Основні кіберзагрози для IP камер та способи їх запобігання

Кіберзагрози для обладнання відеоспостереження — постійна проблема, з якою стикаються кінцеві користувачі. Фактично, кібербезпека завжди вважалася провідною тенденцією в IP-відеоспостереженні. У цій статті обговорюються деякі з основних загроз, що виробники роблять із ними і що мають робити кінцеві користувачі для захисту обладнання.

Зайве говорити, що кіберзагрози проти IP камер відеоспостереження реальні і продовжуються. У 2016 році IP камери та IP відеореєстратори використовувалися як боти для запуску атак типу «відмова в обслуговуванні» проти керуючої інтернет-компанії, що призводило до відключення різних великих веб-сайтів. З того часу не бракувало повідомлень про заражені вірусами IP камери та зламані відеоняні.

Хоча проблеми кібербезпеки є джерелом головного болю для користувачів відеоспостереження, вони не є чимось новим у наш час Інтернету речей. Будь-який підключений до мережі пристрій є потенційно вразливим для кібератаки: ноутбук, мобільний телефон, інтелектуальна колонка, автомобіль або мережева камера та відеореєстратор. Ціль полягає в тому, щоб зробити експлуатацію пристрою настільки складною і трудомісткою, щоб зловмисник шукав легші цілі в іншому місці. По суті, сучасні IP камери відеоспостереження практично не відрізняються від інших учасників мережі і тому однаково схильні до всіх можливих сценаріїв атак.

Список деяких поширених векторів атак

Проте, які ж найпоширеніші кібератаки на IP камери відеоспостереження? Вони описуються в такий спосіб.

Шкідливе програмне забезпечення. Шкідливе ПЗ — це програмне забезпечення, спеціально розроблене для порушення роботи пристрою Інтернету речей та мережі, в якій воно знаходиться. Для встановлення шкідливого ПЗ потрібен мережевий доступ до камери відеоспостереження, тому заборона прямого виходу в Інтернет – відмінний спосіб зменшити кількість можливих зазіхань зловмисників. Потім, слідуючи базовим процедурам посилення захисту, таким як встановлення надійних паролів і відключення сервісів, що не використовуються, стає надзвичайно складно отримати доступ до відеокамери з привілеями кореневого рівня, необхідними для встановлення шкідливого програмного забезпечення на камеру.

Програми-здирники. Це різновид шкідливого ПЗ, мета якого – блокувати пристрої до сплати викупу. Перевага тут – відмова у доступі до конфіденційних даних на пристроях Інтернету речей та відмова потенційно критичного пристрою IoT. У випадку IP камер, вплив залежить від передбачуваного використання і від того, чи є інтегроване сховище і, якщо так, то які дані зберігаються там децентралізовано.

Атаки відмови в обслуговуванні. Атака типу «відмова в обслуговуванні» здійснюється шляхом затоплення цільового хоста або мережі трафіком доти, поки ціль не зможе відповісти або просто не вийде з ладу, що запобіжить доступ для законних користувачів. DoS-атаки можуть коштувати організації як часу, так і грошей, тоді як їхні ресурси та послуги недоступні. IP та Wi-Fi камери можуть використовуватися як вектор загроз для запуску DoS-атак.

Атаки грубої сили. Атака методом грубої сили використовує спроби вгадати дані для входу або іншу важливу інформацію. Хакери пробують всі можливі комбінації, сподіваючись правильно вгадати інформацію. IP-пристрої, включаючи комплекти відеоспостереження, які використовують стандартні паролі, можуть бути легко зламані за допомогою таких атак.

Атака "людина посередині". Атака «людина посередині» — це кібератака, коли зловмисник таємно позиціонує себе між двома сторонами, які вважають, що безпосередньо спілкуються один з одним. Зловмисник може також змінити обмін даними між двома сторонами.

Що із цим роблять виробники?

Враховуючи розмах кібератак, виробники IP камер відеоспостереження та систем безпеки докладають зусиль, щоб зміцнити свої пристрої, зробивши їх безпечнішими.

Так, наприклад, пристрої компанії Axis включають кілька функцій, пов'язаних з кібербезпекою, включаючи підписане мікропрограмне забезпечення і безпечне завантаження для запобігання злому і забезпечення цілісності мікропрограмного забезпечення; використання довіреного платформного модуля (TPM) у певних пристроях для безпечного зберігання ключів шифрування на відеокамері; і ввімкнення HTTPS за замовчуванням для полегшення встановлення паролів при першому введенні зашифрованим каналом. Камери Axis підтримують функцію запобігання DoS-атакам, яка виконує функцію захисту паролем грубої сили. Функціональність дозволяє користувачеві встановлювати ліміт для запитів сторінок та сайтів, а також часовий інтервал, протягом якого цей ліміт досягається. Якщо ліміт досягнуто, запити на підключення з цієї сторінки або сайту відхиляються на період, який продовжується, якщо запити продовжуються.

Багато зі згаданих атак виграють від необмеженого доступу, неадекватного захисту паролем, погано захищених інтерфейсів та незашифрованого мережевого зв'язку. Так, камери MOBOTIX забезпечують активну підтримку, вимагаючи, щоб пароль за замовчуванням замінили надійними індивідуальними паролями під час початкового налаштування. Крім того, дайджест-автентифікація, контроль доступу до IP-адреси і виявлення вторгнень для невдалих спроб входу в систему, що повторюються, ще більше обмежують можливості атак на камеру. Щоб переконатися, що компанія не надає можливості завантаження шкідливих програм, регулярно проводяться тести на проникнення для інтерфейсів завантаження та зв'язку, що проводяться об'єктивними зовнішніми експертами. Для безпечної передачі даних рішення MOBOTIX пропонують розширений спектр безпечних протоколів, які забезпечують виключно зашифрований зв'язок без втрати сумісності із сторонніми системами.

Що також мають робити кінцеві користувачі?

Проте забезпечення безпеки IP камер відеоспостереження – це вулиця із двостороннім рухом. Користувачі, крім виробників, також повинні застосовувати певні передові методи для забезпечення надійного захисту обладнання. Ці передові практики включають:

• Оновлення прошивки до останньої версії для виявлення нових вразливостей;
• Встановлення пароля пристрою;
• Створення облікового запису відео-клієнта, щоб знизити ризик злому пароля адміністратора пристрою;
• Налаштування мережевих установок;
• Встановлення часу та дати, щоб, наприклад, у системних журналах була вказана правильна інформація про час;
• Використання шифрування прикордонного сховища, якщо камера відеоспостереження підтримує картку SD та відео записується на цей пристрій зберігання.

Також може допомогти складання посібника з ІТ-безпеки. Часто виявляється, що темі ІТ-безпеки приділяється дуже мало уваги, частково також через менший бюджет, і тому недоступні заходи реагування для протидії вже згаданим добре відомим сценаріям атак. Деякі виробники підтримують розробку таких заходів за допомогою ІТ-безпеки, яка максимально спрощує безпечну інтеграцію системи відеоспостереження та програмних продуктів і, таким чином, зводить до мінімуму ризики та зусилля, наскільки це можливо.