說一個“不作死就不會死”的神奇黑客故事。
迪普科技的大佬透露,他們曾幫助追蹤了一起案件:交警蜀黍發現,不知道為什麼,自家的管控系統竟然會非常“善意”地幫違規扣分的人士自動“銷分”。。。
交警系統對這個“鬼銷分”事件追蹤了一年,終於發現了罪魁禍首:一個“樂於助人”的黑客。
這個黑客很有意思,將自家路由器與街道上的監控攝像頭放在一起,然後通過這個渠道入侵了交警視頻監控後臺,進入車輛違規系統,植入惡意軟件,將自己所在單位的所有車牌信息輸入,只要本單位的車輛違規扣分,自動啟動“銷分”程序。
這個黑客不僅善於給自己公司做貢獻,還對外提供了“銷分”服務,成功地在違法致富的道路上一頓狂奔,並順利奔進了監獄。。。
連交警蜀黍的視頻監控系統都可能被盯上,想想中國暴露在網上的 260 萬個視頻監控系統設備 IP ,真是瑟瑟發抖。
那麼,視頻監控設備都用在哪些地方呢?
雷鋒網宅客頻道編輯瞭解到,視頻監控系統設備有 7 類 IP應用場景:住宅用戶、企業專線、數據中心、學校單位、組織機構、專用出口和其他,排名前三的是住宅用戶、企業專線和數據中心,佔總量的 95.6%。
這意味著,視頻監控安全涉及的絕不僅僅涉及大眾理解的個人隱私問題。
從技術架構和複雜程度上說,視頻監控分為四類:個人(家庭)、小型(社區、酒店、醫療機構等)、中型(銀行、教育機構、檢察院、法院等)、大型(城市、公共安全)。
當然,從這個遞進順序,你大概猜到了,視頻監控產生的數據量也是遞增的。
以最複雜的大型(城市、公共安全)為例,這個技術架構裡包含攝像頭、服務器群、存儲矩陣、終端監控、大屏監控、廣域網等,數據量是海量級別。
雷鋒網宅客頻道編輯從一份《視頻監控安全應用指南報告》對大型視頻監控的技術梳理中發現了一些有意思的信息——因為這些不僅是安全人員的防守點,也是潛在的可被攻擊點。
編輯把這些概括為:黑客順著視頻監控發大招的九種路徑及反制措施。
1.前端設備信息採集與管理
視頻數據採集以 IPC 攝像頭為主,如何防止非法攝像頭接入以及對現有攝像頭進行管理是關鍵技術點。依據 GB/T28181,GB35114-2017 要求,視頻安全廠商的數據採集設備應可識別主流符合國標要求的安防廠商 IPC。並儘可能的採集視頻專網中 IPC、PC、NVR 等接入設備的各類資產信息,包括設備 IP、設備類型、 在線狀態、接入鏈路狀態、廠家、地理位等,建立統一的資產庫,解決多安防廠家並存的情況下接入資產難以統一監管的問題。
2.前端設備准入控制
在解決前端設備指紋信息發生變化時,應對非授信設備接入視頻監控網絡進行告警和阻斷,並且可以識別和阻斷對前端設備或視頻監控平臺進行 IP 地址掃描、端口掃描攻擊、強力攻擊、拒絕服務器等網絡攻擊。例如可以通過 TCP、Telnet 和 FTP 等多種協議組合的主動掃描技術,及 RTP、RTCP 和 RTSP 等多種網絡 承載協議組合的被動檢測技術來實現。另外應對通信過程中的會話控制信令及媒體流的所有會話過程進行加密, 身份認證應包括採用基於口令、基於數字證書的等認證方式。
3.監控終端防止洩密
終端防止洩密主要是在屏幕防拍攝功能及導出加密。防拍攝實現方法包括顯示包含終端物理特徵、用戶特 徵、訪問行為特徵的透明水印或二維碼信息。通過識別不同調閱者實現數據溯源,達到威懾拍攝者目的。另外,拍屏所顯示的水印和二維碼信息應具備防編輯能力,防止拍屏者利用修圖軟件對拍屏所得圖片中水印和二維碼信息進行二次處理,對視頻錄像及圖片導出自動加密通常使用安全軟件實現。當視頻數據被黑客或內部人員非法獲取後,在非授權機器上無法打開。
4.指揮大屏防止洩密
指揮大屏防止洩密主要是在指揮中心顯示大屏防拍攝功能。實現方法包括顯示包含終端物理特徵、用戶特徵、訪問行為特徵的透明水印信息。通過識別不同調閱者實現數據溯源,達到威懾拍攝者目的。
5.存儲設備防止洩密
存儲設備防洩密通常是採用安全 U 盾來進行文件交換,防止隨意拷貝視頻數據,另外也可通過加解密算法, 對視頻系統存儲的數據進行透明加解密處理,確保非法進程無法通過拷貝、盜取磁盤等方式竊取數據。
6.監控服務器訪問控制
在監控服務器上進行訪問控制與授權時,需要對登錄用戶進行身份標識和鑑別,對於無身份標識或沒有通過身份鑑別的用戶禁止其登陸系統。
登陸服務器後,對於調閱視頻文件的提交申請、批覆和授權操作均應被記錄,以便於審計與跟蹤。在視頻 文件外發管控方面,只有授權的用戶終端可以對前端設備進行配置、變更、升級、調閱視頻圖像等。在用戶終 端將視頻監控文件製作成外發數據,並應具有設置密碼、時效、編輯、自刪除等修改、調整功能。外發數據可 以添加定製化的溯源信息,如地理特徵、用戶特徵、警示信息、時間等信息。
另外需要對服務器安裝防病毒軟件,防止如勒索病毒對視頻數據非法加密、非法損毀。
7.視頻數據共享防護
支持通過 DPI、DFI 等技術對流出視頻大數據平臺的數據做協議識別、應用識別、內容識別,確保數據沒有非法大規模外流,支持通過大數據分析與建模技術對流出視頻大數據平臺的數據做更深層次的異常檢測,確 保數據沒有非法夾帶外流,支持對流出視頻大數據平臺的數據按規則進行脫敏處理。
8.通信安全
通信安全常規採取加密方式。在視頻專網中需要對通信過程中的會話控制信令及媒體流的所有會話過程進 行加密,包括 SIP、RTP、RTCP、RTSP 等協議。前端設備到監控中心的實時視頻,及監控中心到其他監 控中心調看視頻流的通信安全。
9.視頻風險自動發現及可視化
目前風險數據可視化技術已經比較成熟。只有有數據輸入,動態展現到指揮大屏基本無障礙。因此視頻風 險可視化方面應實現勒索病毒攻擊與防禦情況動態實時展示、網絡攻擊動態實時展示與漏洞發現實時展現,但對於視頻數據非法使用風險與非法篡改風險實時動態地展示在指揮中心大屏上技術需要進一步加強。
哪家方案強
光提出問題,沒有解決方案是耍流氓。
在 3 月 21 日安全牛舉辦的《視頻監控安全應用指南報告》發佈會上,迪普科技視頻專網拓展部部長李成認為,視頻監控網絡目前主要的風險來源是前端設備和網絡管道的失控。弱口令的暴力破解和命令執行漏洞,佔到視頻監控網絡安全事件的 7 成,視頻監控聯網應用的特點是終端難以安裝安全防護軟件,同時網絡中的行為和通信雙方的身份相對固定。因此他介紹了物聯網終端准入控制技術、L2~7層白名單技術等,並應用在某市公安局轄區建設視頻專網上的 2 萬臺高清數字攝像頭方案中。
慧盾安全首席運營官蘇敬斫提出,視頻監控行業,IP 化、標準化和智能化的發展趨勢,使得視頻數據應用場景更佳複雜,也更易受到攻擊和洩漏。缺少准入機制、設備漏洞易受攻擊、視頻流轉環節多、合法人員的非法使用,是視頻監控安全風險的根本原因。因此,視頻監控安全應按照兩個維度設計:系統和業務,
其中,系統維度包括視頻採集層、核心層和應用層。業務維度包括攝像頭准入和防攻擊、視頻防洩密、視頻顯示安全、視頻共享安全和 GB35114 為代表的合規。特別是視頻數據的共享安全,慧盾的思路是使用數據水印和指紋等技術,以及權限審批等管理手段,實現視頻數據在跨單位和部門調閱時的防篡改和洩露溯源。
他還介紹了一個十分博眼球的功能:
萬物安全重點提及了建立視頻監控的主動防禦體系,包括主動探測、前端行為分析和細粒度的訪問控制。同時,核心業務連續性的保證也是重點。萬物安全CPO&合夥人鄭大義還介紹了萬物安全目前的三個產品,包括視頻終端准入管控系統(北極星),對視頻數據質量和有效性的監測系統(天王星),針對大型物聯網環境中IT資產探測工具(南極星),以及基於SDP技術搭建可信網絡(銀河)。
你想先探究哪一家的技術?也許這就是我們視頻監控安全系列(二)要聊的主題。歡迎關注雷鋒網旗下微信公眾號“宅客頻道”(微信ID:letshome),投票走一波,定製屬於你的“頭條”。
閱讀更多 雷鋒網 的文章
