拿IP摄像头分析IoT设备攻击链，物联网设备安全该由谁来承担？

  关注联想安全实验室，获取更多安全资讯！

物联网（IoT）设备的安全性一直都是一个热门话题，比如Mirai， Persirai和Reaper。黑客入侵物联网设备的主要动机之一是获得经济收益。大量部署的IP监控摄像机是主要目标，并且具有低投入，高的互联网带宽，且不易被发现等特性。用摄像头举例，IP摄像头硬件，网络和云都是黑客的入侵点，物联网安全由设备制造商、系统集成商和终端用户等共同承担。

连接到物联网（IoT）的设备的安全性一直是一个热门话题，特别是互联网协议（IP）监控摄像机已成为日益严格审查的对象。

推荐阅读：

身份联网IoI是什么 跟IoT有什么关系 下一步又会如何发展 ， 2017年7月

别把移动安全不当回事儿 你要知道移动安全包括什么 来看移动安全5个主要威胁 ，2017年8月

IP摄像机因其相对较高的计算能力和良好的互联网流量吞吐量而成为黑客的首选目标。 一个典型的例子就是2016年底发生的事件，其中一个名为Mirai的基于Linux的僵尸网络被用来促进历史上最大的分布式拒绝服务（DDoS）攻击。因此，数据包流量突然高出正常数量的50倍，互联网流量估计达到1.2 Tbps的历史最高水平。流量由远程命令触发，被劫持的设备主要是IP监控摄像头。

此后，Mirai类恶意软件的多种变种已经浮出水面，进一步利用易受攻击的IP监控摄像头。正确地说，网络安全现在正成为IP监控设备的主要考虑因素 ，例如，一些 政府已经开始着手制定提升网络安全实施的法规。 它正在成为IP监控摄像机市场的新决定性因素。

针对IP监控摄像头的动机

黑客入侵物联网设备的主要动机之一是获得经济收益。 在货币化方面，IP监控摄像机是不同的目标，原因如下：

     ·  持续连接。 与许多其他设备一样，IP摄像机需要通过互联网连接才能正常运行。 然而，暴露于互联网也使黑客很容易找到摄像头并可能利用这些设备。 一旦被黑客入侵，这些设备将能够满足黑客的需求。

     ·  低投入。 与黑客攻击PC不同，一旦黑客看到破坏IP摄像机等物联网设备安全性的方法，同样的方法通常可以应用于其他类似型号的设备，从而导致每个设备的黑客成本非常低。

     ·  缺乏监督。 与PC不同，尤其是办公室中使用的PC，IP摄像机的用户交互性较低，并且在安全性方面管理不善。 也没有安装售后市场反恶意软件应用程序。

     ·  高性能。 IP监控摄像机的空闲计算能力通常足以执行与加密相关的任务，例如加密货币挖掘，而不会被最终用户注意到。

     ·  高互联网带宽。 为视频通信设计的始终连接，快速和巨大的带宽使黑客能够成为发起DDoS攻击的合适目标。

物联网设备攻击的三个步骤

IP监控摄像机周围的典型攻击链包括以下步骤。

1. 初次感染 。 在找到具有开放端口的设备（例如Telnet，Secure Shell和通用即插即用（UPnP））后，攻击者使用设备的默认凭据（例如Mirai）或利用未修补的系统漏洞（例如Persirai和Reaper）获取访问控制。 

2. 命令控制 。 在获得对设备的控制之后，攻击者下载并执行向命令和控制（C＆C）服务器报告的恶意脚本或样本。 该服务器发出命令，指示受影响的IP摄像机通过用户数据报协议泛洪执行恶意活动，如加密货币挖掘或其他设备上的DDoS攻击。 

3. 传播 。 根据其类型，使用的恶意软件可以扫描网络并使用相同的感染方法将自身传播到其他易受攻击的设备。 攻击者可以自动触发此操作（如蠕虫僵尸网络的情况），也可以通过接收来自C＆C服务器的指令手动触发此操作。

公共和封闭网络的风险

在传统的自助（DIY）消费市场中提供的大多数家用IP摄像机都直接连接到互联网。 这意味着家庭IP摄像机以与家庭中的个人计算机非常相似的水平暴露于互联网，但缺乏用户安装安全软件的能力。 虽然家用IP摄像机只占所有已安装设备的一小部分，但由于它们的可负担性和普通大众的可访问性，它们构成了一个快速增长的市场。

另一方面，许多人声称IP摄像机没有暴露在这种风险水平，因为大多数产品通常是为企业设计的，它们基本上在局域网中部署IP摄像机并使其在互联网上无法搜索。 这种说法可能适用，但它可能会忽略几个现实世界的因素：

·  系统集成商可能无法按预期安装IP摄像机。 在许多情况下，人们只需选择哪种方法更方便他们安装所有内容并使设备正常工作。 易于维护是他们这样做的另一个动力。 这解释了为什么仍然可以找到许多应该留在局域网中的IP摄像机的IP地址。

·  IP摄像机的商业模式正在发生变化。 服务提供商正在使用IP摄像机来运行定制服务（例如老年人护理），并且使用互联网上的摄像机是用户和远程操作员同时根据需要访问摄像机的最简单方式。

·  视频分析功能等现代增值功能通常部署在云端，以降低整体硬件和软件成本，可灵活地打开或关闭特定功能，或添加新功能，无论相机的硬件性能如何。

将IP摄像机连接到互联网是一个明显的趋势。 鉴于 全球部署 了大量 IP摄像机，一小部分在公共领域暴露自己的IP摄像机可以成为黑客的一大动力。

另一件需要考虑的事情是网络隔离是如何成为网络安全的常用方法之一。 但是，在局域网中，并不能保证IP摄像机免受黑客攻击。 一方面，精心设计的恶意软件很容易在局域网中传播，任何带入同一局域网的便携式设备都很容易变成感染媒介。 以臭名昭着的Mirai僵尸网络为例：即使目标是在Linux上运行的IP摄像机，基于Windows的木马也会发挥重要作用。

IP摄像机的分层防御

IP摄像机提供的完整功能通常包括摄像机本身，网络功能和云服务。 为了提供一个安全的产品，制造商需要实现一个总体方针安全战略-从设备到云计算： 

1. I P摄像头硬件。 由于发现系统漏洞是黑客入侵IP摄像头的最关键因素之一，业内领先的制造商密切关注监控固件和修补易受攻击的系统组件。 但是，为了提高安全性，可以应用进一步的增强功能，例如：

·   强制 更改默认凭据 。

·   应用 安全启动 以防止受损设备运行。

·   如有必要，实施 固件无线（FOTA）更新 以修补补丁问题。

·   如果不必要，通过最小化设备上的开放端口来 采用最少功能的原则

2. 网络。 在封闭网络中部署IP摄像机已经是一种高度采用的机制，可确保更高级别的安全性。 虚拟专用网络（VPN）可用于通过安全连接启用远程访问。 其他与网络相关的安全实现包括：

·   加密连接以阻止尝试妥协。

·   连接安全隧道。

·   使用硬件组件存储加密密钥。

3. 云。 云服务提供的功能越多，云安全性就越关键。 从好的方面来看，许多（如果不是大多数）服务提供商已经意识到了这一点。 大多数领先的服务提供商都对其云基础架构提供足够的保护。 高度集成的安全产品 也在云环境中发挥着重要作用。

物联网安全由各个环节的角色承担

无论行业中的所有工作组件如何，都有一些人和实体在监控系统的网络安全中发挥关键作用：

 ·   设备制造商。

·   服务供应商。

·   系统集成商。

·   终端用户。

确定安全的角色和责任不是要知道 自己是谁 ，而是知道 自己做了什么 。 在DIY市场中，家庭用户也扮演系统集成商的角色。 以相同的方式，IP摄像机供应商不仅扮演设备制造商角色而且扮演服务提供者角色，因为所有应用和云服务也由供应商自己开发和维护。 在我们可以想到的所有场景中，我们发现通过将涉及的实体映射到上述四个角色中的任何一个，可以轻松地传达安全责任和责任。

在成本和安全中找到平衡点

对于连接互联网设备的制造商来说，安全性是一个常见问题 - 而IP摄像机硬件制造商也不例外。 可以肯定的是，添加的网络安全实施越多，成本增加就越明显，材料清单（BOM）清单就越多。复杂性是更好的网络安全的另一种成本形式。 设置所有设置的最简单方法始终是最便宜，最不安全的方法。 网络安全的易用性是IT专家的常识，但不适用于一般用户。 例如，如果监控系统允许通过互联网进行远程访问，则VPN的采用通常列在最重要的安全建议列表中。 但是，访问具有VPN的设备在普通用户（尤其是智能手机用户）中并不常见。

成本和网络安全的好处之间的永无止境的争论只能继续下去，公司无论规模大小，都在继续权衡其物联网实施的所有因素，同时努力维护功能和安全性。

 从现在开始保持安全

虽然归为物联网产品，IP摄像机里已经在市场上，甚至术语之前 的联网或物联网 被创造出来。 但是，尽管IP摄像机市场成熟，但围绕它们的网络安全问题对整个行业来说仍然是一个巨大的挑战。 与其他物联网设备和服务一样，IP摄像机的信息流是一个长链，恶意攻击可以在任何地方出现。 在物联网相关业务上货币化的公司已经在很长一段时间内开始了解云安全，并且网络连接上的网络安全也很重要。

设备缺乏足够的网络安全实施是下一个需要解决的问题，不仅适用于IP监控行业，还适用于所有基于物联网的业务。 一切都相互关联的世界可能看起来很棒，但只有拥有足够的网络安全，这个互联世界才会像智能一样安全。

文章转自：http://toutiao.secjia.com/article/page?topid=110507

原文始发于微信公众号（联想全球安全实验室）：拿IP摄像头分析IoT设备攻击链，物联网设备安全该由谁来承担？