物理安全設備網絡安全的四個關鍵考慮因素
隨著越來越多的勒索軟件和網絡攻擊襲擊關鍵基礎設施、政府和企業目標,安全主管要求技術供應商專門解決所有新部署系統的網絡安全問題。
近期,超過 150000 個基于云的 Verkada 物理安全攝像頭遭到黑客攻擊的新聞廣為傳播,它之所以成為人們關注的焦點,是因為其表明了如果網絡基礎設施安全不靠譜的話,未來的類似事件還會更多——因為物聯網設備(包括安全攝像頭)的爆炸式增長創造了不斷擴大的威脅面。
黑客攻擊導致了從醫院、學校、公司辦公室到警察局和監獄等社會各領域的數千臺攝像頭的訪問權限被控制。黑客不僅能夠看到各種設施,他們還訪問了某些私人數據——例如,他們保存了從 Verkada 員工家中拍攝的視頻片段,拘留設施中的囚犯,以及對誰使用了門禁卡的洞察進入某些病房以及何時進入。
面對網絡入侵、用戶信息泄露、監管罰款和消費者信心喪失等所有主要問題,安全主管們感到脆弱不足為奇。這些攻擊讓他們感覺自己暴露了,并最終懷疑技術和安裝它的提供商的能力和完整性。各種類型的組織越來越多地擁有敏感數據,這些數據通常通過第三方網絡或云存儲在網上,例如個人身份信息、知識產權、客戶數據、受保護的健康信息以及行業和政府數據。如果沒有嚴格的網絡安全措施,所有這些專有信息都很容易被黑客提取,他們會在安全鏈中尋找薄弱環節。
保護物理安全設備
這片不斷擴大的攻擊面,已成為獨立的、某些團體支持的黑客組織瓦解對手、或為自己和各自支持者獲益的機會。值得慶幸的是,Verkada 漏洞是由一個國際黑客團體執行的,其目標是突出視頻監控的無所不在以及侵入基于云的系統的整體容易性,而不是更廣泛的惡意間諜陰謀或贖金計劃。
現在是保護數字資產、加強集成商與客戶網絡連接的每一項技術和軟件的最重要時刻。網絡安全考慮應該是技術供應商開發的一個不可分割的部分,包括由內部和外部漏洞測試、嚴格的代碼審查和嚴格的IT協議組成的持續過程。關鍵基礎設施和政府應用的安全系統應該有經過驗證的網絡安全政策、NDAA遵從性以及旨在保持信息和網絡安全的技術特性的支持。
對于集成商及其客戶,網絡安全物理安全計劃應包括四個關鍵考慮因素,以幫助維護物理安全設備的網絡安全完整性。雖然網絡漏洞可能無法預測,但這四項關鍵的網絡安全建議可以幫助集成商和最終用戶組織更好地抵御非法網絡攻擊:
- 網絡安全產品特點;
- 進行例行滲透測試;
- 為物理安全設備創建封閉網絡;
- 合規性-使用致力于網絡安全并遵守國防授權法 (NDAA) 規定的供應商。
網絡安全產品的特點
網絡安全不僅是一種功能,也是一種思維方式。強化來自外部黑客的安全系統需要支持最新網絡安全功能的硬件,以及確保始終遵循最佳實踐的程序。在選擇與之合作的硬件供應商時,集成商應尋找以下有形功能,以確保硬件能夠與最終客戶的整體網絡安全策略很好地集成:
IEEE 802.1x 身份驗證:保護以太網局域網 (LAN) 或邊緣安全網絡免受憑據與身份驗證服務器不匹配的未授權用戶的侵害。
傳輸層安全 (TLS) 協議:充當攝像機和視頻管理系統之間的加密協議,以確保設備和服務器之間的連接安全且私密。
超文本傳輸協議安全 (HTTPS):通過計算機網絡實現安全通信;此通信協議通過 TLS 進行加密。
用戶身份驗證:強制執行強密碼策略并強制在首次使用時更改默認密碼。密碼應始終保持高度隨機,使用字母、數字和符號的組合,而不是遵循可猜測的模式。密碼也應定期更改。
沒有后門帳戶:確保沒有后門訪問攝像頭。根據供應商的不同,技術支持團隊應該能夠將固件下載到設備以進行故障排除,然后在會話結束后重新下載非后門固件。如果供應商為支持團隊留下了后門,則黑客可以利用此漏洞。
通過防火墻進行訪問控制:保護應用服務器免受不受信任的網絡和流量的影響;使用戶能夠“允許”他們正在使用的服務并“阻止”他們沒有使用的服務。可以打開或關閉的服務包括實時流協議 (RTSP)、通用即插即用 (UPNP)、供應商特定的專有 API 和 Internet 控制消息傳遞協議 (ICMP)。
摘要式身份驗證:確保僅將密碼的加密版本保存在服務器上,使其不易被解碼。
簽名固件:供應商必須提供一種簽名固件上傳機制,以確保惡意軟件無法加載到安全硬件上。
此外,集成商應確保對最新可用版本進行勤奮的固件更新,以確保解決和關閉任何漏洞。
配置鎖定:防止多次失敗的登錄嘗試。
滲透測試
保持網絡安全的一個關鍵因素是關注最新的風險。一個強大的網絡安全策略是不斷地對所有產品和固件進行測試,以確定存在哪些新的威脅。有了這些數據,集成商和最終用戶可以確保解決方案具有最新的防御功能,以減輕這些威脅。
進行內部和第三方滲透測試,其中技術人員試圖攻破自己的攝像頭,是供應商的一個關鍵做法,以確保解決方案能夠適當防御。供應商應訂閱已知網絡安全漏洞庫,定期檢查產品是否存在這些威脅,生成調查結果報告,并根據需要進行技術調整。這些漏洞和后續修復應立即報告給集成商,然后集成商應為最終用戶系統打補丁。
同樣,集成商可以與第三方網絡安全滲透公司合作,這些公司使用漏洞庫中可用的威脅或技術之外的技術。這些外部審查可以通過收費或其他形式的 RMR 提供。
集成商還應指示最終用戶定期抽查來自各個安全設備、VMS 軟件、防火墻/VPN 和安全網絡相關組件的日志文件,以幫助指出攻擊或入侵的跡象。在許多情況下,可以在獲得訪問權限之前注意到攻擊企圖,并可以采取適當的措施將攻擊者拒之門外。如果攻擊者確實獲得了訪問權限,日志文件審查可能有助于確定攻擊的范圍和來源。
本地視頻存儲和封閉網絡
盡管云存儲很方便,但它通常不像本地存儲那么安全,Verkada 漏洞特別說明了這一點。使用基于云的視頻存儲,視頻通過互聯網托管和存儲在遠程在線服務器上,登錄憑據被泄露以及外部黑客攻擊的風險和機會更大。本地存儲解決方案——當所有服務器和客戶端工作站都位于現場時——意味著只有經過授權的公司人員才能查看和管理物理安全設備,網絡之外的任何人都無法訪問網絡上的設備。此外,當邊緣設備位于與客戶公司網絡隔離的封閉網絡中時,安全解決方案就與外部、互聯網和遠程訪問隔離開來——通過關閉對網絡其他部分的攻擊區域,最終加強安全系統抵御外部攻擊的能力。
雖然封閉網絡對于小客戶來說通常不太可行,但針對關鍵基礎設施中高度安全設施和其他管理敏感信息的實體的企業集成商應該提供本地視頻存儲和封閉網絡選項,作為云的強大替代方案。
NDAA 合規性
除了使用具有網絡防御功能的設備外,參與 2019 年安全業務行業現狀調查的集成商中有 64% 表示,供應商的原產國會影響他們推薦或購買安全設備的決定產品。
例如,在當今國際關系比較復雜的形勢下,美國的《國防授權法案》(NDAA)無疑是最典型的例子——具體來說,該法案第889條禁止政府機構采購或使用海康威視、大華、華為、中興等中國技術公司生產的設備,用于公共安全,政府設施的安全,關鍵基礎設施的物理安全監控,以及其他國家安全目的。
因此,許多集成商和制造商被迫轉向其他的供應商。
總結
雖然這些建議很有用,但重要的是要記住,網絡安全是一個不斷發展的過程,通常取決于特定于站點、安裝環境或用例的變量。因此,不存在通用的建議或程序手冊。
也就是說,與常見的默認安裝程序相比,實施這四項建議至少會提供更多的網絡強化功能和實踐——這是網絡安全的寶貴基礎,可以幫助安全主管減少脆弱性。
