Як боротися з «витонченими кібератаками» на камери відеоспостереження?

Більшість користувачів систем відеоспостереження тепер усвідомлюють необхідність кібербезпеки для захисту каналів відеокамер від хакерів. Виробники та фахівці магазинів безпеки часто дають чіткі інструкції щодо захисту камер відеоспостереження та мережевих пристроїв від злому кіберзлочинцями. Поширені дієві заходи щодо обмеження доступу третіх осіб до відеоспостереження включають обмеження доступу до Інтернету за допомогою управління доступом до мережі, міжмережевих екранів та сегментації мережі.

Цих кроків здебільшого досить, щоб запобігти стандартну кібератаку на комплекти відеоспостереження. Але коли ставки насправді високі, деякі хакери можуть вдаватися до більш витончених атак, які вимагають більше зусиль, часу та ресурсів. Отже, що ж являють собою витончені кібератаки, та як користувач може мінімізувати ці загрози?

Витончені кібератаки

Припустимо, що зловмисник хоче скомпрометувати систему, встановивши якесь шкідливе програмне забезпечення. Ця шкідлива програма може використовуватися для шпигунства, також це може бути програма-вимагач, системний бекдор або бот, який чекає інструкцій. Якщо немає мережевого доступу до відеокамер або системи, йому необхідно знайти інший метод встановлення шкідливого ПЗ.

Спір-фішинг (шкідливе ПЗ в файлах електронної пошти, Word або Excel) вважається поширеним вектором атаки. Інший метод — заманити кого-небудь для встановлення зламаного програмного забезпечення або прошивки. Так, наприклад, розміщення скомпрометованих USB-накопичувачів спрацювало для атаки STUXNET. Безсумнівно, в діловому оточенні роботодавець може змусити співробітників не ставити сторонні USB-накопичувачі або не відкривати додатки від невідомих відправників. Зменшення вразливості мережі залежить від установника та власника системи. Управління конфігураціями, обліковими записами користувачів та встановленням виправлень (протягом життєвого циклу системи) залежить від власника. Захистом від зламаного програмного забезпечення можна управляти, не встановлюючи ПЗ з ненадійних сайтів.

Але також часто це робиться за допомогою цифрових підписів програмного забезпечення виробника. Наприклад, деякі пристрої відеоспостереження Axis та Hikvision здатні визначити, чи намагається хтось встановити зламану прошивку, та відхилити цю установку. Деякі пристрої також оснащені функцією безпечного завантаження, яке виявляє компрометацію пристрою до того, як воно досягне кінцевого споживача.

Якщо користувач відкриває IP камеру відеоспостереження для доступу з Інтернету, то також надає всім скрипт-кідді в світі шанс сканувати та досліджувати пристрій, а також подивитися, чи є в ньому прошивка з популярною та придатною для використання критичною вразливістю. Тому першорядне правило полягає в тому, щоб не проробляти дірку в брандмауері, виключаючи подібну можливість. Ще одна вимога — це мережеве шифрування, яке визначається політиками та правилами ІТ. Це особливо актуально для трафіку, що проходить через небезпечні мережі, такі як Інтернет та соціальні мережі. Весь мережевий трафік, що проходить через небезпечні мережі, повинен бути зашифрований.

Сертифікати TLS не тільки забезпечують захист за допомогою шифрування, але також використовуються для аутентифікації кінцевих точок. Це захищає від атак типу «зловмисник посередині». Припустимо, що у зловмисника є доступ до мережі. Він може скомпрометувати маршрутизатори для перенаправлення трафіку. Хакер перенаправляє трафік з однієї камери відеоспостереження на керований ним комп'ютер, який імітує пристрій. ПЗ для відеоспостереження відключається та знову підключається до ПК, якщо це відеокамера. Це робить можливим помилкове впровадження відео або крадіжку облікових даних камери, які VMS використовує для входу в систему.

Якщо у користувача немає контролю над тим, що або хто знаходиться в його мережі, тоді слід додати захист мережі (наприклад, 802.1X), а також використовувати HTTPS з сертифікатами в локальній мережі. Відеокамери часто піддаються фізичному впливу, залишаючи незахищеним кабель Ethernet. Рекомендується використовувати 802.1X (захист доступу до мережі), щоб зупинити кожного, хто намагається вкрасти кабель для отримання доступу. Додавання IP-фільтра, що дозволяє доступ до пристрою тільки IP-адресі з білого списку, також знизить ризик уразливості.

Хто в небезпеці?

Якби вуличні та внутрішні камери обробляли фінансові транзакції, вони, швидше за все, привернули б увагу кіберзлочинців. Але ймовірними витонченими противниками, що володіють ресурсами та рішучістю для компрометації захищеної системи, вважаються національні держави та кібертерористи.

Найбільш імовірною метою будуть організації критичної інфраструктури. Великі підприємства також потрапили б в цю категорію, якби атака торкнулася широкого загалу. Вся справа в перевагах, які зловмисник може отримати відносно вартості вдалої атаки. Дайте комусь нелімітований час та ресурси, і він зможе зламати будь-яку систему.