更多的物聯網裝置、更大的雲存在和勒索軟體匯聚在一起,在影片監控中造成了更大的網路安全威脅。 |
雖然複雜的 IP 攝影機比以往任何時候都更有能力,但它們也更容易受到駭客攻擊 —— 供應商、整合商和客戶都必須保持警惕,以確保安全。
在當今互聯的安全行業中,攝影機、物聯網和邊緣設備之間的「對話」比以往任何時候都多。現代 IP 攝影機具有強大的處理、網路和儲存能力,使它們具有難以置信的多功能性,而云技術支持更多的數據儲存,而網路將它們全部連接起來。
但所有這些進步都有一個缺點:更多的設備、雲使用、開源軟體組件和網路連接也意味著更多的網路風險。
北美、博世、紐約費爾波特的高級網路和數據安全培訓工程師 David Brent 表示,更多的物聯網設備、更大的雲存在和勒索軟體匯聚在一起,在影像監控中造成更大的網路安全威脅。他說,遠端工作,現在估計有 381 億個物聯網設備在網路上,具有面向公眾的 IP 地址和開放線路,駭客可以造成很大的破壞。
「當不安全時,網路攝影機等物聯網設備,不可避免地會增加攻擊面,」德克薩斯州科佩爾 IDIS America 的全球技術顧問 Peter Kim 博士說。「添加到組織網路中的大量物聯網設備,通常沒有 IT 部門的參與,這無疑增加了人們的擔憂和警惕。」
影像監控從類比向 IP 的轉變,導致網路風險增加。「自從基於 IP 的系統和攝影機開始主導影像監控行業以來,我們看到與網路相關的問題越來越多,」紐約 Hauppage 的 Vicon 產品開發總監 Guy Arazi 說。一般的 IT 方面,但影像監控行業從類比到 IP 的轉移,可能造成了在精通網路的 IT 世界中不存在的知識鴻溝。」
Arazi 說,攝影機、網路錄影機和編碼器等邊緣設備,更容易受到駭客攻擊。雖然運行官方操作系統的主要基於 Windows 和 Linux 的伺服器,由操作系統製造商定期更新,以解決漏洞和安全漏洞,但物聯網類型的設備依賴於特定製造商跟進,並提供韌體更新 —— 這並不總是會到達他補充說,速度足夠快,通常不會自動更新。
可以做更多事情的更複雜的設備,特別容易受到駭客攻擊。德克薩斯州奧斯汀 Eagle Eye Networks 創始人、總裁兼首席執行官 Dean Drako 表示:「行業面臨的挑戰,是影像監控系統中使用的組件,歷來被忽視,並且沒有像企業 IT 系統中的其他組件,那樣堅定不移地升級。「影像監控升級過程需要關閉系統,這可能在每棟建築中都不同,並且不一定連接到企業 IT,因此它經常被忽視。」
俄勒岡州威爾遜維爾 Teledyne FLIR Security 高級產品經理 Steffen De Muynck 說,攝影機一直是攻擊目標,因為它們讓攻擊者可以查看特定場域的情況。用於促進破門而入、敲詐勒索等等,「他說。更陰險的是,」安全攝影機還可以用作攻擊客戶網路中其他資產的踏腳板,或者可以用來形成可以同時攻擊特定目標的殭屍網路,」他補充道。
根據 Genetec 的「2021 年實體安全狀況」報告,越來越多的企業報告稱其四分之一的實體安全環境位於雲或混合雲中。//圖片由 GENETEC 提供
在過去的幾年裡,安全行業出現了一些引人注目的例子,幾家行業領導製造商,都在努力應對由 IP 攝影機洩露引起的駭客攻擊。最近的一次攻擊,要求製造商關閉所有系統以限制後果。最大的安全攝影機駭客事件之一,暴露了學校、監獄牢房、醫院 ICU 和大公司內部使用的 150,000 多台聯網攝影機的影像。
加州工業城海康威視全球資訊安全副總裁 Chuck Davis 表示:「無法透過允許直接從網路訪問 IP 攝影機和其他設備,來適當保護它們是影像監控中網路風險的最大來源。」
加利福尼亞州山景城的 Viakoo 首席執行官 Bud Broomhead,對此表示贊同。「IP 攝影機本身就是網路風險的最大來源。實際上,這些是功能強大的 Linux 伺服器,有時掛在帶有暴露端口的建築物外 —— 當然,威脅者將它們視為破壞組織時唾手可得的果實。」
大流行起了作用
正如它影響到生活的許多其他領域一樣,全球大流行和遠端工作的增加,加大了對影像監控網路風險,以及整個網路安全的賭注。
根據 Genetec 的「2021 年實體安全狀況:適應不確定的未來」,網路安全將成為 2022 年企業的首要任務。全球 36% 的受訪者,希望投資於網路安全相關工具,以改善其實體安全環境在接下來的 12 個月內。
在去年的報告中,組織將他們的最大挑戰,命名為管理員工和訪客的安全。今年,訪客管理下降到第 5 位,網路安全成為第 1 大挑戰。造成這種情況的一個原因是,越來越多的員工在遠端工作,因此,越來越多的組織看到了網路犯罪的增加。
「在整個 COVID 大流行期間,全世界的勒索軟體攻擊頻率呈指數級上升,其中許多攻擊針對的是學校和大學,」Kim 說。「在某些情況下,他們的影像連接到網路,許多人選擇重建,包括備份,而不是支付勒索軟體的要求。…… 這意味著他們不僅在數週甚至數月內,對學習連續性造成了嚴重影響,而且他們沒有受到監控或記錄,使他們容易受到人身安全威脅,或滿足保險要求的能力、健康和安全義務、責任護理和相關合規性。”
進入系統
雖然駭客一旦侵入系統,可以透過多種方式造成嚴重破壞,但主要威脅來自使用攝影機訪問橫向進入公司網路。
對於駭客來說,影像監控系統本身並不是目的,而是「潛在地進入網路並由此獲取其他東西的媒介;這是影像監控網路安全的真正威脅或擔憂,」Drako 說。「這是一個網路接入點,他們可以在這裡進行篩選,並嘗試找到其他沒有得到適當保護的東西,比如筆記型電腦或客戶數據庫,在那裡他們可以加密所有內容以用於勒索軟體。」
一旦壞人進來,事情就會變得非常糟糕。「後門允許駭客使用一系列 Mitre 惡意軟體變體進行攻擊,然後發出系統命令,」Kim 說。「其他軟體,例如 Minikatz 和 ELoader,目的在竊取用戶名和密碼,而 REvil 是一個勒索軟體系列,目的在加密數據和驅動器以勒索付款。這些只是我們在過去幾年中,看到越來越多地以各種形式,使用的最流行的惡意軟體,和勒索軟體類型中的一部分。」
雖然惡意軟體的名稱可能會改變,但遊戲大多是相同的。海康威視的戴維斯說,駭客在透過成功的網路釣魚攻擊,獲得訪問權限後,安裝在電腦或設備上的勒索軟體仍然是第一大威脅。「勒索軟體悄悄地加密你電腦上的所有檔案和檔案夾,以及連接的 USB 或安裝的共享驅動器上的任何數據,然後將解密密鑰上傳給誘騙你安裝勒索軟體的威脅參與者,」他說。「在支付贖金費用後,你只會從勒索軟體威脅參與者那裡收到解密密鑰。」
Brent 說,該騙局如此流行,以至於勒索軟體即服務 (RaaS) 現在已成為暗網上可行的商業模式,Conti Group 等組織像合法企業一樣建構和運行它。(ThreatPost 最近的一篇文章將該組織描述為提供獎金、每月最佳員工、績效評估和一流的培訓 —— 許多員工認為這是一項合法的業務。)
駭客通常通過魚叉式網路釣魚、訪問公司的組織結構圖,和冒充高管來讓用戶點擊看似合法請求的鏈接。Drako 說,在電子郵件中冒充公司高管,可以幫助駭客,透過使用有關高管的被盜資訊來誤導金錢,使魚叉式網路釣魚電子郵件看起來真實。
Kim 說,深度偽造的威脅越來越大,其中涉及惡意編輯,從監控系統獲取的影像。「惡意編輯是對影像監控解決方案的可信度,和價值發展最快的威脅之一。...... 惡意演員可以將組織自己錄製的影像武器,化為針對他們的武器。如果影像的完整性沒有得到正確的技術保護,並且落入壞人之手,現在可以很容易地更改由現場影像安全攝影機記錄的每一次互動和事件。」
修復漏洞
所有這些犯罪活動的唯一好處是,備受矚目的違規行為讓客戶更加意識到,在購買或升級影像監控系統時,需要將網路安全放在首位 —— 這讓製造商對產品故障排除更加警惕。
「近年來,系統和網路管理員對與當前影像監控系統,相關的某些漏洞有了更多的了解,並相應地提高了安全級別,」Arazi 說。「這與製造商採取的措施相結合,導致了更安全的做法,並最終形成了一個更安全的系統。」
但最終用戶仍然最終負責保護他們的影像監控系統。輪換密碼、使用強用戶 ID 和多因素 ID、更新攝影機韌體,或操作系統、快速修補漏洞,以及使用證書是客戶可以採取的基本步驟,來保護他們的攝影機和影像監控系統。
「我看到的最大趨勢,是將 IT 安全最佳實踐引入實體安全系統,」蒙特婁 Genetec 首席安全架構師兼經理 Mathieu Chevalier 說。「原因是那些世界之間的融合。越來越多的 IT 系統被用於實體安全保護 …… 攝影機變得越來越像電腦,帶有可以將影像發送回網路的鏡頭。」
就製造商而言,他們正在加倍進行滲透和第三方測試,以幫助發現和修復漏洞。Identiv 影像系統產品經理 Kirk Tashjian 說:「我們在保護影像監控系統免受網路風險方面,看到的主要趨勢,包括強化 IP 網路上的邊緣設備,例如攝影機和揚聲器等其他設備,」加利福尼亞州聖安娜。「我們將繼續遵循保護電腦硬體的網路安全趨勢,就像整個 IT 行業保護其他基礎設施一樣。我們還聘請第三方專家,來支持電腦設備和邊緣設備的加固。」
根據 Genetec 的「2021 年實體安全狀況」報告,網路安全是 2021 年組織提出的最大挑戰之一,52% 的受訪者將網路漏洞列為首要關注點。//圖片由 GENETEC 提供
在選擇供應商時,最終用戶和安全整合商必須做好功課,了解他們對產品網路安全的嚴格程度。「如果我正在尋找供應商,我想知道他們是否使用安全工程流程 (SEP),僅從認證的角度來看,」Brent 說。「如果他們有 SEP,這意味著他們在發布產品之前,所做的一切都已經過測試。」他補充說,要檢查的其他框是供應商,是否進行內部和外部滲透測試,誰產生產品的 CVE(常見漏洞和暴露),以及他們是否使用顯示 IP 地址,以及特定產品上打開哪些端口的漏洞掃描程序。
符合標準是製造商保證產品安全的另一種方式。Kim 說,國防授權法案 (NDAA) 標準,透過禁止使用多年來容易出現漏洞的特定中國產品,幫助提高了許多政府和聯邦貸款接受機構的網路安全。此外,如果在今年晚些時候實施,一項將擴大對小型組織的保護的擬議 FCC 禁令也將有所幫助,他說。
NIST 800 主要用於企業或政府網路佈署,是一套技術標準出版物,詳細介紹了美國政府關於資訊系統的程序、政策和指南。Kim 說,安全行業協會 (SIA) 的安全行業網路安全認證 (SICC) ,是第一個以行業為中心的證書,專門針對實體安全系統中的網路安全。
此外,拜登政府在 2021 年簽署了一項改善網路安全的行政命令,其具體目標是加強軟體供應鏈安全,改進對聯邦政府網路上網路安全漏洞和事件的檢測和響應,以及使用安全工具等工具實現聯邦政府網路安全的現代化。海康威視的戴維斯說。
然而,網路威脅不斷變化,行業必須在新興威脅方面保持領先。「這都是一種風險,」Tashjian 說。「從邊緣設備到伺服器機架中的電腦,一切都需要被監視和保護。遵循製造商規定的強化指南,是建立一個沒有網路安全問題風險的成功系統的關鍵。」
沒有留言:
張貼留言