W dzisiejszym świecie prawie każdy elektroniczny system bezpieczeństwa ma potencjał, aby stać się bramą dla cyberprzestępców. Ponieważ bezpieczeństwo fizyczne i cyberbezpieczeństwo są ze sobą coraz bardziej powiązane, specjaliści ds. bezpieczeństwa nie wykonują swojej pracy, jeśli nie podejmą wszelkich możliwych środków ostrożności w celu zablokowania nieautoryzowanego dostępu do systemów kamer, platform kontroli dostępu, interkomów i innych sieciowych urządzeń i rozwiązań zabezpieczających.
Przyjrzyjmy się wielu krokom, które firmy powinny podjąć w całym cyklu życia swoich technologii bezpieczeństwa – od wyboru dostawcy po wycofanie urządzeń z eksploatacji – aby uniknąć popełniania typowych błędów, które narażają systemy i sieci, w których się znajdują, na ataki i sabotaż.
Faza przedzakupowa: Kładziemy podwaliny pod cyberbezpieczeństwo 1. Przeprowadź ocenę ryzyka dostawcy
Działy IT często opierają się na tych samych kryteriach oceny ryzyka dostawcy, których używają do oceny producentów sprzętu IT, rozważając przydatność dostawców zabezpieczeń fizycznych. Chociaż istnieją podobieństwa między tym, jak oceniać te rozbieżne rozwiązania, istnieją również różnice, które wymagają odrębnej analizy. Na przykład punkty końcowe urządzeń w systemach bezpieczeństwa fizycznego działają na niestandardowych jądrach Linuksa i dlatego nie wykorzystują standardowych dystrybucji Linuksa, takich jak Red Hat, Ubuntu lub Debian.
Działy IT często opierają się na tych samych kryteriach oceny ryzyka dostawcy, których używają do oceny zestawów IT
Kompleksowa ocena powinna zbadać, w jaki sposób każdy producent rozwiązań zabezpieczających radzi sobie z cyklami życia oprogramowania. Idealnie byłoby, gdyby dostawcy przestrzegali uznanych ram podczas opracowywania zarówno oprogramowania do zarządzania platformą, jak i oprogramowania specyficznego dla urządzeń. W 2021 r. rozporządzenie wykonawcze 14028 nieco ułatwiło firmom ocenę dostawców, zapewniając wytyczne dotyczące oceny bezpieczeństwa oprogramowania, praktyk twórcy oprogramowania oraz metod wykazywania zgodności z bezpiecznymi praktykami, w szczególności odwołując się do NIST SP 800-218 Secure Software Development Framework. Krótko mówiąc, dobry dostawca powinien mieć dokumentację, która wyjaśnia wszystko, co robi, aby zająć się cyberbezpieczeństwem, począwszy od rozwoju, poprzez wydania, aż po bieżącą konserwację.
2. Uzyskaj harmonogramy aktualizacji oprogramowania
Częstotliwość, z jaką producenci aktualizują swoje oprogramowanie, jest różna. Każda firma jest inna. Jeśli jesteś ich klientem, nie powinno mieć znaczenia, czy dostawca planuje aktualizacje co sześć miesięcy, trzy miesiące, czy częściej. Liczy się to, że wiesz, czego się spodziewać i masz plan, jak poradzić sobie z tą rzeczywistością. Na przykład, jeśli aktualizacje są aktualizowane tylko co sześć miesięcy, na jakich warunkach wydawane są poprawki usuwające luki w zabezpieczeniach, które pojawiają się między aktualizacjami? Klienci muszą wiedzieć, jak często będą aktualizować oprogramowanie na swoich urządzeniach i upewnić się, że mają zasoby, aby to zrobić. Upewnij się, że interesariusze z góry ustalili, kto będzie wykonywał aktualizacje oprogramowania. Czy będzie to integrator, który zainstalował system, personel systemu bezpieczeństwa fizycznego, zespół IT czy użytkownik końcowy? Utrzymanie aktualności całego systemu jest ogromnym wyzwaniem, ale nie podlega negocjacjom.
Producenci, którzy nie wydają częstych wydań i poprawek, nakładają na klientów obowiązek samodzielnego radzenia sobie z działaniami zaradczymi. W takich przypadkach działy IT muszą być przygotowane na stosowanie segmentacji sieci, zapór sieciowych, białych/czarnych list bezpieczeństwa i innych metod ochrony swoich systemów do czasu wydania poprawki. Jeśli firmowy zespół ds. bezpieczeństwa zazwyczaj aktualizuje oprogramowanie układowe tylko wtedy, gdy coś się zepsuje, te dodatkowe obowiązki najprawdopodobniej wymagają ściślejszej współpracy z działami IT i zmiany sposobu zarządzania systemami bezpieczeństwa.
3. Zapoznaj się z warunkami gwarancji i czasem trwania wsparcia dla oprogramowania
Organizacje powinny zapoznać się z zasadami gwarancji dla kupowanych urządzeń
Organizacje powinny zapoznać się z zasadami gwarancji dla kupowanych urządzeń. Jeszcze ważniejsza jest wiedza, kiedy wygaśnie wsparcie dla oprogramowania urządzenia. Wsparcie dla oprogramowania powinno wykraczać daleko poza zakres sprzętu. Na przykład, jeśli kamera jest objęta pięcioletnią gwarancją na sprzęt, klienci powinni oczekiwać dodatkowych pięciu lat pomocy technicznej dotyczącej oprogramowania.
Po upływie tego okresu firmy muszą zaplanować wymianę urządzenia – nawet jeśli nadal działa dobrze. Bez aktualizacji oprogramowania urządzenie nie ma obsługi luk w zabezpieczeniach i staje się zbyt ryzykowne, aby pozostać w sieci. Producenci powinni zachować przejrzystość w zakresie swoich zasad dotyczących gwarancji i pomocy technicznej dla oprogramowania, pomagając organizacjom w planowaniu wymiany urządzeń zgodnie z potrzebami w zakresie cyberbezpieczeństwa.
4. Poproś o zestawienie materiałów oprogramowania (SBOM)
Podczas procesu wstępnego odnajdywania klienci powinni poprosić o zestawienie materiałów oprogramowania (SBOM), które zawiera szczegółowy spis oprogramowania uruchomionego na każdym urządzeniu, w tym składników typu open source.
Ujawniając, jakie oprogramowanie znajduje się "pod maską", SBOM pozwala działom IT zachować czujność w ochronie systemów firmy przed ujawnionymi lukami w zabezpieczeniach. Na przykład klient powinien zrozumieć, w jaki sposób protokół Transport Layer Security (TLS) jest obsługiwany w celu zabezpieczenia serwera internetowego rozwiązania zabezpieczającego, jeśli jest to składnik typu open source, taki jak OpenSSL.
5. Oceń praktyki ujawniania luk w zabezpieczeniach
Producenci CNA reprezentują złoty standard w praktykach cyberbezpieczeństwa
Niezbędne jest zrozumienie, w jaki sposób producent radzi sobie z lukami w zabezpieczeniach. Idealnie byłoby, gdyby był to Certyfikowany Urząd ds. Nazewnictwa (CAN) i zgłaszał typowe luki w zabezpieczeniach i narażenia (CVE) do krajowych baz danych luk w zabezpieczeniach, takich jak NIST i MITRE. Spowoduje to automatyczne uwzględnienie wszelkich ujawnionych luk w zabezpieczeniach związanych z ich urządzeniami w bazach danych skanerów luk w zabezpieczeniach.
Producenci CNA reprezentują złoty standard w praktykach bezpieczeństwa cybernetycznego, ale większość producentów zabezpieczeń nie osiąga tego poziomu. Dostawcy, z którymi zdecydujesz się współpracować, powinni mieć co najmniej system powiadomień e-mail, aby ostrzegać klientów o nowych lukach w zabezpieczeniach. Pamiętaj – powiadomienia e-mail są tak wiarygodne, jak pracownicy, którzy nimi zarządzają, więc sprawdź, czy producent ma duże doświadczenie w nadążaniu za taką komunikacją. Poproś o rozmowę z referencjami klientów, którzy korzystają z rozwiązania od dłuższego czasu, aby upewnić się, że dostawca sumiennie się komunikuje.
Faza konfiguracji: Zapewnienie bezpiecznej konfiguracji
1. Używaj prowadnic do hartowania
Po zakupie urządzenia jego bezpieczna konfiguracja jest kolejnym krytycznym krokiem. Producenci powinni publikować przewodniki dotyczące wzmacniania zabezpieczeń, które szczegółowo opisują środki kontroli zabezpieczeń dostępne dla ich produktów oraz zalecane praktyki wdrażania. Upewnij się, że wszystkie możliwe opcje szyfrowania są aktywowane między funkcjami oferowanymi przez dostawcę a własnymi zasadami bezpieczeństwa cybernetycznego Twojej firmy.
Korzystanie z protokołu HTTPS jest niezbędne do zapewnienia bezpiecznej komunikacji z urządzeniami. Wiele urządzeń zabezpieczeń fizycznych domyślnie korzysta z protokołu HTTP, aby dostosować się do topologii sieci specyficznych dla klienta i zarządzania certyfikatami. Niezaimplementowanie protokołu HTTPS może spowodować, że poufne metadane pozostaną niezaszyfrowane i podatne na przechwycenie.
2. Rozważ zaawansowane protokoły szyfrowania
Protokoły są niezbędne do ochrony danych wideo przesyłanych z kamer do systemu VMS
Niektóre rozwiązania oferują wbudowane protokoły szyfrowania, takie jak MACsec, co uniemożliwia naruszenie bezpieczeństwa danych podczas ich przesyłania przez sieć. Protokół HTTPS jest nadal niezbędny do zabezpieczenia połączenia z usługą internetową urządzeń, ale podczas gdy klienci konfigurują i konfigurują swoje urządzenia, MACsec zapewni bezpieczeństwo danych sieciowych.
Dodatkowo, jeśli chcesz szyfrować strumienie wideo, rozważ takie protokoły, jak Secure Real-Time Transport Protocol (SRTP), który zabezpiecza transmisję danych audio i wideo przez Internet, lub metody tunelowania, takie jak Secure Socket Tunnelling Protocol (SSTP), które hermetyzują pakiety danych w celu bezpiecznej transmisji między dwoma punktami, nawet jeśli sieć jest niezabezpieczona. Takie protokoły są niezbędne do ochrony danych wideo przesyłanych z kamer do systemu zarządzania materiałem wizyjnym (VMS).
Szyfrowanie powinno również obejmować dysk twardy VMS, na którym przechowywane jest wideo. Istnieją różne metodologie, aby to zrobić, ale ostatecznie celem jest szyfrowanie danych podczas przesyłania i przechowywania.
3. Implementowanie zdalnego dziennika systemowego
W przypadku naruszenia każde urządzenie przechowuje zestaw dzienników, które są przydatne do dochodzeń kryminalistycznych. Jeśli jednak urządzenie zostanie zhakowane, jego dziennik może nie być dostępny. Najlepsze praktyki nakazują, aby firmy skonfigurowały zdalny serwer Syslog, który przechowuje kopię wszystkich dzienników urządzeń w centralnym repozytorium.
Oprócz dostarczania nadmiarowych danych do badań, dziennik systemowy oferuje systemom informatycznym skuteczny sposób wyszukiwania anomalii. Zespoły ds. cyberbezpieczeństwa będą otrzymywać natychmiastowe powiadomienia o zdarzeniach, takich jak nieudane próby logowania, dzięki czemu będą mogły szybko zorientować się, co się dzieje. Kto próbuje się zalogować? Dlaczego akurat na tym urządzeniu?
4. Ćwicz zdrową higienę haseł
Idealnie byłoby, gdyby organizacje przeszły na korzystanie z Active Directory lub rozwiązań jednokrotnego logowania (SSO)
Jednym z najbardziej podstawowych, a jednocześnie pomijanych aspektów cyberbezpieczeństwa jest brak skrupulatnego zarządzania kontami użytkowników. Wiele organizacji używa tej samej nazwy użytkownika i hasła dla wszystkich urządzeń zabezpieczających, ponieważ zarządzanie siecią urządzeń, z których każde wymaga osobnego, unikalnego loginu, jest po prostu zbyt uciążliwe. Zakłada się, że główni administratorzy systemu są jedynymi, którzy znają hasło uniwersalne. Jednak system staje się podatny na ataki, jeśli ktokolwiek z tej wybranej grupy opuści firmę, a hasło nie zostanie od razu zmienione lub usunięte.
Idealnie byłoby, gdyby organizacje przeszły na korzystanie z Active Directory lub rozwiązań jednokrotnego logowania (SSO). Takie podejście gwarantuje, że każdy z pracowników w całej firmie ma przypisane unikalne dane logowania, których używają we wszystkich systemach używanych w całej organizacji. Kiedy odchodzą, ich hasła i dostęp są powszechnie usuwane wraz z ich kontami. Jeśli logowanie jednokrotne nie jest opcją, regularne zmiany haseł i szybka dezaktywacja konta mają kluczowe znaczenie.
Faza likwidowania: bezpieczne wycofywanie urządzeń W pewnym momencie urządzenia zabezpieczające fizycznie osiągną koniec swojego okresu użytkowania. Kiedy nadejdzie ten czas, firmy muszą zadbać o to, w jaki sposób utylizują swoje urządzenia. Dobry dostawca udzieli wskazówek, jak wyczyścić chipsety pamięci i przywrócić domyślne ustawienia fabryczne.
Niewłaściwe wycofanie z eksploatacji może prowadzić do poważnych zagrożeń. Na przykład, jeśli niewłaściwie wycofane z użytku urządzenie zostanie sprzedane na rynku wtórnym lub odzyskane ze śmietnika, osoba atakująca może uzyskać dostęp do poufnych konfiguracji sieciowych i wykorzystać te informacje do złośliwych celów.
Konkluzja Wdrażanie rozwiązań w zakresie bezpieczeństwa fizycznego to coś więcej niż tylko zabezpieczanie budynków i aktywów; Wymaga to również solidnych środków ochrony przed zagrożeniami dla cyberbezpieczeństwa.
Od oceny dostawców i zrozumienia zasad aktualizacji po bezpieczną konfigurację urządzeń i zarządzanie procesami likwidacji, każdy krok wiąże się z potencjalnymi pułapkami, które, jeśli zostaną przeoczone, mogą narazić organizacje na znaczne ryzyko. Włączając omówione techniki do swoich protokołów wdrażania, organizacje mogą zapewnić, że ich rozwiązania w zakresie bezpieczeństwa fizycznego zapewniają kompleksową ochronę fizyczną i cyfrową.
Wayne'a Dorrisa
Kierownik ds. rozwoju biznesu — cyberbezpieczeństwo, Axis Communications