За последнее десятилетие системы видеонаблюдения и безопасности прошли долгий путь благодаря растущему распространению Интернет-протокола (IP) и Интернета вещей (IoT).
Отправляя и получая данные непосредственно через Интернет и предлагая расширенные функции, такие как датчики движения, облачное хранилище, видеоаналитика и автоматические уведомления, эти системы обеспечивают надежную защиту промышленных и производственных объектов, государственных учреждений и т.д.
Но, несмотря на свои преимущества, IP-видеосистемы также сопряжены со значительными рисками для безопасности, если они используют общедоступную инфраструктуру, поскольку они предоставляют киберпреступникам легкий путь для атак.
У хакеров также есть различные топологии и технологии, которые делают их более сложными и увеличивают их возможности атаки.
В конечном итоге они делают системы уязвимыми для распределенных атак типа «отказ в обслуживании» (DDoS) и «человек посередине» (MitM), нарушений конфиденциальности, установки вредоносных программ и утечек данных.
Принимая во внимание количество и масштаб информации, которую государственные органы собирают о гражданах, злоумышленники всегда стремятся украсть или раскрыть богатые данными записи.
Поскольку системы IP-видеонаблюдения не защищены на 100%, что могут сделать производственные предприятия и государственные учреждения, чтобы минимизировать свои риски и защитить свои данные и пользователей?
Не существует единой идеальной стратегии, поэтому программа по защите этих систем должна включать несколько стратегий, о которых речь пойдет ниже. Рассмотрим их.
Используйте системы обнаружения и предотвращения вторжений
В рамках надежной стратегии киберзащиты на пользовательских терминалах и цифровых видеорегистраторах (DVR) необходимо установить антивирусное программное обеспечение для обнаружения и предотвращения распространения вредоносных программ.
В нераспределенных топологиях физически открытой цепи (POC), где сетевые узлы, такие как камеры и видеорегистраторы, имеют общедоступные IP-адреса, система обнаружения вторжений в сеть (NIDS) может обнаруживать вредоносные или аномальные шаблоны трафика, которые могут указывать на присутствие хакера.
Брандмауэры VPN, такие как межсетевой экран UTM нового поколения, могут быть простым способом внедрения NIDS для блокировки угроз и шифрования критически важного сетевого трафика.
Шифрование данных для безопасной передачи
Все видеопотоки, а также информация, такая как имена пользователей и пароли, должны быть зашифрованы для защиты передаваемых данных, особенно если они проходят через Интернет.
Доступно множество вариантов шифрования, но наиболее распространенными являются SSL / TLS для пользовательской информации и IPsec или MACsec для данных.
Правильное шифрование помогает предотвратить подслушивание и манипуляции с пакетами, которые могут произойти во время атаки MitM.
Происхождение данных (доказательство источника данных) и использование цифровых водяных знаков для обеспечения целостности видеоконтента также может снизить вероятность фальсификации данных.
Другой подход заключается в упреждающем обнаружении и сдерживании присутствия перехватчиков с помощью такой функции, как активный мониторинг оптоволокна от компании Allied Telesis.
Реализуйте надежные пароли и многоуровневый доступ
Надежные пароли должны быть важным элементом структуры безопасности системы. Длина, сложность и регулярные изменения имеют решающее значение для надежности пароля. Это особенно важно, если устройство использует для доступа переадресацию портов.
Многофакторная аутентификация — отличный выбор для дополнительной безопасности учетных записей администраторов.
Пароль более надежен, потому что пользователь должен предоставить дополнительную уникальную информацию, например код SMS, к тому же пользователь получает уведомление при каждой попытке доступа.
Если несколько пользователей получают доступ к видеопотокам, система должна обеспечивать разные уровни доступа, защищенного паролем.
Некоторые авторизованные пользователи могут иметь доступ к конкретному устройству, поэтому они могут просматривать изображения только с этих устройств, в то время как другие могут иметь доступ на уровне оператора.
Другие же могут иметь доступ к администраттивной панели или управлять всеми настройками, такими как создание новой учетной записи, изменение направления камеры, добавление новых камер в сеть и т.д.
Программное обеспечение должно быть всегда актуальной версии
Каждая система IP-видеонаблюдения требует периодических обновлений программного обеспечения для сохранения безопасности.
Обновления микропрограмм могут выпускаться регулярно или время от времени как часть выпуска исправлений устройства для конкретной уязвимости.
Важно зарегистрировать устройство на веб-сайте производителя, чтобы получать напоминания обо всех этих обновлениях, которые должны быть немедленно загружены и выполнены.
Процесс обновления прошивки может нарушить работу сети, поскольку перезагрузка устройства останавливает видеопоток, а обновление многих устройств может занять много времени и быть опасным в больших сетях.
Поэтому важно учитывать функции, которые помогают свести к минимуму сбои и автоматизировать процесс обновления.
Существуют специальные протоколы, например Continuous-PoE , которые поддерживают питание подключенного устройства, например камеры, во время перезагрузки коммутатора.
Это сводит к минимуму продолжительность простоя и возобновляет передачу видеопотока, не дожидаясь перезапуска камеры.
Еще одно программное обеспечение Autonomous Management Framework (AMF) — предназначено для упрощения установки и управления крупномасштабными сетями.
Среди его многочисленных возможностей — автоматическое обновление прошивки, которое позволяет развертывать обновления с минимальными нарушениями и без ручного вмешательства. А это значит, что пока администратор спит, сеть будет обновляться!
Обучите пользователей методам обеспечения безопасности
Как и в случае с любой другой сетью или устройством, люди являются самым слабым звеном в профиле безопасности системы IP-наблюдения.
Поэтому крайне важно разработать и задокументировать руководящие принципы и политики кибербезопасности, а также провести обучение по вопросам защиты систем видеоконтроля для всех пользователей, которые будут иметь доступ к системе.
Пользователи должны быть проинформированы о потенциальных векторах атак и о том, что им нужно делать, чтобы защитить себя от запросов потенциальных злоумышленников под ложными предлогами.
Они также должны знать о рисках доступа к системе — например, через мобильное приложение — в незашифрованной общедоступной системе Wi-Fi.
Крайне важно быть в курсе последних стандартов и передовых методов кибербезопасности на организационном уровне и обеспечивать их соблюдение на всех уровнях.
Заключение
Благодаря низкой стоимости, простоте развертывания и многочисленным расширенным функциям многие производственные организации и государственные учреждения переходят с аналоговых систем видеонаблюдения на системы IP-видеонаблюдения для обеспечения дополнительной безопасности.
Тем не менее, по мере того, как ландшафт киберугроз становится все более изощренным, а кибератаки становятся все более безжалостными, организации должны осознавать риски таких систем, особенно если они находятся в той же сети, что и критически важные для бизнеса данные и приложения.
Игнорирование их может быть опасным и потенциально разрушительным, поэтому закрытие цикла сетевой безопасности должно быть наивысшим приоритетом.
Защитите свою сеть и критически важные системы с низкими эксплуатационными расходами, без сбоев или поломок устройств.
