310月10日,特斯拉一天内发布了两条微博热搜。
- 一是车主反馈刹车失灵,车顶 *** ,属于客户纠纷;
- 第二,媒体透露,特斯拉上海工厂的监控视频被泄露,导致现场生产状况被曝光,因为一个国际黑客组织入侵了特斯拉合作伙伴——安全系统初创公司Verkada该数据库获得了15万个摄像头视频头数据中,数据库获得了15万个摄像头视频内容。
Verkada特斯拉工厂在摄像头下,彭博社
特斯拉立即回应说,黑客的入侵只涉及河南特斯拉供应商的生产现场,工厂使用了少数Verkada品牌相机用于远程质量管理,上海等其他超级工厂与此无关,其他相机设备接入公司内部 *** ,而不是互联网。特斯拉已经停止了这些相机的连接,并将进一步提高各个环节的安全控制。
Verkada该官方网站还表示,攻击者于2021年3月7日开始获得服务器访问权、摄像头访问权和客户名单,并持续到3月9日中午左右。此后,公司禁止了所有内部管理员账户,安全团队正在进行深入调查,并通知美国执法部门。
当所有公司都做出事后反应时,负责事件的黑客组织成员蒂莉·科特曼(Tillie Kottmann)采访说,入侵Verkada摄像头的 *** 并不复杂只是在互联网上发现了一个公共管理员账户的用户名和密码Verkada *** 内部,甚至他们还能获得摄像头的root权限可以使用相机执行自己的代码。据报道,事件中曝光的企业和机构不仅包括上海的特斯拉工厂,还包括医院、诊所、公司、监狱、学校,甚至制造商Verkada办公室本身的视频资料。
科特曼表示,此举的目的是向公众展示视频监控的普及程度以及系统是如何轻松入侵的,并没有给受影响的单位造成明显的商业损失。然而,为了扩大主题,我们应该对物联网的安全保持应有的关注和谨慎。
- 一方面,各种隐私泄露事件不断发生,首先导致消费者对使用 *** 摄像头的担忧逐渐增加,并怀疑图像Amazon Echo这样的智能音箱设备会监控吗?“我”所有对话;
- 另一方面,就像去年12月一样Forescout安全研究人员披露了四个开源TCP/IP图书馆中的33个安全漏洞表明,它影响了100多万智能设备和工业互联网产品,影响了150多家供应商,这证明了企业层面也存在不可忽视的安全风险。
矛盾点是:部署安全防范和广铺业务赚钱,鱼和熊掌不能兼得
在科特曼的采访陈述中,提到了一非常个人化的话:
实际上,Verkada成立于2016年,主要从事安全摄像头业务,产品亮点包括将当地安全摄像头迁移到云,支持客户通过 *** 访问和管理;并支持AI视觉技术可以区分视频中的人脸和车辆,并进行测试和识别。2020年1月,公司融资8000万美元,投资后估值16亿美元,客户范围也发展到1000多个,涵盖学校、企业、零售、酒店、医疗保险等行业。
在物联网媒体早期文章中提到,智能 *** 摄像头是一个巨大的股票市场,具有产业基础扎实、产业需求明确、产品制造方便、市场空间大、场景延伸能力好五个特点,涉及交通、安全、社区、购物中心、民用等场景。
在早期IHS Markit在视频监控信息服务提供的数据中,2019年全球视频监控市场收入将达到199亿美元,高于2018年182亿美元,增长率为9%。此外,2017年的增长率为9.32018年的增长率为%8.7%3.9%和1.9在%小幅增长后,全球视频监控市场连续三年大幅增长。
Verkada也是踩着关键窗口期成立的,而且刚成立到发展良好的时期,Verkada首席执行官Filip Kaliszan他曾经说过,他看到了许多由于消费者市场的快速发展而诞生的摄像头,但很大一部分技术已经过时,包括他们的安全概念,只是为了确保没有人能接触到监控系统的磁带和监控实体。
虽然世界上从来没有绝对的安全,但它已经认识和理解了安全问题Verkada在2021年,公司暴露出如此简单的漏洞给外界机会,这终究令人遗憾。
而其中的缘由,并不是一家企业的问题,甚至是整个行业都不甚清楚应该抱着何种态度对待事前的安全防护。在弄清楚之前,以业务增长为优先无可厚非。
此外,没有办法一劳永逸地实现 *** 安全。必须及时响应危害事件,不断检查漏洞,更新补丁和固件,并在 *** 安全上投入应有的资金和人力。Verkada海康大华也是如此。
每一次 *** 安全事件都应该是一种学习经验
- 2016年“美国东部大断网”事件是利用数十万台被僵尸 *** 感染的 *** 设备,如路由器和摄像头,通过不断扫描漏洞和操纵肉鸡,向目标发送合理的服务请求,占用过多的服务资源,使服务器拥堵,无法提供正常的外部服务。
- 2018年台积电病毒感染事件导致重要高端生产能力工厂停产。事实上,台积电犯了三个错误:1)进入生产线的新设备有病毒,未被查获;2)负责关键生产设施的计算机配备旧设备Windows 7系统,无补丁;3)设备445端口未关闭,病毒易入侵。
- 2019德国杜塞尔多夫医院被勒索软件攻击后,德国 *** 安全机构BSI向外界发出的警告是——德国公司和机构的要求CVE-2019-19871更新其漏洞(勒索软件的已知入口点)Citrix *** 网关。
- 2020年富士康在墨西哥工厂遭遇勒索软件攻击后,鼓励其内部安全团队加快软件和操作系统的安全更新,提高安全保护水平。
从这种跟踪的情况来看, *** 安全事件一直在发生,甚至一些制造商也可以以被动保护的态度将损失降到更低。但一旦像台积电一样影响了公司的收入,它就会后悔。
有句话说了很多次,现在黑客或病毒攻击的对象已经来自个人PC、传统企业、 *** 、学校网站等防护能力较弱的,传播到工厂、工业设备、智能摄像头、路由器等多种类型。
也许现在,我们不能仅仅依靠口号就让整个行业对安全有足够的了解,但回顾近年来的事件,我们总是可以吸取教训,逐步提高安全能力和意识。
有望从政策标准上推进
- 20192020年1月,日本总务省修订了《电气通信事业法》,要求自2020年4月起, *** 终端设备必须具备防止非法登录的功能,如切断外部控制初期默认要求等ID只有符合标准并获得认可的设备才能在日本上市,如密码、软件可以经常更新等。
- 20202001年1月,英国国家 *** 安全中心指定的措施要求消费物联网制造商使用独特的密码,而不是默认的工厂设置;并提供一个公开的访问点来报告漏洞;并解释设备安全更新的最短时间。
- 20202009年9月,澳大利亚 *** 发布了基于13项原则的《实践标准:保护消费者物联网》,鼓励制造商提高物联网设备的安全性,鼓励消费者在购买智能设备时考虑安全功能。
- 同年9月,美国众议院通过了《2020年物联网 *** 安全改进法案》,要求联邦 *** 购买的所有与互联网连接设备(包括计算机、移动设备和其他具有互联网连接能力的产品)必须符合美国国家标准与技术研究院(NIST)发布的更低安全标准。
- 202011月,欧盟 *** 安全局(ENISA)发布了《物联网安全标准》,旨在帮助物联网制造商、开发商、集成商和所有物联网供应链利益相关者在构建、部署或评估物联网技术时做出更好的安全决策。
所有迹象表明,从 *** 采购、消费者采购到制造商本身,全球都处于物联网安全意识增长的阶段。
事实上,有理由相信,物联网安全管部门将继续推进和完善安全标准,物联网安全产业最终将有更明朗的未来。