IAM-企業免受網路攻擊的得力助手

據相關報導，2021年3月9日，美國安防攝像頭公司Verkada遭到了大規模的駭客攻擊，就此重大事件已聯絡了美國聯邦調查局（FBI）進行調查。

調查發現，駭客起初透過獲得攝像頭的訪問許可權和客戶名單，進而攻破了十幾萬個安保攝像頭和影片源，並公開了醫院、診所和衛生機構，銀行、學校、警局和監獄，多個特斯拉（Tesla）工廠（包括中國上海工廠），以及Cloudflare等公司或機構的內部運作，而且全都是4K超高畫質解析度。

公司如果受到了駭客監視，怎麼辦？

Verkada事件證明了駭客監視和攻擊的範圍有多廣，也暴露了公司在保護平臺免遭監視和跟蹤方面的疏忽，在我們深入探討之前，先簡單瞭解一下Verkada被黑事件是如何發生的？

攻擊者在Twitter上大肆宣揚此次攻擊是為了“正義”，甚至還調侃到，只要他們願意，他們就能夠獲得超級管理員的帳戶憑據，輕輕鬆鬆線上獲取Verkada所有客戶的攝像頭訪問許可權和影片檔案。顯然，他們已經瞭解到Verkada的超級管理員許可權不僅提供了對影片供稿的訪問許可權，還提供了客戶公司內或廠房內安裝的攝像頭的root shell訪問權。

零信任原則

一些管理員在給使用者分配許可權時，其實並未考慮使用者所需的最小許可權是什麼，導致某些使用者甚至公司內多數使用者的許可權過於“自由”。

如這次在Verkada遭到攻擊之後，公司才發現Verkada內幾乎每個團隊成員都具有Super Admin特權，幾乎Verkada所有員工直接擁有窺視使用者的特權。

這就是文章開頭講到的此次攻擊事件發生的根本原因所在！

監視使用者的伺服器訪問活動

據Verkada描述，他們把使用者憑據寫在了Jenkins所用外掛的Python指令碼里，攻擊者透過獲得了支援團隊使用的Jenkins伺服器的訪問許可權，攻擊者只需點選一下滑鼠就可以訪問任何一個客戶的攝像頭，甚至可以在攝像頭上執行自己的惡意程式碼。

試想，如果Verkada對Jenkins伺服器進行了監視，實時檢測到有來自未知主機的未經授權的訪問，則此次攻擊事件可能就不會發生了。

“監視連線到公司網路的所有伺服器、使用者和終端”，預設每個使用者的訪問活動都是存在威脅的，這是零信任安全遵守的另一原則。

監控Windows系統本地工具

攻擊者聲稱，他們能夠獲得客戶的攝像頭的root許可權，並且可以使用攝像頭執行自己的程式碼，獲得這種訪問級別許可權並不需要他們額外耗力，只需利用好攝像頭的內建功能便可得逞。這也是目前普遍流行的一種網路攻擊模式，即將惡意行為與真正授權的程式混合在一起，然後進行攻擊。

另外，監視作業系統的登錄檔資訊更改、命令列活動和GPO更改也非常重要，因為這些更改活動通常只能由具有特權的高階管理員修改。

總之，Verkada這次遭受的攻擊，根本原因是管理員忽視了安全身份和訪問管理（IAM）的三個重要原則：

l Authentication：超級管理員賬戶憑據公開儲存，無法確保身份認證系統安全。

l Authorization：普通使用者對關鍵資源的訪問和許可權不受限制，人人都有特權，人人都是管理員，攻擊者很容易獲得特權。

l Accountability：無法追溯Jenkins伺服器上的惡意使用者活動，無法跟蹤使用者獲得root許可權後的訪問活動和執行的命令，無法檢測到攻擊者對攝像頭和存檔影片的攻擊嘗試。

另外，Verkada沒有針對其網路上端到端的安全事件監視的解決方案，缺乏告警機制和響應策略。