Кибербезопасность для IP-камер видеонаблюдения и решений для обеспечения безопасности Trend Micro IoT
Введение
Кибербезопасность для устройств IoT в последние несколько лет стала особенно актуальной темой, так как IP-камеры наблюдения часто становятся целью хакеров из-за относительно высокой вычислительной мощности и хорошей пропускной способности интернет-трафика. В конце 2016 года для запуска DDoS-атаки использовалось вредоносное ПО на базе Linux «Mirai», которое создало рекордный интернет-трафик со скоростью 1,2 Тбит / с. Огромный трафик был вызван удаленными командами, а жертвами стали в основном камеры видеонаблюдения. Мало того, что исходный код Mirai стал общедоступен в Интернете, появилось множество вариантов вредоносных программ, подобных Mirai. В настоящее время кибербезопасность является необходимостью для устройств IP-видеонаблюдения. Многие страны разрабатывают правила, чтобы поднять планку внедрения кибербезопасности. Сегодня это является решающим фактором в конкурентной борьбе в отрасли IP-видеонаблюдения.
Стимулы взломать IP-камеры наблюдения
Сегодня основной мотивацией взлома является монетизация. Когда дело доходит до монетизации, IP-камеры наблюдения являются отличными целями по следующим причинам:
- Постоянное подключение. Высокая доступность интернета позволяет хакерам легко найти устройство. После взлома устройство будет постоянно доступно для удовлетворения потребностей хакеров.
- Низкие затраты на взлом. В отличие от взлома ПК, если хакеры находят способ взломать устройство, такой же подход обычно может быть применен и к аналогичным моделям, что приводит к очень низкой стоимости взлома на устройство.
- Отсутствие контроля. В отличие от офисных ПК, камеры IP-видеонаблюдения плохо управляются специалистами в области кибербезопасности. Установка стороннего антивирусного приложения также недоступна.
- Высокая производительность. Простоя вычислительной мощности IP-камеры наблюдения обычно достаточно для выполнения хакерских задач, таких как майнинг криптовалюты, что может оставаться незаметным для обычного пользователя.
- Высокая пропускная способность интернета. Всегда подключенная быстрая и большая полоса пропускания, предназначенная для видеосвязи, является идеальной целью для хакеров для инициирования DDoS-атак.
Сеть взлома / заражения
Типичная цепочка заражения IP-камер наблюдения состоит из следующих этапов:
- Обнаружение адреса. Обнаружение IP-адрес устройства потенциальной жертвы, в основном, осуществляется с помощью сканеров Интернета. Веб-сервисы, такие как «Shodan», также могут предлагать список обнаруженных устройств.
- Получение доступа. Для этой цели используется пароль по умолчанию или словарь паролей для входа в устройство. Получив привилегию администратора, хакеры могут использовать систему для своих злонамеренных действий.
- Использование уязвимости. Хакер изучает уязвимость системы и использует их в своих целях. Системные уязвимости неизбежны, особенно в быстро меняющемся мире ИТ, где широко используются открытые исходные коды.
- Внедрение вредоносного ПО. Злоумышленники устанавливают вредоносное ПО в камеру IP-наблюдения. Вредоносное ПО обычно состоит из агента, который управляет связью, и основного органа, который выполняет основные функции, разработанные хакерами.
- Управление и контроль. Управление жертвами для подключения определенной сервисной функции осуществляется удалено. Например, хакеры могут инициировать DDoS-атаку и дать команду всем зараженным устройствам нацелиться на конкретный пункт назначения.
Предложение от VIVOTEK и Trend Micro
Конкуренция между хакерами и производителями устройств во многом зависит от осведомленности о угрозах и времени реагирования на них. Компания VIVOTEK в сотрудничестве с Trend Micro стремится мгновенно информировать об угрозах, чтобы камеры и сетевые видеорегистраторы могли реагировать на киберугрозу быстрее хакеров. Решение состоит из трех основных частей:
- Anti-brute-force login-Attack представляет собой механизм, который обнаруживает поведение автоматического входа в систему методом подбора. Устройства IP-наблюдения тех людей, которые не хотят менять пароль по умолчанию, или тех, кто использует легко угадываемые пароли, менее защищены. Блокируя подозрительные входы в систему, система снижает вероятность вторжения.
- Обнаружение и предотвращение вторжений. Благодаря использованию службы репутации IoT компании Trend Micro (огромная базу данных в облаке, идентифицирующую вредоносные URL-адреса, адреса потенциально зараженных устройств и вредоносных серверов) устройства IP-наблюдения VIVOTEK могут обнаруживать ненормальное поведение внутри с помощью технологии машинного обучения. Любые попытки подключения к подозрительному IP-адресу будут заблокированы системами Trend Micro IoT в устройствах VIVOTEK. Современные хакеры могут очень часто менять IP-адрес атакующего устройства, поэтому крайне важно обнаружить его за минимальный промежуток времени. Облако службы репутации Trend Micro IoT обновляется каждые 15 минут.
- Мгновенный контроль за ущербом. Когда уязвимость системы выявляется публично между хакерами и производителями устройств начинается «гонка на время». Период между раскрытием уязвимости и выпуском исправления прошивки обычно занимает пару недель, что оставляет хакерам достаточно времени для сканирования и атаки на уязвимые устройства в больших объемах. Как и обычное антивирусное программное обеспечение, установленное на ПК, система для обеспечения безопасности Trend Micro IoT на устройствах VIVOTEK может обновлять шаблон вируса автоматически или вручную. Благодаря этому устройства, ожидающие устранения уязвимости в официальном выпуске прошивки, остаются защищёнными, и риск успешной атаки хакеров сводится к минимуму. Другими словами, хотя вирус может влиять на устройство из-за новой обнаруженной уязвимости, он не может нанести какой-либо вред благодаря последнему обновлению шаблона вируса. Кроме того, являясь лидером в мировой общедоступной базы данных об уязвимостях, Trend Micro может даже создать шаблон атаки на новый вирус, прежде чем он будет раскрыт, не оставляя хакерам возможности воспользоваться какой-либо новой уязвимостью.
Матрица между цепью заражения и точками защиты Trend Micro
Anti-brute-force login-Attack | Обнаружение и предотвращение вторжений | Мгновенный контроль за ущербом | |
обнаружение адреса | V*1 | ||
получение доступа | V*2 | ||
использование уязвимости | V*3 | ||
внедрение вредоносного ПО | V*4 | ||
управление и контроль | V*5 |
* 1: блокирует ответ интернет-сканерам.
* 2: запрещает попытки входа в систему временно при обнаружении аномалии.
* 3: защищает уязвимые точки с помощью обновления шаблонов вирусов.
* 4: блокирует общение с адресами злоумышленников, даже если установлено вредоносное ПО.
* 5: блокирует любое общение с известными адресами злоумышленников.
Заключение
Обеспокоенность в отношении кибербезопасности растет из-за ущерба, нанесенного кибератаками в последние годы. Индустрия IP-наблюдения начала обращать внимание на эту тему, поскольку IP-камеры и сетевые видеорегистраторы стали идеальными целями для хакеров. Компания VIVOTEK является первым производителем IP-видеонаблюдения на рынке, предоставившим программное обеспечение для защиты от вторжений в сетевых камерах и сетевых видеорегистраторах. Устройства VIVOTEK IP, разработанные известной компанией Trend Micro, специализирующейся на кибербезопасности, теперь могут обнаруживать и блокировать атаку методом «грубой силы» при входе в систему или любые ненормальные действия внутри. Кроме того, благодаря автоматическому обновлению шаблона вируса риск новых уязвимостей может быть значительно уменьшен в кратчайшие сроки.