[[405946]]

隨著越來越多的勒索軟件和網(wǎng)絡(luò)攻擊襲擊關(guān)鍵基礎(chǔ)設(shè)施、政府和企業(yè)目標(biāo)，安全主管要求技術(shù)供應(yīng)商專門解決所有新部署系統(tǒng)的網(wǎng)絡(luò)安全問題。

近期，超過 150000 個(gè)基于云的 Verkada 物理安全攝像頭遭到黑客攻擊的新聞廣為傳播，它之所以成為人們關(guān)注的焦點(diǎn)，是因?yàn)槠浔砻髁巳绻W(wǎng)絡(luò)基礎(chǔ)設(shè)施安全不靠譜的話，未來的類似事件還會(huì)更多——因?yàn)槲锫?lián)網(wǎng)設(shè)備(包括安全攝像頭)的爆炸式增長(zhǎng)創(chuàng)造了不斷擴(kuò)大的威脅面。

黑客攻擊導(dǎo)致了從醫(yī)院、學(xué)校、公司辦公室到警察局和監(jiān)獄等社會(huì)各領(lǐng)域的數(shù)千臺(tái)攝像頭的訪問權(quán)限被控制。黑客不僅能夠看到各種設(shè)施，他們還訪問了某些私人數(shù)據(jù)——例如，他們保存了從 Verkada 員工家中拍攝的視頻片段，拘留設(shè)施中的囚犯，以及對(duì)誰使用了門禁卡的洞察進(jìn)入某些病房以及何時(shí)進(jìn)入。

面對(duì)網(wǎng)絡(luò)入侵、用戶信息泄露、監(jiān)管罰款和消費(fèi)者信心喪失等所有主要問題，安全主管們感到脆弱不足為奇。這些攻擊讓他們感覺自己暴露了，并最終懷疑技術(shù)和安裝它的提供商的能力和完整性。各種類型的組織越來越多地?fù)碛忻舾袛?shù)據(jù)，這些數(shù)據(jù)通常通過第三方網(wǎng)絡(luò)或云存儲(chǔ)在網(wǎng)上，例如個(gè)人身份信息、知識(shí)產(chǎn)權(quán)、客戶數(shù)據(jù)、受保護(hù)的健康信息以及行業(yè)和政府?dāng)?shù)據(jù)。如果沒有嚴(yán)格的網(wǎng)絡(luò)安全措施，所有這些專有信息都很容易被黑客提取，他們會(huì)在安全鏈中尋找薄弱環(huán)節(jié)。

保護(hù)物理安全設(shè)備

這片不斷擴(kuò)大的攻擊面，已成為獨(dú)立的、某些團(tuán)體支持的黑客組織瓦解對(duì)手、或?yàn)樽约汉透髯灾С终攉@益的機(jī)會(huì)。值得慶幸的是，Verkada 漏洞是由一個(gè)國際黑客團(tuán)體執(zhí)行的，其目標(biāo)是突出視頻監(jiān)控的無所不在以及侵入基于云的系統(tǒng)的整體容易性，而不是更廣泛的惡意間諜陰謀或贖金計(jì)劃。

現(xiàn)在是保護(hù)數(shù)字資產(chǎn)、加強(qiáng)集成商與客戶網(wǎng)絡(luò)連接的每一項(xiàng)技術(shù)和軟件的最重要時(shí)刻。網(wǎng)絡(luò)安全考慮應(yīng)該是技術(shù)供應(yīng)商開發(fā)的一個(gè)不可分割的部分，包括由內(nèi)部和外部漏洞測(cè)試、嚴(yán)格的代碼審查和嚴(yán)格的IT協(xié)議組成的持續(xù)過程。關(guān)鍵基礎(chǔ)設(shè)施和政府應(yīng)用的安全系統(tǒng)應(yīng)該有經(jīng)過驗(yàn)證的網(wǎng)絡(luò)安全政策、NDAA遵從性以及旨在保持信息和網(wǎng)絡(luò)安全的技術(shù)特性的支持。

對(duì)于集成商及其客戶，網(wǎng)絡(luò)安全物理安全計(jì)劃應(yīng)包括四個(gè)關(guān)鍵考慮因素，以幫助維護(hù)物理安全設(shè)備的網(wǎng)絡(luò)安全完整性。雖然網(wǎng)絡(luò)漏洞可能無法預(yù)測(cè)，但這四項(xiàng)關(guān)鍵的網(wǎng)絡(luò)安全建議可以幫助集成商和最終用戶組織更好地抵御非法網(wǎng)絡(luò)攻擊：

• 網(wǎng)絡(luò)安全產(chǎn)品特點(diǎn);
• 進(jìn)行例行滲透測(cè)試;
• 為物理安全設(shè)備創(chuàng)建封閉網(wǎng)絡(luò);
• 合規(guī)性-使用致力于網(wǎng)絡(luò)安全并遵守國防授權(quán)法 (NDAA) 規(guī)定的供應(yīng)商。

網(wǎng)絡(luò)安全產(chǎn)品的特點(diǎn)

網(wǎng)絡(luò)安全不僅是一種功能，也是一種思維方式。強(qiáng)化來自外部黑客的安全系統(tǒng)需要支持最新網(wǎng)絡(luò)安全功能的硬件，以及確保始終遵循最佳實(shí)踐的程序。在選擇與之合作的硬件供應(yīng)商時(shí)，集成商應(yīng)尋找以下有形功能，以確保硬件能夠與最終客戶的整體網(wǎng)絡(luò)安全策略很好地集成：

IEEE 802.1x 身份驗(yàn)證：保護(hù)以太網(wǎng)局域網(wǎng) (LAN) 或邊緣安全網(wǎng)絡(luò)免受憑據(jù)與身份驗(yàn)證服務(wù)器不匹配的未授權(quán)用戶的侵害。

傳輸層安全 (TLS) 協(xié)議：充當(dāng)攝像機(jī)和視頻管理系統(tǒng)之間的加密協(xié)議，以確保設(shè)備和服務(wù)器之間的連接安全且私密。

超文本傳輸協(xié)議安全 (HTTPS)：通過計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)安全通信;此通信協(xié)議通過 TLS 進(jìn)行加密。

用戶身份驗(yàn)證：強(qiáng)制執(zhí)行強(qiáng)密碼策略并強(qiáng)制在首次使用時(shí)更改默認(rèn)密碼。密碼應(yīng)始終保持高度隨機(jī)，使用字母、數(shù)字和符號(hào)的組合，而不是遵循可猜測(cè)的模式。密碼也應(yīng)定期更改。

沒有后門帳戶：確保沒有后門訪問攝像頭。根據(jù)供應(yīng)商的不同，技術(shù)支持團(tuán)隊(duì)?wèi)?yīng)該能夠?qū)⒐碳螺d到設(shè)備以進(jìn)行故障排除，然后在會(huì)話結(jié)束后重新下載非后門固件。如果供應(yīng)商為支持團(tuán)隊(duì)留下了后門，則黑客可以利用此漏洞。

通過防火墻進(jìn)行訪問控制：保護(hù)應(yīng)用服務(wù)器免受不受信任的網(wǎng)絡(luò)和流量的影響;使用戶能夠“允許”他們正在使用的服務(wù)并“阻止”他們沒有使用的服務(wù)。可以打開或關(guān)閉的服務(wù)包括實(shí)時(shí)流協(xié)議 (RTSP)、通用即插即用 (UPNP)、供應(yīng)商特定的專有 API 和 Internet 控制消息傳遞協(xié)議 (ICMP)。

摘要式身份驗(yàn)證：確保僅將密碼的加密版本保存在服務(wù)器上，使其不易被解碼。

簽名固件：供應(yīng)商必須提供一種簽名固件上傳機(jī)制，以確保惡意軟件無法加載到安全硬件上。

此外，集成商應(yīng)確保對(duì)最新可用版本進(jìn)行勤奮的固件更新，以確保解決和關(guān)閉任何漏洞。

配置鎖定：防止多次失敗的登錄嘗試。

滲透測(cè)試

保持網(wǎng)絡(luò)安全的一個(gè)關(guān)鍵因素是關(guān)注最新的風(fēng)險(xiǎn)。一個(gè)強(qiáng)大的網(wǎng)絡(luò)安全策略是不斷地對(duì)所有產(chǎn)品和固件進(jìn)行測(cè)試，以確定存在哪些新的威脅。有了這些數(shù)據(jù)，集成商和最終用戶可以確保解決方案具有最新的防御功能，以減輕這些威脅。

進(jìn)行內(nèi)部和第三方滲透測(cè)試，其中技術(shù)人員試圖攻破自己的攝像頭，是供應(yīng)商的一個(gè)關(guān)鍵做法，以確保解決方案能夠適當(dāng)防御。供應(yīng)商應(yīng)訂閱已知網(wǎng)絡(luò)安全漏洞庫，定期檢查產(chǎn)品是否存在這些威脅，生成調(diào)查結(jié)果報(bào)告，并根據(jù)需要進(jìn)行技術(shù)調(diào)整。這些漏洞和后續(xù)修復(fù)應(yīng)立即報(bào)告給集成商，然后集成商應(yīng)為最終用戶系統(tǒng)打補(bǔ)丁。

同樣，集成商可以與第三方網(wǎng)絡(luò)安全滲透公司合作，這些公司使用漏洞庫中可用的威脅或技術(shù)之外的技術(shù)。這些外部審查可以通過收費(fèi)或其他形式的 RMR 提供。

集成商還應(yīng)指示最終用戶定期抽查來自各個(gè)安全設(shè)備、VMS 軟件、防火墻/VPN 和安全網(wǎng)絡(luò)相關(guān)組件的日志文件，以幫助指出攻擊或入侵的跡象。在許多情況下，可以在獲得訪問權(quán)限之前注意到攻擊企圖，并可以采取適當(dāng)?shù)拇胧⒐粽呔苤T外。如果攻擊者確實(shí)獲得了訪問權(quán)限，日志文件審查可能有助于確定攻擊的范圍和來源。

本地視頻存儲(chǔ)和封閉網(wǎng)絡(luò)

盡管云存儲(chǔ)很方便，但它通常不像本地存儲(chǔ)那么安全，Verkada 漏洞特別說明了這一點(diǎn)。使用基于云的視頻存儲(chǔ)，視頻通過互聯(lián)網(wǎng)托管和存儲(chǔ)在遠(yuǎn)程在線服務(wù)器上，登錄憑據(jù)被泄露以及外部黑客攻擊的風(fēng)險(xiǎn)和機(jī)會(huì)更大。本地存儲(chǔ)解決方案——當(dāng)所有服務(wù)器和客戶端工作站都位于現(xiàn)場(chǎng)時(shí)——意味著只有經(jīng)過授權(quán)的公司人員才能查看和管理物理安全設(shè)備，網(wǎng)絡(luò)之外的任何人都無法訪問網(wǎng)絡(luò)上的設(shè)備。此外，當(dāng)邊緣設(shè)備位于與客戶公司網(wǎng)絡(luò)隔離的封閉網(wǎng)絡(luò)中時(shí)，安全解決方案就與外部、互聯(lián)網(wǎng)和遠(yuǎn)程訪問隔離開來——通過關(guān)閉對(duì)網(wǎng)絡(luò)其他部分的攻擊區(qū)域，最終加強(qiáng)安全系統(tǒng)抵御外部攻擊的能力。

雖然封閉網(wǎng)絡(luò)對(duì)于小客戶來說通常不太可行，但針對(duì)關(guān)鍵基礎(chǔ)設(shè)施中高度安全設(shè)施和其他管理敏感信息的實(shí)體的企業(yè)集成商應(yīng)該提供本地視頻存儲(chǔ)和封閉網(wǎng)絡(luò)選項(xiàng)，作為云的強(qiáng)大替代方案。

NDAA 合規(guī)性

除了使用具有網(wǎng)絡(luò)防御功能的設(shè)備外，參與 2019 年安全業(yè)務(wù)行業(yè)現(xiàn)狀調(diào)查的集成商中有 64% 表示，供應(yīng)商的原產(chǎn)國會(huì)影響他們推薦或購買安全設(shè)備的決定產(chǎn)品。

例如，在當(dāng)今國際關(guān)系比較復(fù)雜的形勢(shì)下，美國的《國防授權(quán)法案》(NDAA)無疑是最典型的例子——具體來說，該法案第889條禁止政府機(jī)構(gòu)采購或使用海康威視、大華、華為、中興等中國技術(shù)公司生產(chǎn)的設(shè)備，用于公共安全，政府設(shè)施的安全，關(guān)鍵基礎(chǔ)設(shè)施的物理安全監(jiān)控，以及其他國家安全目的。

因此，許多集成商和制造商被迫轉(zhuǎn)向其他的供應(yīng)商。

總結(jié)

雖然這些建議很有用，但重要的是要記住，網(wǎng)絡(luò)安全是一個(gè)不斷發(fā)展的過程，通常取決于特定于站點(diǎn)、安裝環(huán)境或用例的變量。因此，不存在通用的建議或程序手冊(cè)。

也就是說，與常見的默認(rèn)安裝程序相比，實(shí)施這四項(xiàng)建議至少會(huì)提供更多的網(wǎng)絡(luò)強(qiáng)化功能和實(shí)踐——這是網(wǎng)絡(luò)安全的寶貴基礎(chǔ)，可以幫助安全主管減少脆弱性。