Кибербезопасность систем видеонаблюдения: лучшие практики и защита от атак

Введение

В современном мире системы видеонаблюдения все чаще подключаются к интернету. Это обусловлено растущим спросом на удаленный доступ к видео. Такие системы включают в себя облачные решения для управления наблюдением, традиционные DVR/VMS/NVR с подключением к интернету, а также классические системы, подключенные к локальной сети, которая, в свою очередь, имеет выход в интернет.

В условиях постоянно растущего числа кибератак, специалисты по физической безопасности и внутренний технический персонал должны быть в курсе последних векторов кибератак, которые могут повлиять на продаваемые и обслуживаемые ими системы управления видеокамерами. Эти системы требуют такого же уровня защиты от уязвимостей кибербезопасности, как и традиционные ИТ-системы.

Данная статья фокусируется на лучших практиках для систем видеонаблюдения, подключенных к интернету. Многие из этих практик также применимы к другим системам физической безопасности.

1. Физическая безопасность: опасная дверь для кибератак

Системы видеонаблюдения все чаще подключаются к интернету, что обусловлено желанием получить удаленный доступ и контроль, интеграцией с другими системами, а также значительным снижением стоимости облачного хранения данных.

Помимо растущего числа облачных систем наблюдения, большинство традиционных систем видеонаблюдения теперь подключены к интернету для удаленного доступа, поддержки и обслуживания, или они подключены к локальной сети, которая, в свою очередь, имеет выход в интернет.

Параллельно с этим продолжают нарастать кибератаки. Новости о миллионах утечек данных становятся обыденностью. Ответственность за ущерб представляет большой риск для компаний.

Таким образом, крайне важно, чтобы системы видеонаблюдения получали такое же внимание к уязвимостям кибербезопасности и защиту от них, как и традиционные ИТ-системы.

Специалисты по физической безопасности и внутренний технический персонал должны быть в курсе последних векторов кибератак, которые могут повлиять на системы управления видеокамерами, которые они продают и/или поддерживают.

2. Основные векторы атак на системы видеонаблюдения

Пять основных векторов кибератак для систем видеонаблюдения:

1. Операционная система Windows
2. Операционная система Linux
3. DVR, NVR, VMS (цифровые видеорегистраторы, сетевые видеорегистраторы, системы управления видео)
4. Конечные устройства (камеры)
5. Порты межсетевого экрана

Мы рассмотрим эти векторы атак в контексте применимых лучших практик, которые можно использовать для защиты вашей системы наблюдения от них.

3. Лучшие практики различаются в зависимости от типа системы наблюдения

Термины "облачное видеонаблюдение" и "облачная система" используются непоследовательно. Поэтому важно уточнить у вашего поставщика, как именно они обеспечивают доступ к интернету, поскольку это повлияет на шаги, которые вы должны предпринять для обеспечения безопасности вашей системы.

Для целей этой статьи мы разделим системы на следующие типы:

1. Традиционная система (DVR, NVR или VMS) с подключением к интернету, обычно для удаленного доступа к видео.
2. Облачная система управления, также называемая VSaaS (Video Surveillance as a Service). В такой системе, даже если есть локальное устройство, видео записывается и управляется из облака.

Существуют различия внутри каждой из этих категорий, влияющие на функции и возможности, однако это разделение на верхнем уровне поможет понять, как применять лучшие практики кибербезопасности, а также какие вопросы задавать вашему поставщику.

4. Лучшие практики для кибербезопасных систем видеонаблюдения

4.1 Пароли камер

Уязвимость

На первый взгляд, пароли камер могут показаться слишком очевидной мерой безопасности для обсуждения. Однако, согласно статье в Network World в ноябре 2014 года, 73,011 локаций с IP-камерами из 256 стран были доступны на одном веб-сайте. США возглавили список с 11,046 ссылками, где каждая ссылка могла содержать до 8 или 16 камер.

Более того, по оценкам, 1 из 5 пользователей интернета до сих пор использует легко взламываемые пароли.

Почти все камеры, продаваемые сегодня, имеют веб-интерфейс и поставляются с заводским именем пользователя и паролем, которые публикуются в интернете. Некоторые установщики вообще не меняют пароль и оставляют один и тот же заводской пароль для всех камер.

Очень немногие камеры имеют возможность отключить веб-интерфейс, поэтому существует риск того, что кто-то может попытаться взломать камеру через веб-интерфейс, подобрав пароль.

Лучшая практика

Для традиционных и облачных систем:

Идеальная практика - назначить уникальный длинный неочевидный пароль для каждой камеры. Такой тщательный процесс требует времени для настройки, сложнее в администрировании и очень трудно отслеживать. Поэтому многие установщики, к сожалению, используют один пароль для всех камер в учетной записи.

Учитывая эту проблему, приемлемая лучшая практика:

• Для публичной сети: разные сильные пароли для каждой камеры
• Для VLAN или физической частной сети: один сильный пароль для всех камер

4.2 Проброс портов

Уязвимость

Большинство конечных пользователей теперь требуют и ожидают доступ к видео с удаленных мобильных устройств. Эта функция обычно реализуется путем открытия доступа к DVR, NVR или VMS через интернет. Такое типичное открытие HTTP-сервера в интернет чрезвычайно опасно, так как существует большое количество вредоносных эксплойтов, которые можно использовать для получения доступа. Машины, открытые для интернета, обычно сканируются более 10 000 раз в день. Одним из примеров такой уязвимости был эксплойт Heartbleed OpenSSL в 2014 году; многим производителям пришлось просить пользователей сбросить свои пароли.

Лучшая практика

Для традиционных систем:

В идеале, НЕ подключайте ваш незащищенный сервер к интернету. Если вы все же открываете доступ к вашей системе через интернет, то "пробрасывайте" как можно меньше портов и используйте межсетевой экран нового поколения, который анализирует протокол и блокирует некорректные протоколы, отправленные через неправильный порт. В идеальной ситуации также разверните IDS/IPS для дополнительной защиты.

Для облачных систем:

Более безопасные облачные системы не используют проброс портов, поэтому уязвимость отсутствует, и никаких дополнительных мер защиты не требуется. Попросите вашего интегратора или поставщика подтвердить это для любой системы, которой вы владеете или которую рассматриваете для приобретения.

4.3 Межсетевые экраны

Уязвимость

Как указано выше, любой локальный DVR/NVR/VMS должен иметь межсетевой экран для защиты, особенно если вы собираетесь открыть его для доступа через интернет для любого типа удаленного доступа.

Межсетевые экраны могут быть очень сложными, с тысячами правил. Межсетевые экраны нового поколения еще сложнее, поскольку они анализируют протоколы, проходящие через порты, и проверяют, используются ли правильные протоколы.

Лучшая практика

Для традиционных систем:

Лучше всего поручить профессиональному эксперту по сетевой безопасности проверку и настройку современного межсетевого экрана.

Крайне важно иметь четкую документацию по конфигурации межсетевого экрана, регулярно отслеживать и реализовывать любые необходимые изменения в конфигурации межсетевого экрана.

Для облачных систем:

Для облачного решения без проброса портов конфигурация локального межсетевого экрана не требуется. Обсудите это с вашим интегратором или производителем системы для подтверждения.

4.4 Сетевая топология

Уязвимость

Смешивание камер в стандартной сети без разделения - это рецепт катастрофы.

Если ваша система видеонаблюдения подключена к основной сети, вы создаете путь для хакеров, чтобы войти в вашу основную сеть через систему наблюдения или войти в вашу систему физической безопасности через основную сеть.

Некоторые DVR даже могут поставляться с вирусом.

Лучшая практика

Для традиционных и облачных систем:

Идеальная практика:

• В идеале разместите систему видеонаблюдения в физически отдельной сети от остальной части вашей сети.

Приемлемая практика:

• Если вы интегрируетесь со сложной ИТ-средой, не всегда возможно физически разделить две системы. В этом случае следует использовать VLAN (виртуальную локальную сеть).

4.5 Операционные системы

Уязвимость

Ваша локальная VMS, DVR, NVR или система записи будут иметь операционную систему. Все камеры также имеют операционную систему.

Все операционные системы имеют уязвимости, как на базе Windows, так и на базе Linux.

Уязвимости Windows настолько хорошо известны, что ИТ-команды регулярно их отслеживают. В последнее время становится все более очевидным, что Linux также имеет множество уязвимостей, таких как Shellshock (2014) и Ghost (2015), которые сделали уязвимыми миллионы систем.

Теоретически, производитель вашей системы должен иметь высококачественную команду по безопасности, которая оперативно предоставляет обновления безопасности. Реальность такова, что многие поставщики не делают этого на регулярной основе.

Лучшая практика

Для традиционных систем:

Чтобы обеспечить защиту вашей системы и сети от вредоносных эксплойтов, вы должны отслеживать и контролировать известные уязвимости операционной системы, а затем убедиться, что ваша ОС обновлена всеми патчами безопасности.

Если это система на базе Windows, существует множество уязвимостей и обновлений, которые необходимо применить. И хотя они менее часты, уязвимости Linux также должны быть быстро отслежены и устранены.

Специалисты по ИТ-безопасности обычно понимают, какие обновления актуальны, а какие можно пропустить, но это может быть чрезвычайно сложной задачей без надлежащей подготовки и опыта.

Вы также можете проактивно связаться с поставщиком вашего DVR/NVR, чтобы узнать, какую ОС использует ваш NVR/DVR (Linux, Windows), а также версии ОС и версии дополнительных модулей, работающих на ОС (например, веб-сервер Microsoft IIS), чтобы понять, какие уязвимости безопасности могут повлиять на вас.

Затем отслеживайте уязвимости этой ОС и свяжитесь с поставщиком ОС, чтобы узнать, какие патчи необходимы.

Лучшая практика для VMS - убедиться, что машины находятся в ведении ИТ-отдела, и что ИТ-отдел имеет обязанности и персонал, назначенный для правильного исправления, обновления, модификации, и имеет процессы для обеспечения безопасности машин.

Также убедитесь, что ваш поставщик камер выпускает патчи для проблем безопасности, и что вы обновляете прошивку камер, как только становятся доступны новые версии.

Для облачных систем:

Лучшая практика здесь - узнать у вашего интегратора или облачного поставщика, есть ли у облачного поставщика специальная, опытная команда безопасности, которая отслеживает уязвимости.

Также подтвердите, будет ли облачный поставщик автоматически отправлять патчи/обновления безопасности через облако на любое локальное устройство. Если да, то от конечного пользователя не требуется никаких действий для мониторинга безопасности операционной системы, установки патчей или обновлений.

4.6 Пароли операционной системы

Уязвимость

Как и в случае с паролями камер, слабый системный пароль может создать возможность для кибератак на систему наблюдения и сеть.

К сожалению, во многих средах ОС корневой пароль или пароль администратора общий для всех администраторов, что увеличивает риск безопасности. Текучесть кадров, будь то через увольнение или смену ролей, может создать неожиданные бреши в безопасности.

Лучшая практика

Для традиционных систем:

Установите высококачественные длинные пароли для операционной системы.

Кроме того, установите политики и процедуры для изменения паролей. Например, корневой пароль администратора должен меняться каждый раз, когда сотрудник с доступом к паролю покидает компанию или меняет роль.

Для облачных систем:

Никаких действий не требуется. Истинные облачные системы не имеют отдельных паролей для доступа к ОС. У них есть только системные пароли для отдельных учетных записей (см. ниже), которые явно удаляются, когда сотрудники уходят или меняют свои роли.

4.7 Системные пароли

Уязвимость

Несанкционированный доступ к вашей системе видеонаблюдения делает уязвимой как саму систему наблюдения, так и подключенную к ней сеть.

Лучшая практика

Для традиционных и облачных систем:

Меняйте пароли вашей системы наблюдения по расписанию. Обеспечьте безопасность с той же строгостью, что и стандарт вашей компании. Длинные, сложные пароли - лучший вариант.

4.8 Оборудование для подключения

Уязвимость

Удивительно большое количество DVR/NVR/VMS использует соединения, которые не зашифрованы с помощью SSL или эквивалентного протокола.

Этот риск был бы идентичен входу в банк или совершению покупок в интернете без https. Это создает уязвимость пароля и позволяет потенциально нарушить конфиденциальность и подслушать данные.

Лучшая практика

Для традиционных систем:

Крайне важно, чтобы соединение было зашифровано с помощью SSL или эквивалентного протокола.

Спросите у вашего поставщика, как они обрабатывают это. Выбирайте только поставщиков, которые шифруют свои соединения.

Для облачных систем:

Крайне важно, чтобы соединение было зашифровано с помощью SSL или эквивалентного протокола.

Многие облачные поставщики обеспечивают шифрование соединений, но это может варьироваться. Подтвердите у вашего облачного поставщика, как их система обрабатывает это.

4.9 Шифрование видео

Уязвимость

В дополнение к небезопасным соединениям из-за отсутствия шифрования, те же риски конфиденциальности применимы, когда видео не зашифровано при хранении на диске или при передаче.

Лучшая практика

Для традиционных и облачных систем:

Для по-настоящему безопасной системы видео должно быть зашифровано как при хранении на диске, так и при передаче.

4.10 Мобильный доступ

Уязвимость

Уязвимости паролей, удаления учетных записей и шифрования вдвойне применимы к мобильным устройствам.

Лучшая практика

Для традиционных и облачных систем:

Как и при запуске приложения на вашем персональном компьютере, убедитесь, что у вас есть зашифрованное соединение для мобильного приложения на iPhone или Android с VMS или NVR/DVR. Установите качественные пароли и обеспечьте соблюдение паролей и удаление учетных записей при изменении персонала.

4.11 Физический доступ к оборудованию и хранилищам

Уязвимость

Финансовые выгоды от кражи корпоративных данных достаточно высоки, чтобы злоумышленники также стремились получить доступ к вашей сети путем прямого взлома вашего локального физического оборудования.

Лучшая практика

Для традиционных систем:

Обеспечьте безопасность: ваших шкафов; кабелей; и помещения, где расположены DVR/NVR/VMS, коммутаторы и серверы хранения видео. Обеспечьте безопасный контроль доступа в помещение, включая видеонаблюдение для его мониторинга. Эта практика не только защищает вашу сеть, но и предотвращает кражи типа "разбей и беги" на ваших объектах, когда записывающий DVR/NVR крадут вместе с любыми другими предметами.

Для облачных систем:

Хотя тот же принцип, очевидно, применим к облачной системе, здесь гораздо меньше локального оборудования для защиты. Мгновенная запись в облако также защищает от кражи локальной записи при взломе.

Важно узнать у вашего интегратора или поставщика, какие общие меры безопасности они принимают для своих облачных серверов.

4.12 Программное обеспечение для записи видео

Уязвимость

Программное обеспечение для управления видео использует множество компонентов помимо операционной системы, таких как приложения базы данных Microsoft. Как и сама операционная система, эти компоненты должны обновляться и быть безопасными.

Многие VMS, например, используют Microsoft Access или библиотеки, а также программное обеспечение, которое они написали сами. Новые уязвимости системы могут быть введены, если поддерживающее программное обеспечение не обновляется, включая патчи безопасности.

Если вы пассивны в этом вопросе, вы сильно зависите от того, что поставщик отправляет вам патчи для обновления системы при таких уязвимостях.

Лучшая практика

Для традиционных систем:

Спросите у вашего поставщика VMS об их политике по поддержанию актуальности и безопасности используемых ими компонентов. Проверяйте и устанавливайте регулярные обновления. Будьте проактивны в мониторинге известных уязвимостей безопасности в отрасли и связывайтесь с вашим интегратором или поставщиком, когда узнаете о новых нарушениях.

Важно убедиться, что у поставщика VMS есть команда, сосредоточенная на этом, и они регулярно отправляют вам обновления.

Для облачных систем:

Истинные облачные системы управления не имеют программного обеспечения на месте, поэтому здесь нет уязвимости.

Однако очень важно подтвердить, действительно ли система "облачно управляема", а не просто подключена к интернету, прежде чем делать это предположение, иначе вы рискуете подвергнуться потенциальной уязвимости.

Заключение

Утечки данных продолжают ускоряться во всем мире. С увеличением подключения к интернету системы физической безопасности очень уязвимы для кибератак, как прямых, так и в качестве входа в остальную часть сети. Ответственность за эти атаки все еще определяется.

Благоразумно защищать вашу компанию и ваших клиентов с помощью превентивных мер. Применение лучших практик, описанных в этой статье, поможет значительно повысить безопасность ваших систем видеонаблюдения и снизить риски кибератак.