本文來(lái)源：物聯(lián)傳媒

本文作者：飛鳥(niǎo)

3月10日，特斯拉一天內(nèi)產(chǎn)生了兩條微博熱搜。

一是車主反饋剎車失靈而坐車頂維權(quán)，屬于客戶糾紛類的；

二是媒體爆料稱特斯拉上海工廠內(nèi)部的監(jiān)控視頻被泄露，造成場(chǎng)內(nèi)生產(chǎn)狀況被曝光，原因是某國(guó)際黑客組織入侵了特斯拉合作伙伴——安防系統(tǒng)初創(chuàng)公司Verkada的數(shù)據(jù)庫(kù)，獲得了15萬(wàn)個(gè)攝像頭視頻內(nèi)容，其中就包括了在特斯拉工廠和倉(cāng)庫(kù)的222個(gè)攝像頭數(shù)據(jù)。

對(duì)此特斯拉立即回應(yīng)稱：此次黑客的入侵范圍僅涉及河南一處特斯拉供應(yīng)商生產(chǎn)現(xiàn)場(chǎng)，此工廠使用了少數(shù)Verkada品牌攝像機(jī)用作遠(yuǎn)程質(zhì)量管理，其他如上海超級(jí)工廠與此并不關(guān)聯(lián)，且其他攝像設(shè)備均接入公司內(nèi)網(wǎng)而非互聯(lián)網(wǎng)。目前，特斯拉已停止了這些攝像頭的聯(lián)網(wǎng)，并將進(jìn)一步提升各環(huán)節(jié)的安全把控。

Verkada亦在官網(wǎng)表示，攻擊者在2021年3月7日開(kāi)始獲得服務(wù)器的訪問(wèn)權(quán)限、攝像頭的訪問(wèn)權(quán)限和客戶名單，并一直持續(xù)到3月9日中午左右。此后，公司已經(jīng)禁用了所有內(nèi)部管理員賬戶，安全團(tuán)隊(duì)正在展開(kāi)深入調(diào)查，并通知了美國(guó)執(zhí)法部門(mén)。

而在所有公司做出事后反應(yīng)時(shí)，對(duì)該事件負(fù)責(zé)的黑客組織成員蒂莉·科特曼（Tillie Kottmann）接受采訪表示，入侵Verkada攝像頭的方法并不復(fù)雜，僅僅是在互聯(lián)網(wǎng)上發(fā)現(xiàn)了一個(gè)公開(kāi)的管理員賬戶的用戶名和密碼就進(jìn)入了Verkada網(wǎng)絡(luò)內(nèi)部，甚至他們還能獲得攝像頭的root權(quán)限，可以利用攝像頭執(zhí)行自己的代碼。據(jù)悉，此次事件中被曝光的企業(yè)、機(jī)構(gòu)不僅有上海的特斯拉工廠，還覆蓋了多國(guó)的醫(yī)院、診所、公司、監(jiān)獄、學(xué)校等場(chǎng)所，甚至還有廠家Verkada本身辦公室內(nèi)的視頻資料。

科特曼表示此舉的目的是向大眾展示視頻監(jiān)控的普及程度以及系統(tǒng)是如何被輕松入侵，目前并未給波及單位造成明顯商業(yè)損失。但，把話題擴(kuò)大拉長(zhǎng)，我們理應(yīng)對(duì)物聯(lián)網(wǎng)安全保持應(yīng)有的關(guān)注與慎重。

一方面是各類隱私泄露事件不斷發(fā)生，首先就造成消費(fèi)者對(duì)使用網(wǎng)絡(luò)攝像頭的顧慮逐漸增多，以及懷疑像Amazon Echo那樣的智能音箱設(shè)備是否會(huì)監(jiān)聽(tīng)“我”的所有對(duì)話；另一方面，就像去年12月Forescout的安全研究人員披露了四個(gè)開(kāi)源TCP／IP庫(kù)中的33個(gè)安全漏洞，表示其影響了150多家供應(yīng)商的超過(guò)100萬(wàn)個(gè)智能設(shè)備和工業(yè)互聯(lián)網(wǎng)產(chǎn)品，這證明在企業(yè)層面也存在無(wú)法忽視的安全隱患。

矛盾點(diǎn)是：部署安全防范與廣鋪業(yè)務(wù)賺錢(qián)，魚(yú)與熊掌不可兼得？

在科特曼的采訪陳述中提到一句非常具有個(gè)人感情色彩的話：“安全攝像頭公司只追求利益，疏忽了對(duì)網(wǎng)絡(luò)安全的防護(hù)�！�

實(shí)際上，Verkada成立于2016年，主營(yíng)安全攝像頭業(yè)務(wù)，產(chǎn)品亮點(diǎn)包含了使本地安全攝像頭遷移到云端，支持客戶通過(guò)網(wǎng)絡(luò)進(jìn)行訪問(wèn)和管理；以及支持AI視覺(jué)技術(shù)，能分辨出視頻中的人臉和車輛并對(duì)其進(jìn)行檢測(cè)和識(shí)別。2020年1月，公司獲得8000萬(wàn)美元的融資，投后估值達(dá)16億美元，其客戶范圍也發(fā)展到了千家以上，涵蓋學(xué)校、企業(yè)、零售、酒店、醫(yī)療保險(xiǎn)等行業(yè)。

在物聯(lián)傳媒早前的文章中提到，智能網(wǎng)絡(luò)攝像頭是一個(gè)很龐大的存量市場(chǎng)，具有產(chǎn)業(yè)基礎(chǔ)扎實(shí)、產(chǎn)業(yè)需求明確、產(chǎn)品容易做出來(lái)、市場(chǎng)空間大、具有良好的場(chǎng)景延伸能力五大特點(diǎn)，涉及到交通、安防、社區(qū)、商場(chǎng)、民用等場(chǎng)景都可以做挖掘深入。

在早期IHS Markit視頻監(jiān)控情報(bào)服務(wù)提供的一份數(shù)據(jù)中，全球視頻監(jiān)控市場(chǎng)收入2019年將達(dá)到199億美元，高于2018年的182億美元，增長(zhǎng)率達(dá)9％。此外，2017年增長(zhǎng)率為9．3％，2018年增長(zhǎng)率為8．7％。這是繼2016年和2015年分別取得3．9％和1．9％的小幅增長(zhǎng)后，全球視頻監(jiān)控市場(chǎng)連續(xù)三年迎來(lái)大幅增長(zhǎng)。

Verkada也是踩著關(guān)鍵的窗口期成立的，并且在剛成立到發(fā)展得還不錯(cuò)這段時(shí)間里，Verkada首席執(zhí)行官Filip Kaliszan曾說(shuō)，他看到了許多因快速發(fā)展的消費(fèi)者市場(chǎng)而誕生的攝像頭，但其中很大一部分的技術(shù)都已經(jīng)過(guò)時(shí)了，包括他們的安全理念，僅僅為了確保沒(méi)有人可以未經(jīng)授權(quán)就接觸到監(jiān)視系統(tǒng)的磁帶和監(jiān)視器實(shí)體。

雖然世界上從來(lái)沒(méi)有絕對(duì)的安全，但對(duì)于早已認(rèn)知并了解安全問(wèn)題的Verkada公司，在2021年暴露出那樣一個(gè)簡(jiǎn)單的漏洞給外界可乘之機(jī)，這終歸是讓人有些遺憾。

而其中的緣由，并不是一家企業(yè)的問(wèn)題，甚至是整個(gè)行業(yè)都不甚清楚應(yīng)該抱著何種態(tài)度對(duì)待事前的安全防護(hù)。在弄清楚之前，以業(yè)務(wù)增長(zhǎng)為優(yōu)先無(wú)可厚非。

而且，實(shí)現(xiàn)網(wǎng)絡(luò)安全其實(shí)并沒(méi)有什么一勞永逸的辦法。及時(shí)對(duì)危害事件作出回應(yīng)，持續(xù)查殺漏洞并更新補(bǔ)丁和固件，對(duì)網(wǎng)絡(luò)安全投入應(yīng)有的資金與人力是必要之舉。Verkada是如此，�？荡笕A也是如此。

每一次網(wǎng)絡(luò)安全事件都應(yīng)是一條學(xué)習(xí)經(jīng)驗(yàn)

2016年“美國(guó)東部大斷網(wǎng)”事件，是利用了數(shù)十萬(wàn)臺(tái)受到僵尸網(wǎng)絡(luò)感染的聯(lián)網(wǎng)設(shè)備，比如路由器、攝像頭，通過(guò)持續(xù)的掃描漏洞，操縱肉雞的方式，向目標(biāo)發(fā)送合理的服務(wù)請(qǐng)求，就此占用過(guò)多的服務(wù)資源，使服務(wù)器擁塞而無(wú)法對(duì)外提供正常服務(wù)。

2018年臺(tái)積電的病毒感染事件，導(dǎo)致重要的高端產(chǎn)能廠區(qū)停產(chǎn)停線，其實(shí)是臺(tái)積電犯了3個(gè)錯(cuò)誤：1）進(jìn)入產(chǎn)線的新設(shè)備帶有病毒，且未被查殺；2）負(fù)責(zé)關(guān)鍵生產(chǎn)設(shè)施的電腦搭載的是老舊的Windows 7系統(tǒng)，且沒(méi)有打補(bǔ)��；3）沒(méi)有關(guān)閉設(shè)備445端口，使病毒輕易入侵。

2019年德國(guó)杜塞爾多夫醫(yī)院遭受勒索軟件攻擊之后，德國(guó)網(wǎng)絡(luò)安全機(jī)構(gòu)BSI向外界發(fā)出的警告是——要求德國(guó)公司和機(jī)構(gòu)針對(duì)CVE－2019－19871漏洞（勒索軟件的已知入口點(diǎn)）更新其Citrix網(wǎng)絡(luò)網(wǎng)關(guān)。

2020年富士康在墨西哥的工廠遭遇勒索軟件攻擊之后，促使其內(nèi)部資安團(tuán)隊(duì)加緊完成軟件以及作業(yè)系統(tǒng)安全性更新，同時(shí)提高資安防護(hù)層級(jí)。

從這一路跟蹤的情況來(lái)看，網(wǎng)絡(luò)安全事件一直在發(fā)生，甚至一些廠商也能用被動(dòng)防護(hù)的態(tài)度降低損失至最小。但一旦發(fā)生像臺(tái)積電那樣影響公司營(yíng)收的情況，卻又是追悔莫及。

有一句話說(shuō)了很多次，現(xiàn)如今黑客或病毒所攻擊的對(duì)象，已經(jīng)從個(gè)人PC、防護(hù)能力較弱的傳統(tǒng)企業(yè)、政府、學(xué)校網(wǎng)站等，擴(kuò)散到萬(wàn)物互聯(lián)時(shí)代的工廠、工業(yè)設(shè)備、智能攝像頭、路由器等眾多類型上。

也許現(xiàn)在，我們并沒(méi)有辦法光靠口號(hào)就讓全行業(yè)都對(duì)安全有足夠充分的認(rèn)識(shí)，但回顧這幾年陸續(xù)發(fā)生的事件，總當(dāng)是可以吸取經(jīng)驗(yàn)教訓(xùn)，逐步提升安防能力和意識(shí)的。

有望從政策標(biāo)準(zhǔn)方面給予推動(dòng)

2019年1月，日本總務(wù)省對(duì)《電氣通信事業(yè)法》進(jìn)行修正，要求自2020年4月起要求聯(lián)網(wǎng)終端設(shè)備須具有防非法登錄功能，例如能切斷外部控制、要求變更初期默認(rèn)ID和密碼、可時(shí)常更新軟件等，且唯有滿足標(biāo)準(zhǔn)、獲得認(rèn)定的設(shè)備才能在日本上市。

2020年1月，英國(guó)國(guó)家網(wǎng)絡(luò)安全中心指定舉措，要求消費(fèi)物聯(lián)網(wǎng)的制造商必須采用獨(dú)一無(wú)二的密碼，而非默認(rèn)的出廠設(shè)置；并提供一個(gè)公開(kāi)的接入點(diǎn)來(lái)報(bào)告漏洞；以及說(shuō)明設(shè)備獲得安全更新的最短時(shí)長(zhǎng)。

2020年9月，澳大利亞政府發(fā)布《實(shí)踐準(zhǔn)則：為消費(fèi)者保護(hù)物聯(lián)網(wǎng)》，以13項(xiàng)原則為基礎(chǔ)， 鼓勵(lì)制造商提高物聯(lián)網(wǎng)設(shè)備的安全性，以及鼓勵(lì)消費(fèi)者在購(gòu)買智能設(shè)備時(shí)考慮安全功能。

同年9月，美國(guó)眾議院通過(guò)了《2020年物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》，要求聯(lián)邦政府購(gòu)買的所有與互聯(lián)網(wǎng)連接設(shè)備（包括計(jì)算機(jī)、移動(dòng)設(shè)備和其他具有互聯(lián)網(wǎng)連接能力的產(chǎn)品）必須符合美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布的最低安全標(biāo)準(zhǔn)。

2020年11月，歐盟網(wǎng)絡(luò)安全局（ENISA）發(fā)布了《物聯(lián)網(wǎng)安全準(zhǔn)則》，旨在幫助物聯(lián)網(wǎng)制造商、開(kāi)發(fā)商、集成商及所有物聯(lián)網(wǎng)供應(yīng)鏈的利益相關(guān)者在構(gòu)建、部署或評(píng)估物聯(lián)網(wǎng)技術(shù)時(shí)做出更好的安全決策。

所有的跡象都表明，全球范圍內(nèi)，從政府采購(gòu)、消費(fèi)者購(gòu)買到制造商本身，都處于一個(gè)物聯(lián)網(wǎng)安全意識(shí)增長(zhǎng)的階段。

其實(shí)有理由相信，未來(lái)相關(guān)主管部門(mén)將持續(xù)推動(dòng)并完善安全標(biāo)準(zhǔn)，物聯(lián)網(wǎng)安全產(chǎn)業(yè)終將有更明朗的未來(lái)。