網絡安全漏洞”列為其組織面臨的最常見威脅。然而,與組織安裝了超過 500 個攝像頭的最終用戶相比,這些相同的最終用戶不太可能在其物理安全環境中安裝“網絡安全相關工具”。

“有時我們談論云或多或少是安全的;我的看法是視情況而定,”Genetec 的 Mathieu Chevalier 說。“一般來說,人們可能會認為雲的安全性較低,因為您的控制權較少。但是,如果您仔細選擇提供商,它實際上會更安全,因為現在所有難以大規模完成的事情都由提供商為您完成,例如強密碼更新,”他說。“一般而言,對於系統而言,與內部團隊所能做的相比,在安全性方面,雲提供商的成熟度很難與競爭對手競爭。”

Eagle Eye Networks 的 Dean Drako 對此表示贊同。“有一種趨勢是使用雲來保證視頻的安全,將其交給專業的安全公司,而不是把它放在床墊或建築物的地下室裡,”他說。“網絡安全得到了更多關注。” 他說,Eagle Eye 剛剛完成了 SOC 2 審計,並定期進行滲透測試和其他方法來保護雲的網絡性質。“客戶開始意識到,雲對於視頻監控來說比本地系統更安全。20 年前,您的雜誌一直在運營自己的電子郵件服務器,並試圖保護其免受俄羅斯黑客的攻擊。......就像電子郵件、CRM 和稅收已經轉移到雲端一樣,視頻監控也在轉移到雲端,並通過網絡安全獲得同樣的好處。”


在去年的報告中,組織將他們的最大挑戰,命名為管理員工和訪客的安全。今年,訪客管理下降到第 5 位,網路安全成為第 1 大挑戰。造成這種情況的一個原因是,越來越多的員工在遠端工作,因此,越來越多的組織看到了網路犯罪的增加。

在整個 COVID 大流行期間,全世界的勒索軟體攻擊頻率呈指數級上升其中許多攻擊針對的是學校和大學,」Kim 說。「在某些情況下,他們的影像連接到網路,許多人選擇重建,包括備份,而不是支付勒索軟體的要求。…… 這意味著他們不僅在數週甚至數月內,對學習連續性造成了嚴重影響,而且他們沒有受到監控或記錄,使他們容易受到人身安全威脅,或滿足保險要求的能力、健康和安全義務、責任護理和相關合規性。”


進入系統

雖然駭客一旦侵入系統,可以透過多種方式造成嚴重破壞,但主要威脅來自使用攝影機訪問橫向進入公司網路。

對於駭客來說,影像監控系統本身並不是目的,而是「潛在地進入網路並由此獲取其他東西的媒介;這是影像監控網路安全的真正威脅或擔憂,」Drako 說。「這是一個網路接入點,他們可以在這裡進行篩選,並嘗試找到其他沒有得到適當保護的東西,比如筆記型電腦或客戶數據庫,在那裡他們可以加密所有內容以用於勒索軟體。」

一旦壞人進來,事情就會變得非常糟糕。「後門允許駭客使用一系列 Mitre 惡意軟體變體進行攻擊,然後發出系統命令,」Kim 說。「其他軟體,例如 Minikatz 和 ELoader,目的在竊取用戶名和密碼,而 REvil 是一個勒索軟體系列,目的在加密數據和驅動器以勒索付款。這些只是我們在過去幾年中,看到越來越多地以各種形式,使用的最流行的惡意軟體,和勒索軟體類型中的一部分。」

雖然惡意軟體的名稱可能會改變,但遊戲大多是相同的。海康威視的戴維斯說,駭客在透過成功的網路釣魚攻擊,獲得訪問權限後,安裝在電腦或設備上的勒索軟體仍然是第一大威脅。「勒索軟體悄悄地加密你電腦上的所有檔案和檔案夾,以及連接的 USB 或安裝的共享驅動器上的任何數據,然後將解密密鑰上傳給誘騙你安裝勒索軟體的威脅參與者,」他說。「在支付贖金費用後,你只會從勒索軟體威脅參與者那裡收到解密密鑰。」

Brent 說,該騙局如此流行,以至於勒索軟體即服務 (RaaS) 現在已成為暗網上可行的商業模式,Conti Group 等組織像合法企業一樣建構和運行它。(ThreatPost 最近的一篇文章將該組織描述為提供獎金、每月最佳員工、績效評估和一流的培訓 —— 許多員工認為這是一項合法的業務。)

駭客通常通過魚叉式網路釣魚、訪問公司的組織結構圖,和冒充高管來讓用戶點擊看似合法請求的鏈接。Drako 說,在電子郵件中冒充公司高管,可以幫助駭客,透過使用有關高管的被盜資訊來誤導金錢,使魚叉式網路釣魚電子郵件看起來真實。

Kim 說,深度偽造的威脅越來越大,其中涉及惡意編輯,從監控系統獲取的影像。「惡意編輯是對影像監控解決方案的可信度,和價值發展最快的威脅之一。...... 惡意演員可以將組織自己錄製的影像武器,化為針對他們的武器。如果影像的完整性沒有得到正確的技術保護,並且落入壞人之手,現在可以很容易地更改由現場影像安全攝影機記錄的每一次互動和事件。」


俄羅斯威脅的更多曝光

手機屏幕

俄羅斯政府批准的駭客(如 Fancy Bear)發起的網路戰攻擊對西方民主國家的威脅越來越大,尤其是在俄羅斯入侵烏克蘭之後。// BeeBright/iStock/Getty Images Plus 來自 Getty Images


最近俄羅斯對烏克蘭的入侵增加了網絡入侵的威脅級別,無論是對西方民主國家的政府實體還是企業而言。

“從烏克蘭的網絡安全角度來看,這與我們如此依賴 IP 通信這一事實有很大關係,”博世的大衛布倫特說。“大多數電話提供商不再使用銅線。地下有數英里和數噸的黑暗,因為一切都已經IP化了。......烏克蘭人通過電報發送東西,因為他們無法通過手機進行交流。……如果真正的戰爭在任何時候開始,烏克蘭的局勢就是每個國家所面臨的。網絡現在是標準戰爭的一部分。”

雖然對監視系統的攻擊不太可能導致毀滅性後果,但“我們現在看到了廣泛的網絡戰的開始,通常通過俄羅斯的 GRU、該國的軍事情報機構和政府支持的黑客組織 Fancy Bear 進行, ” IDIS America 的 Peter Kim 博士說。Kim 所說的“網絡戰”最近的例子包括 2 月對 Expeditors International 的襲擊,該襲擊使美國最大的物流運營商之一癱瘓;2021 年 5 月,從德克薩斯州運送石油的殖民管道成功命中;去年在佛羅里達州的一家水處理廠遭到挫敗的襲擊。“很明顯,重要的基礎設施包括公用事業和交通連接,而銀行和支付系統也很脆弱,”Kim 說。“但同樣,   


修復漏洞

所有這些犯罪活動的唯一好處是,備受矚目的違規行為讓客戶更加意識到,在購買或升級影像監控系統時,需要將網路安全放在首位 —— 這讓製造商對產品故障排除更加警惕。

「近年來,系統和網路管理員對與當前影像監控系統,相關的某些漏洞有了更多的了解,並相應地提高了安全級別,」Arazi 說。「這與製造商採取的措施相結合,導致了更安全的做法,並最終形成了一個更安全的系統。」

但最終用戶仍然最終負責保護他們的影像監控系統。輪換密碼、使用強用戶 ID 和多因素 ID、更新攝影機韌體,或操作系統、快速修補漏洞,以及使用證書是客戶可以採取的基本步驟,來保護他們的攝影機和影像監控系統。

「我看到的最大趨勢,是將 IT 安全最佳實踐引入實體安全系統,」蒙特婁 Genetec 首席安全架構師兼經理 Mathieu Chevalier 說。「原因是那些世界之間的融合。越來越多的 IT 系統被用於實體安全保護 …… 攝影機變得越來越像電腦,帶有可以將影像發送回網路的鏡頭。」

就製造商而言,他們正在加倍進行滲透和第三方測試,以幫助發現和修復漏洞。Identiv 影像系統產品經理 Kirk Tashjian 說:「我們在保護影像監控系統免受網路風險方面,看到的主要趨勢,包括強化 IP 網路上的邊緣設備,例如攝影機和揚聲器等其他設備,」加利福尼亞州聖安娜。「我們將繼續遵循保護電腦硬體的網路安全趨勢,就像整個 IT 行業保護其他基礎設施一樣。我們還聘請第三方專家,來支持電腦設備和邊緣設備的加固。」


對網絡安全的擔憂

根據 Genetec 的「2021 年實體安全狀況」報告,網路安全是 2021 年組織提出的最大挑戰之一,52% 的受訪者將網路漏洞列為首要關注點。//圖片由 GENETEC 提供


在選擇供應商時,最終用戶和安全整合商必須做好功課,了解他們對產品網路安全的嚴格程度。「如果我正在尋找供應商,我想知道他們是否使用安全工程流程 (SEP),僅從認證的角度來看,」Brent 說。「如果他們有 SEP,這意味著他們在發布產品之前,所做的一切都已經過測試。」他補充說,要檢查的其他框是供應商,是否進行內部和外部滲透測試,誰產生產品的 CVE(常見漏洞和暴露),以及他們是否使用顯示 IP 地址,以及特定產品上打開哪些端口的漏洞掃描程序。

符合標準是製造商保證產品安全的另一種方式。Kim 說,國防授權法案 (NDAA) 標準,透過禁止使用多年來容易出現漏洞的特定中國產品,幫助提高了許多政府和聯邦貸款接受機構的網路安全。此外,如果在今年晚些時候實施,一項將擴大對小型組織的保護的擬議 FCC 禁令也將有所幫助,他說。

NIST 800 主要用於企業或政府網路佈署,是一套技術標準出版物,詳細介紹了美國政府關於資訊系統的程序、政策和指南。Kim 說,安全行業協會 (SIA) 的安全行業網路安全認證 (SICC) ,是第一個以行業為中心的證書,專門針對實體安全系統中的網路安全。

此外,拜登政府在 2021 年簽署了一項改善網路安全的行政命令,其具體目標是加強軟體供應鏈安全,改進對聯邦政府網路上網路安全漏洞和事件的檢測和響應,以及使用安全工具等工具實現聯邦政府網路安全的現代化。海康威視的戴維斯說。

然而,網路威脅不斷變化,行業必須在新興威脅方面保持領先。「這都是一種風險,」Tashjian 說。「從邊緣設備到伺服器機架中的電腦,一切都需要被監視和保護。遵循製造商規定的強化指南,是建立一個沒有網路安全問題風險的成功系統的關鍵。」



按此回今日3S Market新聞首頁

沒有留言:

張貼留言