-
匡恩網絡的物聯網安全解決方案:網絡攝像頭安全防護
- 發布時間:2017/9/29 20:23:16
修改時間:2017/9/29 20:23:16 瀏覽次數:13273
-
-
一、網絡攝像頭安全現狀
網絡攝像頭安全問題已經引起社會的關注。2016年10月份發生在美國的大面積斷網事件,導致美國東海岸地區遭受大面積網絡癱瘓,其原因為美國域名解析服務提供商Dyn公司當天受到強力的DDoS攻擊所致。Dyn公司稱此次DDoS攻擊行為來自一千萬個IP來源,其中重要的攻擊來源于物聯網設備。這些設備遭受一種稱為Mirai病毒的入侵攻擊,大量設備形成了引發DDOS攻擊的僵尸網絡。
遭受Mirai病毒入侵的物聯網設備包括大量網絡攝像頭,Mirai病毒攻擊這些物聯網設備的主要手段是通過出廠時的登錄用戶名和并不復雜的口令猜測。事后,一些網絡攝像頭廠商及時更新了登陸口令,但有些廠商的設備使用了固定用戶名和口令的登錄方式,沒有提供口令修改功能。因此面對Mirai病毒的肆虐卻無能為力。
二、設備廠商的“覺醒”
經過DDoS攻擊事件后,網絡攝像頭的設備廠商一定已經“覺醒”,知道對攝像頭進行安全保護了。但怎樣對網絡攝像頭進行安全保護呢?既然Mirai病毒的入侵方式是猜測用戶名和口令,那就可以使用病毒猜不到的口令。通常設備廠商使用的口令也是不容易猜測的,但不知Mirai病毒制造者是怎么破解的。
考慮到無論使用多么隨機的口令,如果所有設備使用同一口令的話,就容易被破解,因此有些設備商考慮使用動態更新口令的功能。只要能動態更新,就不怕被黑客猜測了。
三、安全防護技術的“亡羊補牢”策略不可取
網絡安全事件時有發生,“亡羊補牢”有時是彌補的最好方法。但如何“補”,則關系到“牢之牢”,是堅固之“牢”還是形同虛設?
目前發現黑客的攻擊方法是猜測“弱口令”,那么就在更新產品中使用隨機性好的口令;黑客可以通過其他手段獲得口令,例如如果有一批產品使用同一個口令,則黑客通過購買一個設備來進行分析,就可以獲得這個口令,無論該口令的隨機性如何,都不增加黑客獲得該口令的難度,這時該怎么辦?改為每個設備使用單獨的口令?那么黑客可以入侵服務器的數據庫,竊取口令文件,然后也能成功入侵。即使通過嚴格的管理,讓黑客無法獲得口令文件,黑客也可能通過系統漏洞入侵到設備中,這是許多網絡蠕蟲病毒入侵傳播的重要途徑。因此通過簡單的修改想抵擋黑客的入侵,實在太困難了。
隨著網絡技術在各個行業的應用,網絡的重要性越來越高,同時網絡黑客的技術手段也越來越高。網絡黑客從早期的個人惡作劇行為,到后來的有組織行為,再到后來的有地下產業鏈,直到今天的網絡戰爭,黑客已經不僅僅是地下組織,還包括國家團體。因此,黑客的攻擊手段,遠超過我們的想象。去年8月份美國NSA方程式組織Equation Group被黑,大量黑客工具泄露,從這些被泄露的工具就可看出,全球70%的Windows系統可以被這些工具遠程入侵。這才是被泄露的部分工具。我們不知道沒有泄露的工具還有哪些,有什么攻擊能力,但可以想象,能阻擋最強黑客組織攻擊的系統需要非常堅固的安全防護手段。
面對如此強大的黑客組織和黑客工具,資源有限的物聯網設備還有防御能力嗎?答案是肯定的。黑客攻擊都是為了一定的目的,或者是經濟目的,或者是政治目的。針對物聯網設備,只要讓黑客攻擊所獲利益不足以彌補其攻擊所付的代價,這種防護就是成功的。當然,要正確評估攻擊代價與攻擊利益也是困難的,只能根據物聯網設備的實際情況,包括設備本身的資源,設備的重要性等因素進行安全防護。
因此,對物聯網設備的安全保護,不能簡單地使用“亡羊補牢”的措施,發現問題后再進行彌補,同時也不必對安全防護失去信心,認為面對強大的黑客,任何防護都會失敗。正確的辦法是,讓專業團隊設計安全的解決方案。
四、匡恩網絡的安全解決方案
匡恩網絡的專家團隊分析認為,網絡攝像頭的安全防護包括以下幾個層面:
(1)防止入侵;
(2)防止成為網絡肉雞;
(3)防止數據被非法竊取;
(4)防止數據假冒;
(5)防止設備被毀。
其中,防止入侵是第一步最根本的防護。去年物聯網設備參與的大規模DDOS攻擊,就是因為第一步防護沒做好,或者防護能力太差。防止入侵最基本的要求是使用不可猜測的口令。但口令的設置從來是一個糾結的事:太簡單容易被猜測,太復雜則難記憶,難管理。對物聯網設備來說,難記憶的因素可以不考慮,但讓每一個設備有一個單獨的口令則很難管理,一旦存儲口令的文件失竊,則所有設備的第一道安全防護全部喪失。
但無論怎么防護,第一道防線可能失敗,也就是說黑客可能有能力入侵到物聯網設備中。那么黑客的目的是什么?從去年的DDOS事件來看,黑客入侵單個物聯網設備的獲利不大,而通過將這些設備控制成為網絡肉雞,形成具有網絡攻擊能力的僵尸網絡,對黑客來說才是更有吸引力的。
當然黑客入侵的另一目的可能是獲得數據(如監控數據),偽造數據(如對重要監控數據的替換),控制設備(如調節監控角度、精度等),甚至讓設備癱瘓。
針對不同的攻擊目的,匡恩網絡的解決方案如下:
(1)防止黑客入侵。首先給每個設備一個唯一且永久的身份標識,使用一個種子管理密鑰和密鑰生產算法(稱之為Key Generation Function, KGF)為每個設備產生一個隨機口令,這樣既滿足口令的隨機性,又滿足管理的方便性。通過對種子密鑰和KGF的有效管理,即使黑客竊取種子密鑰,如果沒有得到正確的KGF,也不能得到這些終端設備的口令。
如果黑客使用系統漏洞進行入侵,通過口令是無法防護的。匡恩網絡的漏洞挖掘團隊,將以最新的保護措施,使漏洞被利用率降到最低,從而最大程度地防護黑客通過漏洞入侵設備。
(2)避免成為黑客的肉雞。防止入侵的目的是降低黑客發起的一般性攻擊。如果黑客有針對性地進行攻擊,像網絡攝像頭這類資源受限的設備還是很難防御的。但是,黑客入侵的目的可能想把被入侵的設備成為黑客發起網絡攻擊的肉雞,這時匡恩網絡的解決方案是,限制攝像頭這類物聯網設備“指哪打哪”的靈活性,使入侵黑客不能隨意修改與之通信的網絡地址和通信端口。當然有很多方法做這類限制,每種方法各有利弊。
(3)防止數據被非法竊取。保護數據機密性的方法很簡單,使用密碼技術就可以。但是需要考慮的因素有很多,包括密碼算法的合規性、密鑰管理的科學性、系統維護的便利性等。在這方面,匡恩網絡有一套完整的方案。
(4)防止數據假冒。與數據機密性的保護方法類似,使用數據完整性保護即可。但是,數據完整性一般與設備身份鑒別一起提供,即通過少量的數據量和計算量提供更為完備的安全服務。數據假冒攻擊只在一些特殊領域有應用需求,一般公開環境的監控攝像頭沒有此安全需求。
(5)防止設備被毀。當然這里說的設備被毀是指因黑客病毒攻擊導致設備不能正常工作,而不是硬件損壞。我們建議使用一鍵恢復功能。這種功能對低成本設備是多余的,但對高成本的網絡攝像頭,在遭受例如勒索病毒的入侵后,能通過物理接觸,實現一鍵恢復出廠狀態,然后馬上進行漏洞彌補。這樣可以避免因遭受攻擊而不得不更換設備的問題,因為更換設備不僅僅是設備本身的成本,更換過程的人工費用有時比設備本身的成本還要高。
五、匡恩網絡的建議
相比許多網絡設備,網絡攝像頭是個低價值設備,但是,一旦數量規模很大時,作為這類設備的整體,對網絡安全有著重要的影響。安全防護不是看上去那么簡單,沒有專業團隊的設計研發,可能導致事倍功半的結果。對此,非專業團隊容易犯的錯誤是輕視安全保護,或使用沒有根據的過度安全防護。
匡恩網絡以其在物聯網安全領域的專業技術和研發團隊,為網絡攝像頭和其他網絡設備提供專業的信息安全保護方案,其原則是“no more, no less”,即安全防護不需要過度(no more),但也不能不足(no less)。當這個尺度很難確定時,以保障安全為主。
