永久五行公式公式规律
安全通告
首頁技術支持 安全通告

天融信關于境外黑客組織擬攻擊我國視頻監控網絡的風險提示及防護方案

發布時間:2020-02-07查看次數:345
分享到

背景介紹

據國家網絡與信息安全通報中心監測發現,近日有境外黑客組織揚言將于2020年2月13日對我國視頻監控系統實施網絡攻擊破壞活動,并聲稱已掌握我國境內大量視頻監控設備權限。

1.1事件描述

黑客發布的推文。

本次攻擊主要目的是對視頻監控系統實施破壞活動,攻擊目標是互聯網上的國內多個視頻生產廠商的視頻監控產品。黑客同時聲稱已掌握我國境內大量攝像頭控制權限,并在pastebin網站上公開了部分受控目標,經核實發現這些受控目標均為國內的視頻產品廠商監控設備,請部署過該產品的用戶及時進行防護。

某平臺公布的70余個視頻監控設備信息。

1.2風險分析

攝像頭是視頻監控網絡的重要組成部分,具有位置分散廣、設備基數大的特點,導致視頻監控網絡監管困難,經過對視頻監控網絡的深入研究,以下4個風險點會帶來較大的安全風險:
1.前端資產數量龐大,監管難度加大,導致安全事件發生時無法快速定位風險設備,延誤處置時機。
2.前端視頻設備存在漏洞、弱口令,黑客利用漏洞可攻入視頻平臺盜取視頻監控,將導致視頻數據丟失。
3.前端視頻設備缺少入網控制機制,黑客可通過私接、替換等手段攻入視頻網絡系統進行攻擊破壞活動。
4.缺少對視頻監控網絡中行為分析及控制手段,視頻網絡中存在異常掃描、非法訪問互聯網等異常行為,導致視頻設備被互聯網非法訪問、控制。

二、防護方案與建議

2.1防護思路

天融信防護方案主要從三個方面為客戶開展安全防護工作:

一、梳理資產,修復漏洞:對網絡視頻監控系統開展資產梳理、漏洞掃描,重點梳理弱口令、漏洞、非法接入等安全問題,發現存在問題及時修復,對于無法修復的視頻設備進行及時下線處理。同時對安全資產進行實時監控和安全審計;

二、網絡加固、實時防范:加強網絡邊界處的防火墻或入侵防御系統的入侵防范和管理,如對不必要的境外通訊提前阻斷,關閉不必要的網絡服務和端口等;

三、加強管理,啟動應急:啟動緊急應急處置機制,組織安全團隊、技術廠商協同開展安全防護及應急響應工作。

2.2防護方案

1) 資產梳理排查
通過視頻專網安全監測分析系統主動獲取視頻專網中在網設備的 IP 和 MAC 地址、品牌、型號、所屬地址組、部門、發現時間、開放端口、服務等信息,通過設備指紋特征精確識別設備類型,覆蓋主流的攝像頭、NVR、CVR、DVR、視頻網關、流媒體服務器等視頻設備,形成視頻專網資產特征庫,目前設備特征庫中包含海康、大華、宇視、天地偉業、霍尼菲爾、科達、漢邦高科、亞安、英飛拓、九安等主流安防廠商設備。
重點關注直接暴露在互聯網的視頻監控設備,如非業務需要,及時進行整改;對須暴露在互聯網的視頻監控設備進行重點安全監測和安全漏洞掃描修復。

2) 嚴格視頻準入控制
通過視頻專網安全監測與分析系統將設備IP/MAC/特征進行多元素綁定,防止非法IP設備接入視頻專網進而對網絡內部進行攻擊。

3) 視頻漏洞排查修復
視頻專網安全監測與分析系統提供弱口令檢測功能,系統內置豐富的弱口令詞典、弱賬戶詞典,能夠快速發現設備弱口令,并且弱口令詞典支持導入功能,能夠根據視頻監控網絡制定特定的弱口令詞典進行檢測,同時內置視頻監控設備的專用漏洞庫,對前端視頻監控設備進行漏洞檢測修復,此外關注官方特征庫升級公告,升級特征庫。
對于無法及時修復的視頻監控設備在緊急防護期間,如非業務需求,建議做緊急下線處理。

4) 加強網絡安全防御 對在網絡邊界處已部署天融信
防火墻或入侵防御系統的客戶,需提前在設備上做好相應安全防護策略,例如阻斷60001端口。此次黑客組織在pastebin平臺上發布的九安視頻監控設備,該設備默認查看界面端口為60001。
緊急防護期間,安排專人對視頻專網中的流量進行實時監測分析,重點監控60001等端口的異常流量,并結合防火墻對異常流量進行及時阻斷。

5) 啟動應急響應機制
做好以上防護措施基礎上,2月13日前后,請客戶加強安全防范意識,盡早組織安全團隊、技術廠商協同啟動安全應急響應機制,安排專人值守,做好監測措施,及時發現安全風險,及時處理。

2.3天融信產品防護建議

1) 防護方案1-天融信風險探知系統
針對網內存在的攝像頭等視頻監控設備,天融信風險探知系統為用戶提供網內相關視頻監控設備的探測和篩查,以便對這些視頻監控設備進行針對性的安全檢查和防護。

a) 視頻監控設備探測
針對此次黑客組織公布的九安視頻監控設備,根據已知統計,該設備常用開放端口為60001、8080、88、81、80等,可在風險探知系統的掃描任務里添加這些常用端口來對網內可能的九安視頻監控設備進行掃描發現,也可以擴大端口發現范圍,對全網各品牌視頻監控設備進行掃描發現。

b) 視頻監控設備篩查
在通過風險探知系統對視頻監控設備發現后,登錄天融信風險探知頁面,點擊“資產管理”>“資產檢索”,點擊“高級搜索按鈕”,填寫搜索條件,如下圖是對攝像頭資產進行篩查:

查詢條件提交后,系統自動檢索出網內存在的視頻監控設備信息。

通過“操作”中的“”按鈕,即可以查看該視頻監控設備的相關信息:


需對這些篩查出的視頻監控設備進行重點排查,及時進行安全監測和安全漏洞掃描修復。

2) 防護方案2-天融信下一代防火墻

a) IP地址或子網資源定義
在“資源管理”-“地址”-“主機”,中添加與視頻服務器所用到的IP地址。(也可以通過在“子網”選項卡中定義與視頻業務相關的服務器網段)如下圖所示:

添加IP地址:(只需填寫“名稱”和“IP地址”即可)

添加子網:(需要填寫“名稱”、“子網”和“所屬網絡號”)

b) 定義視頻業務所使用的端口(60001)
在“資源管理”-“服務”-“自定義服務”里點擊“添加”,“名稱”可以任意填寫、“協議”選擇TCP或UDP、“端口”在第一方框中填寫60001后點擊“添加”即可。

添加完成后效果如下圖所示

c) 在訪問控制策略中調用上述定義好的IP地址和端口
在“安全策略”-“訪問控制”里點擊“添加”其中“源地址”里可以選擇必須訪問視頻設備的IP地址。“目的地址”里選擇上述定義好的視頻業務服務器IP地址或視頻業務服務器子網,“其他”選項中的“服務”里選擇定義好的60001端口、“動作”選擇允許。

d) 禁止非法IP地址訪問視頻業務60001端口
在“安全策略”-“訪問控制”里點擊“添加”其中“源地址”里選擇any。“目的地址”里選擇上述定義好的視頻業務服務器IP地址或視頻業務服務器子網,“其他”選項中的“服務”里選擇定義好的60001端口、“動作”選擇禁止。如下圖所示:

注意:上述禁止訪問目的端口60001的策略一定要在允許訪問60001端口策略的下面。(訪問控制策略條目匹配順序為從上至下逐一匹配,匹配后會立即執行,后續條目將不會在匹配)

3) 防護方案3-天融信防火墻 a) IP地址或子網資源定義 在“資源管理”-“地址”-“主機”,中添加與視頻服務器所用到的IP地址。(也可以通過在“子網”選項卡中定義與視頻業務相關的服務器網段)如下圖所示:

添加IP地址:(只需填寫“名稱”和“IP地址”即可)

注意:上述禁止訪問目的端口60001的策略一定要在允許訪問60001端口策略的下面。(訪問控制策略條目匹配順序為從上至下逐一匹配,匹配后會立即執行,后續條目將不會在匹配)

3) 防護方案3-天融信防火墻
a) IP地址或子網資源定義
在“資源管理”-“地址”-“主機”,中添加與視頻服務器所用到的IP地址。(也可以通過在“子網”選項卡中定義與視頻業務相關的服務器網段)如下圖所示:

添加IP地址:(只需填寫“名稱”和“IP地址”即可)

添加子網:(需要填寫“名稱”、“網絡地址”和“子網掩碼”)

b) 定義視頻業務所使用的端口(60001)
在“資源管理”-“服務”-“自定義”里點擊“添加”,“名稱”可以任意填寫、“類型”選擇TCP或UDP、“端口”在第一方框中填寫60001即可。

添加完成后效果如下圖所示

c) 在訪問控制策略中調用上述定義好的IP地址和端口
在“防火墻”-“訪問控制”-“添加策略”中的“源”地址里可以選擇必須訪問視頻設備的IP地址。“目的”地址里選擇上述定義好的視頻業務服務器IP地址或視頻業務服務器子網,“服務”里選擇定義好的60001端口、“動作”選擇允許。

d) 禁止非法IP地址訪問視頻業務60001端口
在“防火墻”-“訪問控制”-“添加策略”中的“源”地址里選擇any。“目的”地址里選擇上述定義好的視頻業務服務器IP地址或視頻業務服務器子網,“服務”里選擇定義好的60001端口、“動作”選擇禁止。如下圖所示:

注意:上述禁止訪問目的端口60001的策略一定要在允許訪問60001端口策略的下面。(訪問控制策略條目匹配順序為從上至下逐一匹配,匹配后會立即執行,后續條目將不會在匹配)

4) 防護方案4-天融信入侵防御系統

a) IP地址或子網資源定義
在“對象管理”-“地址”-“主機”,中添加與視頻服務器所用到的IP地址。(也可以通過在“子網”選項卡中定義與視頻業務相關的服務器網段)如下圖所示:
添加IP地址:(只需填寫“名稱”和“IP地址”即可)

添加子網:(需要填寫“名稱”、“網絡地址”和“子網掩碼/長度”)

b) 定義視頻業務所使用的端口(60001)
在“對象管理”-“服務”-“自定義服務”里點擊“添加”,“名稱”可以任意填寫、“類型”選擇TCP或UDP、“端口”在第一方框中填寫60001即可。

添加完成后效果如下圖所示

c) 在訪問控制策略中調用上述定義好的IP地址和端口在“安全防護”-“防火墻”-“訪問控制”-“添加策略”中的“源”選項卡里可以選擇必須訪問視頻設備的IP地址。“目的”選項卡里選擇上述定義好的視頻業務服務器IP地址或視頻業務服務器子網,“服務”選項卡里選擇定義好的60001端口、“動作”選擇允許。

d) 禁止非法IP地址訪問視頻業務60001端口
在“安全防護”-“防火墻”-“訪問控制”-“添加策略”中的“源”選項卡里選擇any。“目的”選項卡里選擇上述定義好的視頻業務服務器IP地址或視頻業務服務器子網,“服務”選項卡里選擇定義好的60001端口、“動作”選擇禁止。如下圖所示:

注意:上述禁止訪問目的端口60001的策略一定要在允許訪問60001端口策略的下面。(訪問控制策略條目匹配順序為從上至下逐一匹配,匹配后會立即執行,后續條目將不會在匹配)

5) 防護方案5-天融信Web應用防火墻 部署有天融信WEB應用防護系統(WAF)的用戶,可通過在WAF上配置訪問控制和站點安全,實現針對視頻監控設備WEB管理頁面的有效防護。具體配置如下(九安視頻監控查看界面默認端口為60001,其它視頻監控產品請根據實際情況設定防護端口)

a) 訪問控制配置方法 在“網絡層防護”—“訪問控制”頁面,配置兩條訪問控制策略,第一條策略:允許白名單地址訪問視頻監控系統(源地址為可信IP地址,目的地址配置視頻監控系統的服務器IP,目的端口配置為60001);第二條策略,禁止其它IP訪問該系統端口。

b) 服務器策略配置方法 在“Web防護”—“服務器策略”頁面,配置針對視頻監控系統的服務器IP地址,“安全策略”頁面配置相關防護策略。如下圖所示:

6) 防護方案6-天融信視頻專網安全監測分析系統
針對網內分布存在的各類視頻監控設備,天融信視頻專網安全監測分析系統可為用戶提供網內相關視頻監控設備的資產篩查和風險管控手段。

a) 資產梳理排查
天融信視頻專網安全監測分析系統能夠主動獲取網內在網視頻監控設備,并能夠對設備進行IP/MAC/特征等多元素綁定,有效拒絕非法設備。

登錄天融信TVM視頻采集分析引擎頁面,點擊“設備管理”>“設備信息管理”,即可篩查網內視頻監控設備信息。

b) 弱口令等相關漏洞探測 天融信視頻專網安全監測分析系統能夠根據視頻監控網絡制定特定的弱口令詞典進行弱口令檢測,同時內置視頻監控設備的專用漏洞庫,對前端視頻監控設備進行漏洞檢測修復: 登錄天融信TVM視頻采集分析引擎頁面,點擊“設備管理”>“設備信息管理”,查看網內視頻監控設備是否存在弱口令、漏洞等信息,以便及時進行漏洞修補。

c) 網內視頻設備異常流量探測
可針對網內攝像頭等視頻監控設備與外部非法主機和異常通信進行識別,發現異常流量情況。
登錄天融信TVM探測引擎頁面,點擊“攻擊防范管理”菜單,點擊“網絡行為分析”和“異常活動報警”子菜單,查看異常流量的可疑行為和報警。

d) 對存在風險的視頻設備進行阻斷
針對網內有潛在風險的攝像頭等視頻監控設備進行網絡阻斷:
登錄天融信TVM視頻采集分析引擎頁面,點擊“設備管理”>“設備信息管理”,點擊存在風險的視頻監控設備的IP,打開詳情頁面,點擊“手動阻斷”處理存在風險的攝像頭設備。

例如針對此次黑客組織在pastebin平臺上發布的九安視頻監控設備,該設備默認查看界面端口為60001,在攻擊防范管理-設備行為庫管理中將互聯網IP連接視頻監控網絡設備設置為自動阻斷模式,自動阻斷互聯網IP訪問視頻監控網絡的通信連接,升級最新異常行為庫,配置自動阻斷目的端口為60001的非法訪問行為。通過配置可對存在非法外聯、訪問60001端口的行為進行自動阻斷。

天融信技術支持熱線

天融信公司后續將積極為客戶提供技術支持,進行持續跟蹤并及時通報進展。獲取支持聯系方式如下:
撥打400-777-0777電話聯系技術支持團隊獲得支持。

天融信阿爾法實驗室成立于2011年,一直以來,阿爾法實驗室秉承“攻防一體”的理念,匯聚眾多專業技術研究人員,從事攻防技術研究,在安全領域前瞻性技術研究方向上不斷前行。作為天融信的安全產品和服務支撐團隊,阿爾法實驗室精湛的專業技術水平、豐富的排異經驗,為天融信產品的研發和升級、承擔國家重大安全項目和客戶服務提供強有力的技術支撐。

永久五行公式公式规律 今晚广西快乐双彩开奖号码 体彩混合过关计算器 贵州11选5 陕西快乐10分分布图 七星彩开奖号码 福建11选5走势图删除删除删除 2018年免费三肖中特一 上海时时彩计划软件 湖北十一选五 怎么用婚车赚钱