BitSight分析了大量网络摄像头、网络录像机、智能吸尘器等设备,发现的大多数设备都使用实时流协议(RTSP)进行互联网通信。RTSP是一种双向实时数据传输协议,它允许用户发送视频、音频等内容,还允许客户端向服务器端发送请求,进行回放、快进、倒退等操作。同时,报告还发现网络摄像头安全隐患主要存在于教育领域。在所有受调查的教育机构中,近四分之一的机构正在使用面向公网的网络摄像头等类似设备。
设备面临入侵风险的原因
分析发现,大多数面向互联网的设备都未设置防火墙或VPN,某些设备甚至缺少用户密码或存在安全漏洞。据BitSight表示,设备安全漏洞的主要类型为越权漏洞(IDOR)。2022 年,BitSight 就曾在多个车辆 GPS 追踪器中发现了几个关键的该类漏洞,被标记为CVE-2022-34150,该漏洞允许黑客在未经授权的情况下,从任何设备中获取信息。
安全影响
易受攻击的网络摄像头和其他物联网设备为多种安全威胁敞开大门,攻击者可以通过视频或音频源窃取个人数据信息,还可以通过访问与企业业务相关的活动或对话获取企业隐秘数据,甚至获取任何第三方敏感信息。此外,企业的整体网络安全可能面临风险。随着物联网的高速发展,人、机、物实现泛在连接,易受攻击的设备可能会为攻击者提供更多数据,从而破坏企业内部系统和网络。
降低面向互联网的摄像头和其他物联网设备安全风险的方法
1、明确整个企业以及业务合作伙伴所部署的所有视频或音频设备,逐个分析其设备安全性。
2、构建设备防火墙或 VPN 。
3、设置访问控制措施以保护缺少身份验证的设备。
4、对于已经存在软件漏洞的设备,需要开发人员介入提供安全补丁等方式保护设备或是直接更换设备。
BitSight首席风险官Derek Vadala在一次公开发言中表示,如果网络摄像头系统暴露在外,将对企业构成严重的安全威胁。因此,了解这些设备将如何增加企业的攻击面并采取一定措施限制潜在威胁是至关重要。
京公网安备 11010802033237号
