物聯(lián)網(wǎng)智庫 整理發(fā)布

轉(zhuǎn)載請注明來源和出處

導  讀

總理在政府工作報告中提到:中央預算內(nèi)投資安排6000億元。重點支持既促消費惠民生又調(diào)結(jié)構(gòu)增后勁的“兩新一重”建設(shè)。

近日,一群黑客自曝攻擊了美國硅谷初創(chuàng)公司Verkada提供的基于云的攝像頭服務,采集了攝像機數(shù)據(jù),并盜取了15萬個監(jiān)控攝像頭的實時視頻,涉及醫(yī)院、診所、公司、警察部門、監(jiān)獄、學校、精神病院等眾多場景,尤為引發(fā)關(guān)注的是,其中還包括特斯拉工廠和倉庫內(nèi)的222個攝像頭。

黑客爆料:入侵并不復雜

事件發(fā)生后,Verkada公司立即進行應急響應,禁用所有內(nèi)部管理員帳戶,以防止任何未經(jīng)授權(quán)的訪問,并進行調(diào)查取證。該公司同時表示,截至美國時間3月9日中午,系統(tǒng)仍是安全的,沒有用戶密碼泄露,黑客只是獲得了攝像頭的訪問權(quán)限和客戶名單,同時已就大規(guī)模黑客入侵事件聯(lián)系了美國聯(lián)邦調(diào)查局。

特斯拉也回應稱,此次黑客的入侵范圍僅涉及河南一處特斯拉供應商生產(chǎn)現(xiàn)場,此工廠使用了少數(shù)Verkada品牌攝像機用作遠程質(zhì)量管理,其他如上海超級工廠與此并不關(guān)聯(lián),且其他攝像設(shè)備均接入公司內(nèi)網(wǎng)而非互聯(lián)網(wǎng)。目前,特斯拉已停止了這些攝像頭的聯(lián)網(wǎng),并將進一步提升各環(huán)節(jié)的安全把控。

然而,在所有公司忙著應急響應、公開辟謠的時候,黑客組織成員蒂莉·科特曼(Tillie Kottmann)卻表示,入侵Verkada攝像頭的方法并不復雜——僅僅是在互聯(lián)網(wǎng)上發(fā)現(xiàn)了一個公開的管理員賬戶的用戶名和密碼就進入了Verkada網(wǎng)絡內(nèi)部,甚至他們還能獲得攝像頭的root權(quán)限,利用攝像頭執(zhí)行自己的代碼。

同時,科特曼還表示,此舉的目的是向大眾展示視頻監(jiān)控的普及程度以及系統(tǒng)是如何被輕松入侵的,目前并未給波及單位造成明顯商業(yè)損失。顯然,侮辱性極強。但是,這次網(wǎng)絡安全攻擊也確實為物聯(lián)網(wǎng)行業(yè)敲響了警鐘。

國內(nèi)外安全攻擊頻發(fā)

近年來,視頻監(jiān)控技術(shù)在AI、大數(shù)據(jù)、云平臺的加持下大規(guī)模落地于各個行業(yè),廣泛覆蓋公共道路、辦公樓、商超大廈、學校、醫(yī)院、工廠等場景,甚至在私密性極強的家居場景也不乏網(wǎng)絡攝像頭。后疫情時代,人們更是對機器視覺催生出的人臉識別、無接觸測溫、遠程辦公、遠程醫(yī)療、在線教育等一眾智能應用愈發(fā)地依賴。

根據(jù)中國安全防范產(chǎn)品行業(yè)協(xié)會的預測,未來幾年國內(nèi)外對安防技術(shù)產(chǎn)品的基本建設(shè)需求、系統(tǒng)的升級換代需求以及新業(yè)態(tài)的拓展,都將保持穩(wěn)定增長的趨勢,預計“十三五”期間中國安防行業(yè)經(jīng)濟增長將保持在10%-12%之間 ,2020年行業(yè)經(jīng)濟總收入將達到8000億元左右,安防行業(yè)增加值將達到2500億元左右。

業(yè)內(nèi)常言,多一個接入點就多一個攻擊點。但是,隨著智能終端的爆發(fā)式增長,安全攻擊入口自然隨之而來,貫穿數(shù)據(jù)產(chǎn)生與采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)分析、數(shù)據(jù)應用全鏈路,涉及數(shù)據(jù)生產(chǎn)者、數(shù)據(jù)收集者、數(shù)據(jù)存儲方、數(shù)據(jù)使用者等各級企業(yè),存在著數(shù)據(jù)竊取、數(shù)據(jù)破壞、非法監(jiān)控、非法篡改等諸多安全問題,網(wǎng)絡結(jié)構(gòu)的復雜化也在不斷提升著安全防御的難度。

然而,從這次Verkada公司攻擊事件來看,黑客并沒有對特斯拉工廠或者美國醫(yī)院、監(jiān)獄的任何一個接入點動手,而是直搗黃龍,“大搖大擺”地走進了Verkada公司的網(wǎng)絡內(nèi)部。正如電子前沿基金會網(wǎng)絡安全負責人伊娃·戈爾佩林(Eva Galperin)所講,有些公司在將安全攝像頭放在比較敏感的地方時,可能并沒有想到這些視頻除了被自己的安全團隊使用外,也能被攝像頭廠商查看。

在網(wǎng)絡攝像機如火如荼發(fā)展的這些年中,它的負面消息也從未間斷。

2014年,�？低�視 DVR、NVR 產(chǎn)品的返修數(shù)量非正常升高,公司發(fā)現(xiàn)系網(wǎng)絡攻擊導致。經(jīng)排查,被攻擊的設(shè)備均應用于互聯(lián)網(wǎng)且未修改設(shè)備初始密碼,黑客持續(xù)利用美國、瑞典、荷蘭等境外服務器資源,直接通過初始密碼Telnet登錄,并植入腳本文件,進而挾持、破壞設(shè)備固件。公安系統(tǒng)設(shè)備甚至也可能暴露于攻擊范圍內(nèi)。

2018年,外媒報道,數(shù)以萬計的大華設(shè)備的登陸密碼被緩存在ZoomEye物聯(lián)網(wǎng)搜索引擎的搜索結(jié)果中,這些密碼適用于運行有老舊固件的大華DVR,攻擊者可以在37777端口上的大華DVR啟動原始TCP連接,以發(fā)送特殊的有效載荷,一旦大華設(shè)備收到此有效負載,它將以DDNS憑證響應從而訪問設(shè)備和其他數(shù)據(jù),這一切都以明文形式進行響應。雖然該漏洞已于2013年被發(fā)現(xiàn)、修補,但仍有大批大華設(shè)備仍未更新。

2019年,溫州警方曾破獲了一起非法販賣某品牌APP掃描工具以及利用APP掃描工具對他人的攝像頭進行掃描、控制達到數(shù)十萬只的案件。

2020年,黑客入侵面部識別初創(chuàng)公司Clearview AI,訪問了該公司的客戶名單、客戶建立的用戶賬戶數(shù)量,以及客戶進行的搜索次數(shù)等,其中涉及到的客戶包括執(zhí)法機構(gòu)、銀行等。據(jù)了解,Clearview AI 的圖片庫主要來源于互聯(lián)網(wǎng),其中包括來自 Facebook、Instagram、Twitter 和 YouTube 等流行社交媒體平臺的照片,總量達 30 多億張,遠超 FBI 的數(shù)據(jù)庫。

……

轉(zhuǎn)守為攻,構(gòu)建主動安全機制

身處智能時代,安全之于用戶意味著在享受智能終端便利的同時無隱私泄露之憂;安全之于企業(yè)意味著生產(chǎn)、工作有序完成的基礎(chǔ)保障。此外,人臉識別廣泛應用的同時,人臉數(shù)據(jù)的泄露不僅關(guān)乎個人隱私,也可能同時造成難以挽回的經(jīng)濟損失。所以,企業(yè)必須要扭轉(zhuǎn)“被動挨打”的窘境,主動出擊。

網(wǎng)絡安全永遠是攻擊者與防御者之間的博弈,當單純防御與應急響應無法滿足實際需求時,這場貓鼠游戲的角色也在悄然轉(zhuǎn)變,企業(yè)正在逐步邁入主動安全時代。

早在2017年,新華三集團便在業(yè)界率先提出了“主動安全”理念,以主動發(fā)現(xiàn)、智能分析、提前預警、及時響應為核心目的,并已經(jīng)演進至2．0階段,實現(xiàn)了云-管-邊-端的全面AI賦能及全面云化,通過組件級、產(chǎn)品級和解決方案級協(xié)同實現(xiàn)了覆蓋路由層、交換層、無線端、終端、計算方、存儲方的更廣域連接;實現(xiàn)了包含篡改網(wǎng)址阻斷、風險用戶下線、風險主機隔離在內(nèi)的更深層響應;涵蓋了安全運維一體化、物聯(lián)網(wǎng)安全、視頻安全、云安全在內(nèi)的更廣泛場景。

2018年,360公司創(chuàng)始人周鴻祎在第二屆世界智能大會上,首次提出了360“安全大腦”的全新概念,以安全大數(shù)據(jù)分析為基礎(chǔ),構(gòu)建網(wǎng)絡空間的雷達系統(tǒng)�；�于大范圍、長時間、多維度的安全大數(shù)據(jù),綜合運用大數(shù)據(jù)分析、機器學習以及人機結(jié)合等關(guān)鍵技術(shù),感知安全風險,且具備自我學習、自我演進的能力,可實現(xiàn)對新威脅的識別,還可依據(jù)安全大數(shù)據(jù)及先驗知識或規(guī)則進行推理,并對未來可能發(fā)生的網(wǎng)絡安全威脅和攻擊進行預測。同時,綜合利用各種技術(shù),實現(xiàn)對網(wǎng)絡安全威脅的分析、判斷、處置、響應、反制等決策進行輔助。

此外,面對物聯(lián)網(wǎng)安全領(lǐng)域的嚴峻挑戰(zhàn),企業(yè)也紛紛開始布局。賽普拉斯面向物聯(lián)網(wǎng)開發(fā)者推出了保證物聯(lián)網(wǎng)安全的方案;紫光國微的THD89芯片在敏感信息加密存儲、安全認證等方面提供了完整解決方案,可有效保障物聯(lián)網(wǎng)的終端安全;國民技術(shù)推出了一系列嵌入式應用的安全芯片及安全MCU產(chǎn)品;英飛凌也推出了基于硬件的安全解決方案,以保障物聯(lián)網(wǎng)設(shè)備“上云”的安全性。

寫在最后

安全領(lǐng)域的攻防對抗不會停止,防御挑戰(zhàn)也將隨著物聯(lián)網(wǎng)終端數(shù)量的增加與賦能場景的擴張而升級,幸而在AI、大數(shù)據(jù)等技術(shù)的加持下,主動安全機制正在不斷完善、演進,進而幫助企業(yè)提升安全能力。

參考資料:

1、《黑客入侵15萬個攝像頭,偶然曝光特斯拉上海工廠實況!》,智東西

2、《起因222個攝像頭,特斯拉工廠教會IoT行業(yè)的事》,物聯(lián)傳媒

3、《�？低�視遭遇“安全門” 黑客境外攻擊已達半年》,北京青年報

4、《2020年中國“AI+安防”行業(yè)研究報告》。36氪研究院

5、《數(shù)萬臺大華設(shè)備現(xiàn)漏洞 密碼暴露于ZoomEye物聯(lián)網(wǎng)搜索引擎》,天極網(wǎng)

6、《全世界運行著大約230億臺物聯(lián)網(wǎng)設(shè)備,安全問題如何解?》,中國電子報