随着越来越多的勒索软件和网络攻击袭击关键基础设施、政府和企业目标,安全主管要求技术供应商专门解决所有新部署系统的网络安全问题。
近期,超过150000个基于云的Verkada物理安全摄像头遭到黑客攻击的新闻广为传播,它之所以成为人们关注的焦点,是因为其表明了如果网络基础设施安全不靠谱的话,未来的类似事件还会更多——因为物联网设备(包括安全摄像头)的爆炸式增长创造了不断扩大的威胁面。
黑客攻击导致了从医院、学校、公司办公室到警察局和监狱等社会各领域的数千台摄像头的访问权限被控制。黑客不仅能够看到各种设施,他们还访问了某些私人数据——例如,他们保存了从Verkada员工家中拍摄的视频片段,拘留设施中的囚犯,以及对谁使用了门禁卡的洞察进入某些病房以及何时进入。
面对网络入侵、用户信息泄露、监管罚款和消费者信心丧失等所有主要问题,安全主管们感到脆弱不足为奇。这些攻击让他们感觉自己暴露了,并最终怀疑技术和安装它的提供商的能力和完整性。各种类型的组织越来越多地拥有敏感数据,这些数据通常通过第三方网络或云存储在网上,例如个人身份信息、知识产权、客户数据、受保护的健康信息以及行业和政府数据。如果没有严格的网络安全措施,所有这些专有信息都很容易被黑客提取,他们会在安全链中寻找薄弱环节。
保护物理安全设备
这片不断扩大的攻击面,已成为独立的、某些团体支持的黑客组织瓦解对手、或为自己和各自支持者获益的机会。值得庆幸的是,Verkada 漏洞是由一个国际黑客团体执行的,其目标是突出视频监控以及侵入基于云的系统的整体容易性,而不是更广泛的恶意间谍阴谋或赎金计划。
现在是保护数字资产、加强集成商与客户网络连接的每一项技术和软件的最重要时刻。网络安全考虑应该是技术供应商开发的一个不可分割的部分,包括由内部和外部漏洞测试、严格的代码审查和严格的IT协议组成的持续过程。关键基础设施和政府应用的安全系统应该有经过验证的网络安全政策、NDAA遵从性以及旨在保持信息和网络安全的技术特性的支持。
对于集成商及其客户,网络安全物理安全计划应包括四个关键考虑因素,以帮助维护物理安全设备的网络安全完整性。虽然网络漏洞可能无法预测,但这四项关键的网络安全建议可以帮助集成商和最终用户组织更好地抵御非法网络攻击:
网络安全产品特点;
进行例行渗透测试;
为物理安全设备创建封闭网络;
合规性-使用致力于网络安全并遵守国防授权法 (NDAA) 规定的供应商。
网络安全产品的特点
网络安全不仅是一种功能,也是一种思维方式。强化来自外部黑客的安全系统需要支持最新网络安全功能的硬件,以及确保始终遵循最佳实践的程序。在选择与之合作的硬件供应商时,集成商应寻找以下有形功能,以确保硬件能够与最终客户的整体网络安全策略很好地集成:
IEEE802.1x身份验证:保护以太网局域网 (LAN) 或边缘安全网络免受凭据与身份验证服务器不匹配的未授权用户的侵害。
传输层安全(TLS)协议:充当摄像机和视频管理系统之间的加密协议,以确保设备和服务器之间的连接安全且私密。
超文本传输协议安全 (HTTPS):通过计算机网络实现安全通信;此通信协议通过 TLS 进行加密。
用户身份验证:强制执行强密码策略并强制在使用时更改默认密码。密码应始终保持高度随机,使用字母、数字和符号的组合,而不是遵循可猜测的模式。密码也应定期更改。
没有后门帐户:确保没有后门访问摄像头。根据供应商的不同,技术支持团队应该能够将固件下载到设备以进行故障排除,然后在会话结束后重新下载非后门固件。如果供应商为支持团队留下了后门,则黑客可以利用此漏洞。
通过防火墙进行访问控制:保护应用服务器免受不受信任的网络和流量的影响;使用户能够“允许”他们正在使用的服务并“阻止”他们没有使用的服务。可以打开或关闭的服务包括实时流协议 (RTSP)、通用即插即用 (UPNP)、供应商特定的专有 API 和 Internet 控制消息传递协议 (ICMP)。
摘要式身份验证:确保仅将密码的加密版本保存在服务器上,使其不易被解码。
签名固件:供应商必须提供一种签名固件上传机制,以确保恶意软件无法加载到安全硬件上。
此外,集成商应确保对最新可用版本进行勤奋的固件更新,以确保解决和关闭任何漏洞。
配置锁定:防止多次失败的登录尝试。
渗透测试
保持网络安全的一个关键因素是关注最新的风险。一个强大的网络安全策略是不断地对所有产品和固件进行测试,以确定存在哪些新的威胁。有了这些数据,集成商和最终用户可以确保解决方案具有最新的防御功能,以减轻这些威胁。
进行内部和第三方渗透测试,其中技术人员试图攻破自己的摄像头,是供应商的一个关键做法,以确保解决方案能够适当防御。供应商应订阅已知网络安全漏洞库,定期检查产品是否存在这些威胁,生成调查结果报告,并根据需要进行技术调整。这些漏洞和后续修复应立即报告给集成商,然后集成商应为最终用户系统打补丁。
同样,集成商可以与第三方网络安全渗透公司合作,这些公司使用漏洞库中可用的威胁或技术之外的技术。这些外部审查可以通过收费或其他形式的RMR提供。
集成商还应指示最终用户定期抽查来自各个安全设备、VMS软件、防火墙/VPN和安全网络相关组件的日志文件,以帮助指出攻击或入侵的迹象。在许多情况下,可以在获得访问权限之前注意到攻击企图,并可以采取适当的措施将攻击者拒之门外。如果攻击者确实获得了访问权限,日志文件审查可能有助于确定攻击的范围和来源。
本地视频存储和封闭网络
尽管云存储很方便,但它通常不像本地存储那么安全,Verkada漏洞特别说明了这一点。使用基于云的视频存储,视频通过互联网托管和存储在远程在线服务器上,登录凭据被泄露以及外部黑客攻击的风险和机会更大。本地存储解决方案——当所有服务器和客户端工作站都位于现场时——意味着只有经过授权的公司人员才能查看和管理物理安全设备,网络之外的任何人都无法访问网络上的设备。此外,当边缘设备位于与客户公司网络隔离的封闭网络中时,安全解决方案就与外部、互联网和远程访问隔离开来——通过关闭对网络其他部分的攻击区域,最终加强安全系统抵御外部攻击的能力。
虽然封闭网络对于小客户来说通常不太可行,但针对关键基础设施中高度安全设施和其他管理敏感信息的实体的企业集成商应该提供本地视频存储和封闭网络选项,作为云的强大替代方案。
NDAA合规性
除了使用具有网络防御功能的设备外,参与2019年安全业务行业现状调查的集成商中有64%表示,供应商的原产国会影响他们推荐或购买安全设备的决定产品。
例如,在当今国际关系比较复杂的形势下,美国的《国防授权法案》(NDAA)无疑是最典型的例子——具体来说,该法案第889条禁止政府机构采购或使用海康威视、大华、华为、中兴等中国技术公司生产的设备,用于公共安全,政府设施的安全,关键基础设施的物理安全监控,以及其他国家安全目的。
因此,许多集成商和制造商被迫转向其他的供应商。
总结
虽然这些建议很有用,但重要的是要记住,网络安全是一个不断发展的过程,通常取决于特定于站点、安装环境或用例的变量。因此,不存在通用的建议或程序手册。
也就是说,与常见的默认安装程序相比,实施这四项建议至少会提供更多的网络强化功能和实践——这是网络安全的宝贵基础,可以帮助安全主管减少脆弱性。