安全通告
首页技术支持 安全通告

天融信关于境外黑客组织拟攻击我国视频监控网络的风险提示及防护方案

发布时间:2020-02-07查看次数:550
分享到

背景介绍

据国家网络与信息安全通报中心监测发现,近日有境外黑客组织扬言将于2020年2月13日对我国视频监控系统实施网络攻击破坏活动,并声称已掌握我国境内大量视频监控设备权限。

1.1事件描述

黑客发布的推文。

本次攻击主要目的是对视频监控系统实施破坏活动,攻击目标是互联网上的国内多个视频生产厂商的视频监控产品。黑客同时声称已掌握我国境内大量摄像头控制权限,并在pastebin网站上公开了部分受控目标,经核实发现这些受控目标均为国内的视频产品厂商监控设备,请部署过该产品的用户及时进行防护。

某平台公布的70余个视频监控设备信息。

1.2风险分析

摄像头是视频监控网络的重要组成部分,具有位置分散广、设备基数大的特点,导致视频监控网络监管困难,经过对视频监控网络的深入研究,以下4个风险点会带来较大的安全风险:
1.前端资产数量庞大,监管难度加大,导致安全事件发生时无法快速定位风险设备,延误处置时机。
2.前端视频设备存在漏洞、弱口令,黑客利用漏洞可攻入视频平台盗取视频监控,将导致视频数据丢失。
3.前端视频设备缺少入网控制机制,黑客可通过私接、替换等手段攻入视频网络系统进行攻击破坏活动。
4.缺少对视频监控网络中行为分析及控制手段,视频网络中存在异常扫描、非法访问互联网等异常行为,导致视频设备被互联网非法访问、控制。

二、防护方案与建议

2.1防护思路

天融信防护方案主要从三个方面为客户开展安全防护工作:

一、梳理资产,修复漏洞:对网络视频监控系统开展资产梳理、漏洞扫描,重点梳理弱口令、漏洞、非法接入等安全问题,发现存在问题及时修复,对于无法修复的视频设备进行及时下线处理。同时对安全资产进行实时监控和安全审计;

二、网络加固、实时防范:加强网络边界处的防火墙或入侵防御系统的入侵防范和管理,如对不必要的境外通讯提前阻断,关闭不必要的网络服务和端口等;

三、加强管理,启动应急:启动紧急应急处置机制,组织安全团队、技术厂商协同开展安全防护及应急响应工作。

2.2防护方案

1) 资产梳理排查
通过视频专网安全监测分析系统主动获取视频专网中在网设备的 IP 和 MAC 地址、品牌、型号、所属地址组、部门、发现时间、开放端口、服务等信息,通过设备指纹特征精确识别设备类型,覆盖主流的摄像头、NVR、CVR、DVR、视频网关、流媒体服务器等视频设备,形成视频专网资产特征库,目前设备特征库中包含海康、大华、宇视、天地伟业、霍尼菲尔、科达、汉邦高科、亚安、英飞拓、九安等主流安防厂商设备。
重点关注直接暴露在互联网的视频监控设备,如非业务需要,及时进行整改;对须暴露在互联网的视频监控设备进行重点安全监测和安全漏洞扫描修复。

2) 严格视频准入控制
通过视频专网安全监测与分析系统将设备IP/MAC/特征进行多元素绑定,防止非法IP设备接入视频专网进而对网络内部进行攻击。

3) 视频漏洞排查修复
视频专网安全监测与分析系统提供弱口令检测功能,系统内置丰富的弱口令词典、弱账户词典,能够快速发现设备弱口令,并且弱口令词典支持导入功能,能够根据视频监控网络制定特定的弱口令词典进行检测,同时内置视频监控设备的专用漏洞库,对前端视频监控设备进行漏洞检测修复,此外关注官方特征库升级公告,升级特征库。
对于无法及时修复的视频监控设备在紧急防护期间,如非业务需求,建议做紧急下线处理。

4) 加强网络安全防御 对在网络边界处已部署天融信
防火墙或入侵防御系统的客户,需提前在设备上做好相应安全防护策略,例如阻断60001端口。此次黑客组织在pastebin平台上发布的九安视频监控设备,该设备默认查看界面端口为60001。
紧急防护期间,安排专人对视频专网中的流量进行实时监测分析,重点监控60001等端口的异常流量,并结合防火墙对异常流量进行及时阻断。

5) 启动应急响应机制
做好以上防护措施基础上,2月13日前后,请客户加强安全防范意识,尽早组织安全团队、技术厂商协同启动安全应急响应机制,安排专人值守,做好监测措施,及时发现安全风险,及时处理。

2.3天融信产品防护建议

1) 防护方案1-天融信风险探知系统
针对网内存在的摄像头等视频监控设备,天融信风险探知系统为用户提供网内相关视频监控设备的探测和筛查,以便对这些视频监控设备进行针对性的安全检查和防护。

a) 视频监控设备探测
针对此次黑客组织公布的九安视频监控设备,根据已知统计,该设备常用开放端口为60001、8080、88、81、80等,可在风险探知系统的扫描任务里添加这些常用端口来对网内可能的九安视频监控设备进行扫描发现,也可以扩大端口发现范围,对全网各品牌视频监控设备进行扫描发现。

b) 视频监控设备筛查
在通过风险探知系统对视频监控设备发现后,登录天融信风险探知页面,点击“资产管理”>“资产检索”,点击“高级搜索按钮”,填写搜索条件,如下图是对摄像头资产进行筛查:

查询条件提交后,系统自动检索出网内存在的视频监控设备信息。

通过“操作”中的“”按钮,即可以查看该视频监控设备的相关信息:


需对这些筛查出的视频监控设备进行重点排查,及时进行安全监测和安全漏洞扫描修复。

2) 防护方案2-天融信下一代防火墙

a) IP地址或子网资源定义
在“资源管理”-“地址”-“主机”,中添加与视频服务器所用到的IP地址。(也可以通过在“子网”选项卡中定义与视频业务相关的服务器网段)如下图所示:

添加IP地址:(只需填写“名称”和“IP地址”即可)

添加子网:(需要填写“名称”、“子网”和“所属网络号”)

b) 定义视频业务所使用的端口(60001)
在“资源管理”-“服务”-“自定义服务”里点击“添加”,“名称”可以任意填写、“协议”选择TCP或UDP、“端口”在第一方框中填写60001后点击“添加”即可。

添加完成后效果如下图所示

c) 在访问控制策略中调用上述定义好的IP地址和端口
在“安全策略”-“访问控制”里点击“添加”其中“源地址”里可以选择必须访问视频设备的IP地址。“目的地址”里选择上述定义好的视频业务服务器IP地址或视频业务服务器子网,“其他”选项中的“服务”里选择定义好的60001端口、“动作”选择允许。

d) 禁止非法IP地址访问视频业务60001端口
在“安全策略”-“访问控制”里点击“添加”其中“源地址”里选择any。“目的地址”里选择上述定义好的视频业务服务器IP地址或视频业务服务器子网,“其他”选项中的“服务”里选择定义好的60001端口、“动作”选择禁止。如下图所示:

注意:上述禁止访问目的端口60001的策略一定要在允许访问60001端口策略的下面。(访问控制策略条目匹配顺序为从上至下逐一匹配,匹配后会立即执行,后续条目将不会在匹配)

3) 防护方案3-天融信防火墙 a) IP地址或子网资源定义 在“资源管理”-“地址”-“主机”,中添加与视频服务器所用到的IP地址。(也可以通过在“子网”选项卡中定义与视频业务相关的服务器网段)如下图所示:

添加IP地址:(只需填写“名称”和“IP地址”即可)

注意:上述禁止访问目的端口60001的策略一定要在允许访问60001端口策略的下面。(访问控制策略条目匹配顺序为从上至下逐一匹配,匹配后会立即执行,后续条目将不会在匹配)

3) 防护方案3-天融信防火墙
a) IP地址或子网资源定义
在“资源管理”-“地址”-“主机”,中添加与视频服务器所用到的IP地址。(也可以通过在“子网”选项卡中定义与视频业务相关的服务器网段)如下图所示:

添加IP地址:(只需填写“名称”和“IP地址”即可)

添加子网:(需要填写“名称”、“网络地址”和“子网掩码”)

b) 定义视频业务所使用的端口(60001)
在“资源管理”-“服务”-“自定义”里点击“添加”,“名称”可以任意填写、“类型”选择TCP或UDP、“端口”在第一方框中填写60001即可。

添加完成后效果如下图所示

c) 在访问控制策略中调用上述定义好的IP地址和端口
在“防火墙”-“访问控制”-“添加策略”中的“源”地址里可以选择必须访问视频设备的IP地址。“目的”地址里选择上述定义好的视频业务服务器IP地址或视频业务服务器子网,“服务”里选择定义好的60001端口、“动作”选择允许。

d) 禁止非法IP地址访问视频业务60001端口
在“防火墙”-“访问控制”-“添加策略”中的“源”地址里选择any。“目的”地址里选择上述定义好的视频业务服务器IP地址或视频业务服务器子网,“服务”里选择定义好的60001端口、“动作”选择禁止。如下图所示:

注意:上述禁止访问目的端口60001的策略一定要在允许访问60001端口策略的下面。(访问控制策略条目匹配顺序为从上至下逐一匹配,匹配后会立即执行,后续条目将不会在匹配)

4) 防护方案4-天融信入侵防御系统

a) IP地址或子网资源定义
在“对象管理”-“地址”-“主机”,中添加与视频服务器所用到的IP地址。(也可以通过在“子网”选项卡中定义与视频业务相关的服务器网段)如下图所示:
添加IP地址:(只需填写“名称”和“IP地址”即可)

添加子网:(需要填写“名称”、“网络地址”和“子网掩码/长度”)

b) 定义视频业务所使用的端口(60001)
在“对象管理”-“服务”-“自定义服务”里点击“添加”,“名称”可以任意填写、“类型”选择TCP或UDP、“端口”在第一方框中填写60001即可。

添加完成后效果如下图所示

c) 在访问控制策略中调用上述定义好的IP地址和端口在“安全防护”-“防火墙”-“访问控制”-“添加策略”中的“源”选项卡里可以选择必须访问视频设备的IP地址。“目的”选项卡里选择上述定义好的视频业务服务器IP地址或视频业务服务器子网,“服务”选项卡里选择定义好的60001端口、“动作”选择允许。

d) 禁止非法IP地址访问视频业务60001端口
在“安全防护”-“防火墙”-“访问控制”-“添加策略”中的“源”选项卡里选择any。“目的”选项卡里选择上述定义好的视频业务服务器IP地址或视频业务服务器子网,“服务”选项卡里选择定义好的60001端口、“动作”选择禁止。如下图所示:

注意:上述禁止访问目的端口60001的策略一定要在允许访问60001端口策略的下面。(访问控制策略条目匹配顺序为从上至下逐一匹配,匹配后会立即执行,后续条目将不会在匹配)

5) 防护方案5-天融信Web应用防火墙 部署有天融信WEB应用防护系统(WAF)的用户,可通过在WAF上配置访问控制和站点安全,实现针对视频监控设备WEB管理页面的有效防护。具体配置如下(九安视频监控查看界面默认端口为60001,其它视频监控产品请根据实际情况设定防护端口)

a) 访问控制配置方法 在“网络层防护”—“访问控制”页面,配置两条访问控制策略,第一条策略:允许白名单地址访问视频监控系统(源地址为可信IP地址,目的地址配置视频监控系统的服务器IP,目的端口配置为60001);第二条策略,禁止其它IP访问该系统端口。

b) 服务器策略配置方法 在“Web防护”—“服务器策略”页面,配置针对视频监控系统的服务器IP地址,“安全策略”页面配置相关防护策略。如下图所示:

6) 防护方案6-天融信视频专网安全监测分析系统
针对网内分布存在的各类视频监控设备,天融信视频专网安全监测分析系统可为用户提供网内相关视频监控设备的资产筛查和风险管控手段。

a) 资产梳理排查
天融信视频专网安全监测分析系统能够主动获取网内在网视频监控设备,并能够对设备进行IP/MAC/特征等多元素绑定,有效拒绝非法设备。

登录天融信TVM视频采集分析引擎页面,点击“设备管理”>“设备信息管理”,即可筛查网内视频监控设备信息。

b) 弱口令等相关漏洞探测 天融信视频专网安全监测分析系统能够根据视频监控网络制定特定的弱口令词典进行弱口令检测,同时内置视频监控设备的专用漏洞库,对前端视频监控设备进行漏洞检测修复: 登录天融信TVM视频采集分析引擎页面,点击“设备管理”>“设备信息管理”,查看网内视频监控设备是否存在弱口令、漏洞等信息,以便及时进行漏洞修补。

c) 网内视频设备异常流量探测
可针对网内摄像头等视频监控设备与外部非法主机和异常通信进行识别,发现异常流量情况。
登录天融信TVM探测引擎页面,点击“攻击防范管理”菜单,点击“网络行为分析”和“异常活动报警”子菜单,查看异常流量的可疑行为和报警。

d) 对存在风险的视频设备进行阻断
针对网内有潜在风险的摄像头等视频监控设备进行网络阻断:
登录天融信TVM视频采集分析引擎页面,点击“设备管理”>“设备信息管理”,点击存在风险的视频监控设备的IP,打开详情页面,点击“手动阻断”处理存在风险的摄像头设备。

例如针对此次黑客组织在pastebin平台上发布的九安视频监控设备,该设备默认查看界面端口为60001,在攻击防范管理-设备行为库管理中将互联网IP连接视频监控网络设备设置为自动阻断模式,自动阻断互联网IP访问视频监控网络的通信连接,升级最新异常行为库,配置自动阻断目的端口为60001的非法访问行为。通过配置可对存在非法外联、访问60001端口的行为进行自动阻断。

天融信技术支持热线

天融信公司后续将积极为客户提供技术支持,进行持续跟踪并及时通报进展。获取支持联系方式如下:
拨打400-777-0777电话联系技术支持团队获得支持。

天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。