物聯(lián)網(wǎng)安全：如何保護你的網(wǎng)絡(luò )安全攝像機？

　　多年來(lái)，人們一直在進(jìn)行視頻窺探、觀(guān)看私人攝像頭以及圍繞聯(lián)網(wǎng)攝像頭做其他事情。但最近幾個(gè)月，關(guān)于網(wǎng)絡(luò )視頻的攻擊和風(fēng)險有所上升。

　　近幾個(gè)月來(lái)，視頻以三種主要方式侵犯了隱私，甚至安全。首先，網(wǎng)絡(luò )犯罪分子將隱藏的攝像頭放置在酒店房間或家庭臥室中。于是，他們大規模地在線(xiàn)銷(xiāo)售來(lái)自這些攝像機的視頻剪輯甚至進(jìn)行在線(xiàn)直播。

　　其次，攻擊者以數字方式入侵提供安全視頻服務(wù)的公司。從那里他們獲得了服務(wù)器的管理員訪(fǎng)問(wèn)權限。于是，入侵者可以使用這些安全視頻服務(wù)公司的產(chǎn)品和服務(wù)窺探學(xué)校、醫院甚至網(wǎng)絡(luò )安全公司的實(shí)時(shí)信息。

　　第三，攻擊者使用不安全的默認配置和其他缺陷來(lái)利用網(wǎng)絡(luò )安全攝像機。

　　那么，面對越來(lái)越多的網(wǎng)絡(luò )視頻入侵風(fēng)險。企業(yè)和個(gè)人如何保護免受這一新一波視頻攻擊呢?

　　攻擊者從物聯(lián)網(wǎng)安全漏洞中獲利

　　如今，全球各地的犯罪團伙越來(lái)越大規模地竊取和出售私人視頻。在最近調查報告中披露的數據被盜視頻數以萬(wàn)計。犯罪分子在暗網(wǎng)上以每個(gè)視頻3美元到8美元不等的價(jià)格出售這些視頻，具體取決于內容的隱私程度。與任何其他物聯(lián)網(wǎng)安全漏洞一樣，攻擊者闖入視頻存儲系統并竊取內容?；蛘?，攻擊者從家庭和酒店房間中秘密隱藏的攝像機中獲取錄音。

　　一些犯罪分子還以折扣價(jià)出售實(shí)時(shí)攝像機流的用戶(hù)名和密碼。例如，10臺家用攝像機和10臺酒店攝像機可能只需要23美元。一些被盜視頻來(lái)自安全和家庭攝像頭。但是，與許多其他攻擊方法一樣，這種做法可能會(huì )在全球范圍內傳播。

　　安全漏洞凸顯問(wèn)題

　　據報道，硅谷一家名為Verkada的安全初創(chuàng )公司遭到了威脅者的攻擊，他們破壞了約15萬(wàn)個(gè)物聯(lián)網(wǎng)安全攝像頭的安全傳輸，其中包括特斯拉(Tesla)和Cloudflare等有名科技公司的攝像頭。他們還可以從警察局、醫院、學(xué)校和監獄等公共機構獲得視頻。在這個(gè)例子中，攻擊者是一個(gè)自稱(chēng)為高級持續威脅69420的集體。該組織的一名發(fā)言人表示，他們的目標是揭露安全錄像是多么常見(jiàn)，它們是多么容易被攻破。他們使用了一種基本的方法來(lái)攻破Verkada的系統：一個(gè)用戶(hù)名和密碼，授權進(jìn)入公共互聯(lián)網(wǎng)上的一個(gè)“超級管理員”賬戶(hù)。一旦被發(fā)現，該公司很快就解決了這個(gè)安全漏洞。

　　攻擊者可以以同樣的方式利用嬰兒監視器。至少有兩家制造商的物聯(lián)網(wǎng)安全攝像頭配置錯誤，向外部觀(guān)眾開(kāi)放。一些制造商設置的實(shí)時(shí)流協(xié)議很差，使窺探者無(wú)需授權即可獲得訪(fǎng)問(wèn)權限。

　　視頻真的是物聯(lián)網(wǎng)安全威脅嗎?

　　視頻是眾所周知的對隱私的威脅，但這也是對安全的威脅。攻擊者可以利用從偷來(lái)的家庭視頻中獲取的有損或令人尷尬的私人視頻進(jìn)行社會(huì )工程攻擊、勒索或獲得在以后的攻擊中有用的信息。許多視頻顯示了地點(diǎn)和其他事實(shí)。

　　換句話(huà)說(shuō)，無(wú)論攻擊者入侵公司還是私人攝像頭，它仍然可能影響您企業(yè)的安全。就像攻擊的演變過(guò)程中經(jīng)常出現的情況一樣，最初是腳本小子和想要吹噓的人的一個(gè)來(lái)源，后來(lái)變成了一項嚴肅的業(yè)務(wù)。從最近的襲擊來(lái)看，很有可能越來(lái)越多的威脅者正在想辦法闖入攝像頭并出售錄像。

　　如何處理視頻威脅?

　　當你購買(mǎi)視頻產(chǎn)品和服務(wù)時(shí)，要特別注意。僅從具有強大物聯(lián)網(wǎng)安全功能和政策的可信供應商購買(mǎi)。并使用您的組織購買(mǎi)的產(chǎn)品的安全特性。

　　盡可能鎖定訪(fǎng)問(wèn)權限。例如，確保誠實(shí)的用戶(hù)只能從本地網(wǎng)絡(luò )訪(fǎng)問(wèn)攝像頭，而不是通過(guò)互聯(lián)網(wǎng)。

　　增加對家庭和工作視頻的風(fēng)險的意識，并提供基本安全的較佳實(shí)踐。這對全職或兼職在家工作的員工更有幫助。這些安全實(shí)踐包括從可信的供應商購買(mǎi)、使用良好的密碼和安全的網(wǎng)絡(luò )實(shí)踐(如多因素身份驗證)，以及保持對在何處放置攝像頭以保護隱私的意識。

　　另一個(gè)關(guān)于家庭或家庭辦公視頻產(chǎn)品的好方法是關(guān)閉你不用的遠程接入。通過(guò)互聯(lián)網(wǎng)連接的攝像頭遠不如只通過(guò)家庭網(wǎng)絡(luò )使用的攝像頭安全。確保制造商提供定期的更新，并且您或制造商配置設置以獲得這些更新或通知用戶(hù)。

　　了解清楚一切

　　向員工闡明攝像機安全屬于更大的物聯(lián)網(wǎng)安全保護傘的事實(shí)。家庭安全或嬰兒監視器攝像頭是物聯(lián)網(wǎng)攝像頭，這意味著(zhù)它是一臺連接到互聯(lián)網(wǎng)的計算機，應該被視為潛在的安全威脅。

　　近期很多基于視頻的攻擊都已經(jīng)過(guò)時(shí)了，但其中很多都是新的。由于物聯(lián)網(wǎng)安全性較差，最新的策略之一是盜竊視頻和實(shí)時(shí)捕捉視頻流，然后在暗網(wǎng)上大規模出售。這些視頻和視頻流的購買(mǎi)者可以是任何人——那些通過(guò)侵犯隱私來(lái)尋求刺激的人，或者那些尋求數據來(lái)發(fā)起其他類(lèi)型攻擊的人。