★ 認真對待網路安全和影像監控

網路衛生對攝影機和影像監控系統尤為重要，使用者認為這些系統特別容易受到網路攻擊。 // VLADYSLAV SEVERYN/ISTOCK/蓋蒂圖片社PLUS透過蓋蒂圖片社

Klacci 凱樂奇商辦門禁解決方案

在過去的一年裡，越來越多的客戶、安全製造商和整合商認真對待其影像監控系統中的網路安全風險，並正在與 IT 部門合作打擊漏洞。

新冠肺炎危機帶來的工作場所變化，和永無休止的新威脅，正在導致更多組織及其 IT 部門認真對待網路安全 —— 安全製造商正在對其影像監控裝置和系統採取更嚴格的標準和安全做法。

網路衛生對攝影機和影像監控系統尤為重要，使用者認為這些系統特別容易受到網路攻擊 ⋯⋯

北卡羅來納州夏洛特市霍尼韋爾建築技術公司應用工程負責人格雷格·託馬斯科說：「在過去的一年裡，我們對更好的保護的需求有所增加，因為攻擊的威脅和壞人比以往任何時候都多。」

休斯頓 i-PRO Americas Inc. 的資訊保證和資料隱私高階經理 Will Knehr 說：「人類方面最大的變化是人們接受網路安全是一個問題。」「過去，我總是需要向組織解釋，為什麼網路安全很重要，但現在組織似乎已經明白了這一點，他們只是在尋找解決方案。網路安全不僅僅是一個技術問題；它是一個商業問題、財務問題和公共形象問題。攻擊可能產生的影響遠遠超出了失去電腦系統的範圍；它可能意味著失去客戶和巨額罰款，直接擊中企業的錢包。網路安全投資對保護客戶、員工和利潤至為重要。」

博世自 2005 年以來一直參與網路安全，自 2016 年以來一直提供網路安全 IP 影像認證課程。 // 圖片由博世提供

態度的部分原因是近年來高調的安全漏洞穩步增加。據新聞來源 Cyber Security Hub 稱，2022 年有超過 4100 起公開披露的安全漏洞，受害者包括推特、優步和 WhatsApp。僅在 2023 年 3 月，駭客就襲擊了美國 AT&T。法警服務局以及數千名美國立法者和政府僱員，他們在國會健康保險提供商 DC Health Link 上洩露了敏感資料。

雖然這些都沒有特別涉及影像監控系統，但它們肯定有助於提高人們對網路威脅的普遍認識，並增加客戶對更多安全性的需求。

「最終客戶對網路安全政策採取了更激進的方法。他們要求供應商，提交超出單個產品網路安全保護範圍的供應商風險評估，並全面檢視供應商的網路能力，」

—Ryan Zatolokin，軸心通訊

馬薩諸塞州切姆斯福德 Axis Communications 業務發展高階技術專家 Ryan Zatolokin 說：「最終客戶對網路安全政策採取了更積極的方法。」「他們要求供應商提交超出單個產品網路安全保護範圍的供應商風險評估，並全面檢視供應商的網路能力，以確保他們不會造成不可接受的業務中斷潛力。此外，最終客戶要求其網路上的所有裝置，都遵守相同的高網路安全標準，包括定期針對任何已知漏洞的補丁。」

紐約費爾波特博世安全系統的高階網路資料技術培訓師大衛·布倫特說，隨著實體安全裝置在企業的整體技術解決方案中更加根深蒂固，這些企業的 IT 部門越來越多地參與安全問題。他說：「IT 部門對掛在網路上的影像系統越來越感興趣，這些系統作為其設施中的物聯網裝置。」「在某些情況下，安全部門和 IT 部門之間存在拉長戰。安全部門正試圖在不支援要求的舊裝置上實施 IT 策略，但沒有預算來更換數百支攝影機。如果預算可用，通常會有空氣缺口或撕裂和更換舊系統。」

儘管存在這些內部衝突，但 IT 和安全之間的合作加強只能有助於提高組織的網路安全。Brent 補充說：「IT 部門現在意識到，他們的網路上有數百台物聯網裝置，可以作為橫向移動的攻擊平台。」「他們正在參與所做出的決定，因為它們與安全和監控裝置有關。這種趨勢始於幾年前，但它正變得越來越普遍，這是一件好事。」

改變標準

Axis Communications 的 Ryan Zatolokin 說，儘管實體安全行業的具體網路安全標準發展緩慢，但它們正在發展，特別是在政府方面。

透過美國政府的授權，如《國防授權法》、加州SB 327（保護在加州出售或出售的裝置）和拜登總統最近關於改善國家網路安全的行政命令，已在政策層面採取了行動。這些任務包括命令裝置及其元件的製造地點，要求使用者在首次登入時更改裝置的密碼，並在裝置中保留更詳細的日誌。

博世的大衛·布倫特說，最著名的標準可能是FIPS 140-3，這是美國國家標準與技術研究所（NIST）驗證加密硬體有效性的最新基準。帶有FIPS 140-3證書的產品已經過美國和加拿大政府的測試和正式驗證。

此外，他補充說，Windows Server 2019的新安全技術資訊指南（STIG）基準使其符合FIPS。

Genetec的Mathieu Chevalier指出，英國、澳大利亞和北美有許多區域標準，但是，“標準太多了，很難分辨什麼是好的。 ...每個人都想要自己的口味，而我們的資源有限，必須選擇對我們來說有意義的東西。” 他樂觀地認為，這些標準最終將鞏固並歸結為少數被普遍接受的標準。 “在雲產品中，我們在雲產品的ISO和SOC中看到了這一點，但一般來說，在物理安全方面，雖然有一些新興的物理安全標準，但它們仍然很成熟。”

霍尼韋爾的格雷格·託馬斯科補充說：“近年來，標準化認證在各組織中獲得了吸引力。外部機構認證的優勢在於，它們建立了行業標準，有助於創造更知情的客戶和負責任的製造商。總的來說，該行業正變得更加安全，這有助於解決問題。同行公司，我們的競爭對手——我們走到一起，建立了ISA全球網路安全聯盟等聯盟，霍尼韋爾是該聯盟的創始成員之一，以幫助在此類行業推動更好的安全。安全是一種責任，而不僅僅是一個“好有”的功能。”

瞄準最薄弱的連結
雖然網路責任的特定壓力可能會來來去去，但某些形式的網路風險保持不變 —— 駭客攻擊的主要原因歸結為人類的脆弱性。
當被問及網路安全面臨的最大威脅時，位於不列顛哥倫比亞省溫哥華的整合商 Paladin Technologies 的技術執行副總裁 Josh Cummings 指出了使用者錯誤。他說：「我想說，不幸的是，我們人類。」「社會工程仍然是一個重大挑戰，我們必須進行培訓，並提高人們的認識。」
Brent 同意。「任何電腦系統最薄弱的部分都是鍵盤上的人 —— 無論是透過社會工程還是 OSINT（開源情報）、賄賂、入室盜竊、訵詐等。」
良好的網路衛生始於維護獨特、複雜和定期更新的密碼的簡單基礎。Zatolokin 說：「在努力將網路安全風險降至最低影像監控系統時，最重要的因素是限制密碼的傳播。」他補充說，越來越多的組織要求使用者使用支援個人使用者帳戶的 VMS 或裝置管理平台，而不是允許使用者直接訪問裝置，並要求員工使用強密碼並每年至少更改一次。
Cummings 說，除了人為錯誤外，沒有安全保障的配置無法修補系統的企業也面臨風險。他說，使系統保持最新狀態 —— 包括作業系統、韌體、SQL 和應用程式更新 —— 可以幫助防止漏洞。
Cummings 還報告說，基於證書的攝影機、客戶端和伺服器身份驗證，以及影像流量的端到端加密有所增加。他補充說，更多的公司專注於裝置的安全配置，包括禁用不需要的埠和服務。

「任何電腦系統最薄弱的部分都是鍵盤上的人 —— 無論是透過社會工程還是 OSINT （開源情報）、賄賂、入室盜竊、訵詐等。」

—大衛·布倫特，博世安保和安全系統

德克薩斯州奧斯汀 Eagle Eye Networks 總裁兼執行長 Dean Drako 說，堵塞安全漏洞的另一種方式是透過雲，比過去更多的客戶接受雲，特別是因為他們更多地參與常見的 IT 實踐。他說：「在過去的幾年裡，實體安全買家變得更加聰明，與 IT 行業正在做的事情更加一致。」Drako 補充說，組織還要求為其影像監控裝置進行更多的系統審查、滲透測試和認證。他說：「這是他們獲得信心的一種方式，即軟體提供商的雲端公司真正認真對待安全。」「人們越來越意識到雲安全比滾動你自己的安全更好。」

這並不是說影像監控系統和攝影機不會構成一套獨特的漏洞。

弗吉尼亞州尚蒂伊 Pavilion 的首席資訊官 Mark LaBua 說：「通常情況下，影像監控系統中最大的網路風險來源是攝影機本身。」「攝影機帶來了巨大的風險，因為預設密碼並不總是被更改，而且它們沒有被隔離。攝影機本身在系統中的安全性往往最少。網路錄影機（NVR）也可能是一種網路風險。當 NVR 不在專業級防火牆後面，並且預設憑據沒有更改時，它們也會對網路攻擊構成重大風險。」

總部位於蒙特婁的 Genetec 首席安全架構師 Mathieu Chevalier 說：「基於軼事經驗，客戶認為 IP 攝影機是最大的風險，所以這就是他們所期待的安全。」但由於一些終端使用者擁有數千支監控攝影機，他說：「這是一個需要管理的規模問題。」由於許多攝影機位於建築物外，它們可以成為駭客容易接近的目標。例如，他補充說，2019 年的 Vercella 資料洩露是透過平台而不是透過監控攝影機發生的，但由於攝影機和物聯網現在是主流，它們是頭等最重要的。

博世的布倫特指出，由於網路介面薄弱，攝影機面臨的風險是跨場域指令碼注入攻擊，而大多數供應商要求有一個開放的 HTTP 埠，這一事實加劇了這一點。他再次指出，這與 NVR 供應商使用來自第三方裝置的非加密 RTSP 流有關。他說：「弱嵌入式作業系統的武器化允許載入可用於 DDOS 攻擊的 BOTS。」「雖然這是一種老派的攻擊，但它被用於許多目的，而且經常使用。如果駭客可以安裝物聯網裝置，他們可能不會關心影像，因為他們現在有一個 IP 地址和頻寬。」

Drako 說，大多數客戶都有從不同製造商那裡購買的各種攝影機，這些攝影機在很長一段時間內購買。這種不同的相機和軟體版本陣列可能很難保持更新。為瞭解決這個問題，Eagle Eye 開發了一種名為 Cyber Lockdown 的系統，該系統將攝影機與網際網路隔離開來，以確保它們不會受到影響。他說：「如果他們是，我們會提醒客戶，但因為他們[攝影機]是孤立的，幾乎不可能妥協他們。」「這使網路安全對客戶來說要好得多。」

霍尼韋爾相機

製造商對標準化認證的興趣越來越大，霍尼韋爾的格雷格·託馬斯科預測，2023 年將是進一步牽引的一年。 // 圖片由霍尼韋爾提供

製造商迎接挑戰

根據與你交談的，影像監控製造商要麼正在應對這一時刻並解決網路風險，要麼沒有採取足夠的工作來阻止威脅的浪潮。
霍尼韋爾的 Tomasko 說：「我看到製造商和整合商對標準化認證的興趣更大，因此我認為 2023 年將是進一步獲得牽引力的一年。」「這意味著讓外部認證機構確認製造商對其網路安全協議的自身評估。
i-PRO 的 Knehr 同意。他說：「製造商正在認真對待安全。」「幾乎每個主要製造商的網站上都有一個網路安全部分，吹捧其產品的安全功能。現代加密演算法和安全協議等網路安全功能，正在成為產品的基線，而不是例外。」

「通常，影像監控系統中最大的網路風險來源是攝影機本身」

—馬克·拉布阿，帕維恩

Knehr 引用了透過容器和虛擬化越來越使用分散式計算，作為製造商應對網路風險的一種方式。他說：「隨著消費者要求這些邊緣裝置進行更多分析，一些公司轉向虛擬容器來幫助在這些裝置上分配處理負載。」「我相信這個模型將徹底改變邊緣裝置的能力。透過結合網路上所有邊緣裝置的處理能力，分析不再侷限於單邊裝置本身的技術限制。」

Knehr 說，現代加密演算法是網路風險預防的另一個重要方面。然而，加密只和它使用的演算法一樣好。他補充說：「有時，隨著攻擊者找到解密的方法，這些演算法會變得過時。」「製造商必須跟上行業標準，以確保他們使用最新的加密演算法（見邊欄）。我推薦聯邦資訊處理標準[FIPS] 140 系列，以獲取符合要求的演算法的最新列表。」

Knehr 說，製造商還提供「漏洞獎勵」計劃 —— 獎勵任何在程式中發現漏洞的人。這些鼓勵駭客帶著漏洞來找製造商，而不是把它們釋放到野外，這使製造商能夠糾正這個問題。

2023 年的主要網路威脅

我們的訊息來源分享了他們認為當今最大的網路威脅：

大衛·布倫特，博世：估計每天有30萬到50萬個新的惡意軟體簽名註冊。 ...在某些情況下，高階持續威脅小組的目標設定了趨勢。這些小組人員配備齊全，程式編寫者，資金充足。還有一些網路幫派經營勒索軟體即服務（RaaS）。像Conti這樣的團體在暗網上提供一個劇本，包括目標和勒索軟體包給特許經營團體。這些變化的答案每天都在發生，但目標是穩定的，包括電力和公用事業公司、醫療保健和金融機構以及政府。

Josh Cummings，聖騎士：它們不是針對我們行業的。通常，我們在漏洞方面最大的挑戰是使用主流程式或服務，以及針對它們發現的漏洞。這是不可避免的，我們必須勤奮地修補系統來應對風險。

Mark LaBua，Paion：目前，供應鏈網路攻擊的趨勢越來越大。網路犯罪分子不是攻擊客戶，而是攻擊供應商，這反過來又使他們能夠訪問客戶資料。也非常關注未打補丁的系統。任何具有客戶尚未修補或供應商尚未釋出韌體更新的漏洞的系統都是網路攻擊的主要目標。每個人都應該審查他們的補丁團來解決這個漏洞。

Will Knehr，i-PRO：如果你看看任何大型研究公司或政府機構的頂級惡意軟體菌株，它們已經存在多年，只做了一些小的變化。這表明，大多數編寫惡意軟體並實施網路犯罪的人都有“如果它沒有壞，就不要修復它”的心態。當8歲的惡意軟體還在耙來耙時，為什麼要擔心寫下一件大事呢？這揭示了人們仍然因為同樣的原因而受到損害——通常不修補他們的系統，不啟用多因素身份驗證或密碼弱，不遵循最佳實踐，不正確配置裝置，以及不正確分割其網路。 ...機器人網路Mirai最近被修改為在安全攝像頭上使用Linux核心來劫持這些攝像頭，並使用它們對目標發起DDoS攻擊。

Ryan Zatolokin，Axis Communications：目前沒有任何特定型別的惡意軟體或勒索軟體特別惡毒，但重要的是要始終保持警惕並遵循最佳做法，以保持安全。然而，在過去，勒索軟體被用來破壞VMS平臺，或者更具體地說，這些平臺執行的Windows作業系統，應該始終考慮到這一點。保持系統最新狀態並遵循其他最佳實踐是減輕風險和為未來威脅做好準備的最佳方式。

霍尼韋爾的格雷格·託馬斯科：雖然我們經常聽到未知群體對知名品牌進行大型勒索軟體或間諜軟體攻擊，但任何人都不應該認為它們不是感興趣的目標。你比“隔壁的人”更安全並不重要。如果您與任何不良行為者可能認為“有價值”的東西有關——例如，個人的個人資訊或對建築物的實際訪問——您是潛在的目標。對於來自民族國家的攻擊，他們將繼續努力，直到成功。與實現他們的目標相比，時間和精力對他們來說更不關心。至關重要的是，要保持領先地位，並積極採取措施保護您的系統和裝置，同樣重要的是，在攻擊發生時能夠從攻擊中恢復。隨著我們越來越依賴互聯技術，惡意軟體的威脅只會繼續增長。這是一個“何時”會發生攻擊的情況，而不是“如果”。

他補充說，其他解決步驟包括程式審查、簽名安全證書，以及包含佈署和保護裝置的最佳實踐的強化指南。這些應該涵蓋如何開啟和配置安全功能，以確保客戶充分利用他們的裝置。

Pavion 的 Labua 說：「製造商現在積極參與促進其裝置的安全實踐。」「他們實際上已經開始專注於不僅保護客戶站點，而且保護保護客戶站點的系統。」他列舉了在多次登入嘗試失敗時，增加使用雙重身份驗證，和人工智慧來提供警報。

Axis 的 Zatolokin 說，許多製造商都引入了安全開發，這使他們能夠使用威脅建模來建立軟體。這確保了軟體從一開始就能抵禦某些威脅，並且網路安全不是事後才新增到產品中。製造商還引入了新功能，如簽名韌體和新的硬體功能，包括安全元件和可信平台模組（TPM）。

Paladin 的 Cummings 補充說：「一些（製造商）正在改變他們的理念，透過設計來確保安全，這意味著該系統的配置是為了立即提供高水準的安全性。」「如果需要功能或需要安全性較低的配置，則必須啟用。這與我們一直在營運的開放式設計理念形成鮮明對比，所有功能和服務都是開箱即用的，我們必須投入額外的時間和精力來保護產品。」

其他觀察家認為製造商可以做得更多。Brent 說：「該行業正在改善，但許多供應商都處於追趕模式。」「從製造商的角度來看，一些供應商終於開始認真對待網路安全，至少在他們的產品組合中的一些產品中是這樣。」他強調，博世自 2005 年以來一直參與網路安全，並自 2016 年以來一直提供「智慧財產權網路安全」影像認證課程。

Drako 將製造商對網路風險的反應分為兩個陣營：那些更適應網路風險的陣營和那些不適應網路風險的陣營。他說：「在我看來，硬體製造商對網路安全的反應是溫和的；我認為他們沒有給予它巨大的關注，因為大部分關注都落在客戶身上。（真是一針見血）」「我從未見過[許多]攝影機製造商談論他們如何在攝影機上進行第三方的滲透測試，以證明他們不太脆弱。另一方面，雲提供商一直非常專注於更多的滲透測試，更徹底的 SOC 資格，所有這些都與流程和程式有關，從而轉化為更好的網路安全。」