■原題:視頻數據泄露,視覺企業冤不冤?
當特斯拉上海超級工廠監控視頻數據泄露沖上熱搜,圈外人激情討論,圈內人喜憂參雜。憂于如此視頻安全問題,業內實屬普遍。特斯拉工廠的數據泄露主要因攝像頭連接了互聯網但并未做相關的安全防護,黑客的方法也并不復雜:通過“超級管理員”賬戶獲得了Verkada的訪問權限。某位聲稱享有信譽的黑客Tillie Kottmann的言論也證實了這一點。“數據泄露是由一個國際黑客團體實施的,目的是展示那些視頻監控系統可以輕松地入侵的地方,而他們這樣做是出于娛樂目的。說者本無惡意,聽者略嗅挑釁,因其揭開了視頻監控網絡安全的遮羞布:全球超級企業尚未如此,更何況萬千中小企業。
喜于視頻監控安全數次出圈,也許能讓這個居于角落的現象,得到它應有的重視。
某安全界前輩曾對雷鋒網提到,數據、隱私泄露并不是AI之后存在的,AI之后,黑客可遠程操作,方便快捷,數據獲取成本更低,范圍更廣,危害也更大。但在AI逐漸規模化落地后,硬件的鋪陳并未讓市場更加成熟,安全依然未能走向聚光燈下。
視頻網絡安全,值得一個C位。
在圈外人震驚、戲謔、譴責之余,我們或許更應該停下來討論,如何真正保護視頻網絡安全。
首先要明白一點,視頻監控的安全至關重要。
深信服行業解決方案資深專家黃智林指出,在平安城市、智慧城市建設之下,視頻接入網絡幾乎覆蓋城市所有區域。數量龐大的前端設備,管控措施并不到位。在此基礎上收集到的海量城市數據(目標、車牌、行蹤),無論是視頻數據后端的存儲、共享還是調閱,幾乎沒有基礎安全設施,數據泄露問題嚴重。內部專網與物聯網、政務網、內部信息網等存在諸多互聯,這張無死角、全覆蓋的網絡,與其他網絡互聯互通時,控制權尤為重要。“視頻監控網絡的頭號威脅,是網絡攻擊戰,攻擊強度、滲透深度也會不斷地增強。”
宇視安全&網絡解決方案總工王連朝告訴AI掘金志,其中有一半是漏洞和弱密碼造成的。漏洞和弱密碼使得設備很容易被控制、被利用,從而造成信息泄露,或引發DDOS攻擊。
而造成產品本身安全不足的原因有二:組織管理不足,設計之初未曾考慮安全設計,未曾建立漏洞發現、修復、響應機制等,導致后期難以修復。技術防范手段不足,存在弱口令,預留后門,或者軟件開發本身不規范,缺失認證機制、數據明文傳輸等。
換句話說,漏洞和弱口令風險說明一個問題:安防產品自身的可靠性是系統安全的根基。如果自身的安全性得不到保障,僅通過外部防護,很難做到完全的安全。除弱口令和漏洞的風險外,在整個安防系統建設中,缺乏設備的準入控制。IT系統較成熟,準入控制考慮得較周全,業界對IT系統的黑客攻擊、網絡風險的暴露認識更深刻。是行業對安防系統中的安全問題普遍認識不足。正如2018年,某地的交警處罰系統被黑客侵入,造成了非法銷分,原因正式安防系統進行設備準入控制。
安全是三分技術、七分管理。應用監管不足,視頻信息容易被內部人員泄露。無論是安防系統的個人使用者還是主管方,對此意識都比較缺乏。
“安防系統從前端接入區到數據匯聚區再到核心應用區,從數據產生、傳輸、存儲、應用、管理等,多個維度每一個環節都存在非常突出的安全問題。”宇視周欣如強調。
不管世界對安全重視與否,依賴與否,安全的本質使命未曾改變。AI視覺,潤物無聲走進這個世界,人們從好奇,到不以為然,到接受,到習以為常。它帶來了便捷、安全和智能,也會帶來不確定和潛在危害。但AI視覺技術本身,不是原罪;視覺企業,也不應成為眾矢之的。
技術永遠只是產業中的一環,沒有哪個技術能獨立于政策、環境、標準、市場、用戶而存在。
而當企業們日夜鍛造安全能力,殫精竭慮修建安全圍墻時,我們可以做的,就是多一點寬容,多一點期待。
[出處] 視頻數據泄露,視覺企業冤不冤? 雷鋒網, 2021-05-03, 本文有刪節
浙公網安備
33010802004032號
